Проблема с проброской портов и ssh

0

0

Проблема с проброской портов и ssh

Есть пара Redhat в локалке, к ним должен быть доступ из вне по ssh.
Управлять redhat'ами не могу.
Ко мне, на подконтрольную машину, с одним сетевым интерфейсом,
по порту 10022 попадает трафик который надо редиректить на redhat1 :22

Я пишу:
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 10022 -j DNAT --to-destination redhat1:22

Пробую подконнектится из вне:
time ssh internal_ip -p 10022
real 3m0.215s
user 0m0.000s
sys 0m0.000s

(прервал, будет Connection refused)

Причем, из локалки ssh redhat1 идет только в путь...

В чем может быть проблема, если трафик точно попадает мне на 10022, вижу в логах?

Ссылка

←	Насколько безопасно использование fsck -n ?

[openfire] Перенос контактов

→

vadv> Ко мне, на подконтрольную машину, с одним сетевым интерфейсом,

Проблема в обратном маршруте:

1. На RedHat должен быть прописан маршрут по-умолчанию на твою «подконтрольную машину»
или
2. На подконтрольной машине надо сделать SNAT перед выбросом трафика к RedHat'y, чтобы ответ вернулся к тебе, а не на маршрут по-умолчанию.

~~sdio~~ ★★★★★
(31.03.10 18:15:26 MSD)

Ответ на: комментарий от sdio 31.03.10 18:15:26 MSD

>с одним сетевым интерфейсом

можно сделать сначала PREROUTING и перенаправить пакет, а потом этому же пакету POSTROUTING и занатить его на себя

Kiteman ★
(31.03.10 18:24:33 MSD)

а еще можно использовать ssh туннель

Zur0 ★
(31.03.10 18:40:31 MSD)

Ссылка

Ответ на: комментарий от Kiteman 31.03.10 18:24:33 MSD

Читай пункт 2

~~sdio~~ ★★★★★
(31.03.10 20:42:56 MSD)

Ссылка

Про SNAT уже сказали, проверка default gateway прежде всего.

Добавлю, что проблема еще может быть в filter/FORWARD и sysctl net.ipv4.ip_forward — наличие проброса НЕ означает автоматического наличия разрешения на передачу трафика.

nnz ★★★★
(01.04.10 00:31:39 MSD)

Ответ на: комментарий от nnz 01.04.10 00:31:39 MSD

>проверка default gateway прежде всего sdio и kiteman сказали все, чтоб обойти гейт.

Опять-же, для чего это нужно, и как часто. Если просто зайти иногда на редхаты (получить их шел), то что мешает сделать доступ к своей машине, а с нее уже запускать ssh на то, что нежно в локалке.

lvi ★★★★
(01.04.10 11:16:30 MSD)

Ссылка

Ответ на: комментарий от sdio 31.03.10 18:15:26 MSD

Спасибо за объяснение с обратным маршрутом, доперло :)

vadv ★★
(01.04.10 12:49:38 MSD) автор топика

Ответ на: комментарий от vadv 01.04.10 12:49:38 MSD

Добавим еще ложечку дегтя, для полноты.

Поскольку SNATом на своей машине ты меняешь действительный адрес источника, то во всех логах на РедХате будет адрес твоей машины. Не видно с какого действительного адреса были соединения.

lvi ★★★★
(03.04.10 19:51:17 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Насколько безопасно использование fsck -n ?

Admin

[openfire] Перенос контактов

→

Похожие темы