rinetd vs iptables

0

0

В /etc/rinetd.conf

194.44.xx.yy 5900 127.0.0.1 5900

и все работает.

Как сделать аналогично с помощью iptables?

Ссылка

←	NX сервер и удаленные машины

Выбор корпоративного почтовика

→

а перфоманс вы пытались мерить? я несколько раз пробовал - какойто ахтунг был по сравнению с iptables

-A PREROUTING -d 194.44.xx.yy -p tcp -m tcp --dport 5900 -j DNAT --to-destination 127.0.0.1
-A PREROUTING -d 194.44.xx.yy -p udp -m udp --dport 5900 -j DNAT --to-destination 127.0.0.1

af5 ★★★★★
(13.11.09 15:15:34 MSK)

а ещё можно ipvsadm использовать

dimon555 ★★★★★
(13.11.09 15:53:58 MSK)

Ссылка

Ответ на: комментарий от af5 13.11.09 15:15:34 MSK

> -A PREROUTING -d 194.44.xx.yy -p tcp -m tcp --dport 5900 -j DNAT --to-destination 127.0.0.1

не работает (.
мне нужен как бы редирект на именно локалхост, а не на другой хост (т.б. за натом)

mamantoha ★
(13.11.09 16:09:04 MSK) автор топика

Ответ на: комментарий от af5 13.11.09 15:15:34 MSK

может еще надо SNAT сделать?

mamantoha ★
(13.11.09 17:05:09 MSK) автор топика

Ответ на: комментарий от mamantoha 13.11.09 17:05:09 MSK

покажите iptables-save
чувствую у вас там не всё в порядке

af5 ★★★★★
(13.11.09 18:16:59 MSK)

Ссылка

Ответ на: комментарий от mamantoha 13.11.09 17:05:09 MSK

и заодно
ip a
ip r

af5 ★★★★★
(13.11.09 18:17:45 MSK)

Ссылка

Ответ на: комментарий от mamantoha 13.11.09 16:09:04 MSK

вообще-то бессмыслица какая-то, зачем запускать vnc на 127.0.0.1 а потом с того же порта сетевого интерфейса прокидывать коннект?
Почему не запустить VNC сразу на этом IP ? Причём тут нат?
или вы не знаете даже где у вас VNC слушает?
покажите еще
netstat -ntlp

af5 ★★★★★
(13.11.09 18:33:27 MSK)

Ссылка

Ответ на: комментарий от mamantoha 13.11.09 16:09:04 MSK

>не работает (.

Если я правильно понял задачу,
iptables -t nat -A OUTPUT -d 194.44.xx.yy -p tcp --dport 5900 -j REDIRECT

nnz ★★★★
(13.11.09 21:56:02 MSK)

Ответ на: комментарий от nnz 13.11.09 21:56:02 MSK

по ходу с сервисами прибитыми к 127.0.0.1 всё не так просто, твой способ тоже не будет работать если с внешки подключаться.

af5 ★★★★★
(14.11.09 09:21:18 MSK)

Ответ на: комментарий от mamantoha 13.11.09 17:05:09 MSK

автор, с какой целью vnc на 127.0.0.1 повесили?
обычно это делают чтобы кнему через ssh тннель подключаться для защиты соединения
ssh -L 5999:localhost:5900 user@194.44.xx.yy

в вашем случае rinetd ничего не защищает такчто можете просто vnc отлепить от 127.0.0.1

af5 ★★★★★
(14.11.09 09:31:47 MSK)

Ответ на: комментарий от af5 14.11.09 09:31:47 MSK

с целью изучения kvm
Всем спасибо. Остановился на варианте ssh-туннель

mamantoha ★
(14.11.09 16:24:15 MSK) автор топика

Ссылка

Ответ на: комментарий от af5 14.11.09 09:31:47 MSK

в большей мере, вопрос был чисто спортивный ))) На первый взгляд задача вроде не сложная. Но...

mamantoha ★
(14.11.09 16:27:11 MSK) автор топика

Ссылка

Ответ на: комментарий от af5 14.11.09 09:21:18 MSK

>по ходу с сервисами прибитыми к 127.0.0.1 всё не так просто, твой способ тоже не будет работать если с внешки подключаться.

Можно попробовать rp_filter отключить. Или скажем, SNAT кастануть :)
Интересная задачка.

nnz ★★★★
(14.11.09 18:05:20 MSK)

Ответ на: комментарий от nnz 14.11.09 18:05:20 MSK

>Или скажем, SNAT кастануть :)

imho, слишком многоколёсный велосипед получится

af5 ★★★★★
(14.11.09 19:00:34 MSK)

Ссылка

Ответ на: комментарий от af5 14.11.09 09:21:18 MSK

>по ходу с сервисами прибитыми к 127.0.0.1 всё не так просто, твой способ тоже не будет работать если с внешки подключаться

тру.

для этой задачи надо сделать dummy-интейфейс и повесить на него внц. а с ним dnat работает как часы. проверено

Cosmicman ★★
(15.11.09 21:40:05 MSK)

Ответ на: комментарий от Cosmicman 15.11.09 21:40:05 MSK

но ssh вариант конечно лучше всего :)

Cosmicman ★★
(15.11.09 21:41:18 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	NX сервер и удаленные машины

Admin

Выбор корпоративного почтовика

→

Похожие темы