iptables + mysql + ovz = wtf?

0

0

Доброе время суток!

Есть такие строки на HN (192.168.0.1):
-A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 192.168.200.13:3306
-A PREROUTING -d 127.0.0.1 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 192.168.200.13:3306
-A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 3307 -j DNAT --to-destination 192.168.200.13:3307
-A PREROUTING -d 127.0.0.1 -p tcp -m tcp --dport 3307 -j DNAT --to-destination 192.168.200.13:3307
-A PREROUTING -d 192.168.0.1 -p udp -m udp --dport 3306 -j DNAT --to-destination 192.168.200.13:3306
-A PREROUTING -d 127.0.0.1 -p udp -m udp --dport 3306 -j DNAT --to-destination 192.168.200.13:3306

В контейнере с адресом 192.168.200.13 установлен MySQL. Насколько понимаю, приведенные правила должны переправить mysql-трафик с 192.168.0.1 на 192.168.200.13 (тут все цепочки разрешены).

Выключаем мускул на 192.168.0.1:
# /etc/init.d/mysql stop
* Stopping MySQL database server mysqld [ OK ]
И пытаемся использовать через переадресацию iptables виртуальный мускул
# mysql -u root -h 192.168.0.1 -p hosting
Enter password:
ERROR 2003 (HY000): Can't connect to MySQL server on '192.168.0.1' (111)

Тут 192.168.0.1 (!!) отвечает, что мускул выключен. вместо того, чтобы перекинуть трафик на 192.168.200.13

Я бы понял, если бы мне «внутренний» MySQL ругался бы на то, что я прав не имею для коннекта... Но такое поведение непонятно.

Ссылка

←	postfix создает новые maildir с правами 0700 а хочестся 0755

Настройка apache на CentOS

→

cat /proc/sys/net/ipv4/ip_forward

~~power~~ ★
(27.12.09 21:57:33 MSK)

Для трансляции локальных соединений лучше использовать цепочку OUTPUT, а не PREROUTING.

nnz ★★★★
(27.12.09 22:19:54 MSK)

Ответ на: комментарий от power 27.12.09 21:57:33 MSK

cat /proc/sys/net/ipv4/ip_forward
1

ХЗ, зачем вы спрашиваете, раз другие ВЕ работают :)

vasya_p
(27.12.09 23:02:51 MSK) автор топика

Ответ на: комментарий от nnz 27.12.09 22:19:54 MSK

А можете на примере показать для моего случая?

vasya_p
(27.12.09 23:06:07 MSK) автор топика

Ответ на: комментарий от vasya_p 27.12.09 23:02:51 MSK

> ХЗ, зачем вы спрашиваете, раз другие ВЕ работают :)
Ну простите.

~~power~~ ★
(27.12.09 23:20:50 MSK)

Ссылка

Ответ на: комментарий от vasya_p 27.12.09 23:06:07 MSK

В приведенном вами случае можно и без НАТа обойтись.
Хотя, вам, конечно виднее, а я не экстрасенс.
Попробуйте почитать маны.

~~power~~ ★
(27.12.09 23:24:22 MSK)

Ответ на: комментарий от power 27.12.09 23:24:22 MSK

маны... маны, конечно, интересно и нужно. особенно, если это что-то тривиальное :) Раз советуете, значит там что-то очевидное и я скоро справлюсь. спасибо за помощь.

vasya_p
(27.12.09 23:28:53 MSK) автор топика

Ссылка

Ответ на: комментарий от vasya_p 27.12.09 23:06:07 MSK

>А можете на примере показать для моего случая?

Все то же самое, но вместо PREROUTING — OUTPUT.

nnz ★★★★
(27.12.09 23:38:21 MSK)

Ответ на: комментарий от nnz 27.12.09 23:38:21 MSK

не, не помогло (я в *nat заменил PREROUTING на OUTPUT ) - тоже самое

vasya_p
(27.12.09 23:56:07 MSK) автор топика

Ссылка

По идее все должно было перекинуться.

nmap -p 3306-3307 192.168.200.13

с 192.168.0.1 точно видет открытые порты?

Если сделать еще что-то вроде

iptables -A POSTROUTING -p tcp -d 192.168.200.13 --dport 3306 -j SNAT --to-source 192.168.200.13

ситуация тоже не меняется?

Deleted
(28.12.09 00:35:55 MSK)

Ответ на: комментарий от Deleted 28.12.09 00:35:55 MSK

С ХН nmap не работает (жалуется, что venet) а из виртуалки рапортует, что:
root@kolo:/# nmap -p 3306-3307 192.168.200.13

Starting Nmap 4.53 ( http://insecure.org ) at 2009-12-28 00:45 MSK Interesting ports on kolo.office (192.168.200.13):
PORT STATE SERVICE
3306/tcp closed mysql
3307/tcp closed unknown

vasya_p
(28.12.09 00:49:27 MSK) автор топика

Ответ на: комментарий от Deleted 28.12.09 00:35:55 MSK

s# nmap -PN -p 3306-3307 192.168.200.13

Starting Nmap 4.53 ( http://insecure.org ) at 2009-12-27 23:53 EET
Failed to find device venet0 which was referenced in /proc/net/route
Failed to find device venet0 which was referenced in /proc/net/route
Failed to find device venet0 which was referenced in /proc/net/route
Failed to find device venet0 which was referenced in /proc/net/route
Failed to find device venet0 which was referenced in /proc/net/route
Failed to find device venet0 which was referenced in /proc/net/route
Failed to find device venet0 which was referenced in /proc/net/route
Interesting ports on 192.168.200.13:
PORT STATE SERVICE
3306/tcp filtered mysql
3307/tcp filtered unknown