iptables и проброс портов

0

2

Есть сервак в локалке и есть шлюз. Со шлюза 80 порт проброшен на этот сервак. На серваке крутятся несколько php-скриптов, которым надо собирать статистику. И вот в результате мы имеем в $_SERVER['REMOTE_ADDR'] адрес этого шлюза, а не реальный адрес, с которого пришел клиент. Как бы это победить?

Причем раньше подобную схему уже делал, таких проблем не было

Ссылка

←	[archlinux] Установка oracle

dhcpd leases

→

$_SERVER['HTTP_X_FORWARDED_FOR'] - это не из той оперы, нет?

~~adriano32~~ ★★★
(10.05.11 01:52:42 MSK)

Ответ на: комментарий от adriano32 10.05.11 01:52:42 MSK

не, вообще не палится нигде внешний ип((

boombick ★★★★★
(10.05.11 01:58:21 MSK) автор топика

Ответ на: комментарий от boombick 10.05.11 01:58:21 MSK

Выкидывай сюда кусок конфига iptables с организацией проброса.

~~adriano32~~ ★★★
(10.05.11 01:59:14 MSK)

Ответ на: комментарий от adriano32 10.05.11 01:59:14 MSK

10.10.10.10 - внешний ип шлюза 192.168.100.101 - внутренний ип шлюза 192.168.100.1 - ип сервера в локалке eth0 - внешний интерфейс шлюза tun0 - внутренний интерфейс шлюза

# Generated by iptables-save v1.3.5 on Tue May 10 08:35:47 2011
*filter
:INPUT ACCEPT [11903:1546621]
:FORWARD ACCEPT [4422:208966]
:OUTPUT ACCEPT [12488:6392817]
-A FORWARD -d 192.168.100.1 -i eth0 -o tun0 -p tcp -m tcp --dport 80 -j ACCEPT 
COMMIT
# Completed on Tue May 10 08:35:47 2011
# Generated by iptables-save v1.3.5 on Tue May 10 08:35:47 2011
*nat
:PREROUTING ACCEPT [2450:229555]
:POSTROUTING ACCEPT [11:1064]
:OUTPUT ACCEPT [11:1064]
-A PREROUTING -d 10.10.10.10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.1:80 
-A POSTROUTING -d 192.168.100.1 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.100.101 
-A OUTPUT -d 10.10.10.10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.1 
COMMIT
# Completed on Tue May 10 08:35:47 2011

boombick ★★★★★
(10.05.11 02:38:56 MSK) автор топика

Ответ на: комментарий от boombick 10.05.11 02:38:56 MSK

-A POSTROUTING -d 192.168.100.1 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.100.101

Убери. И добавь дефолт роут на сервер, если его нет.

ventilator ★★★
(10.05.11 04:27:49 MSK)

Ответ на: комментарий от ventilator 10.05.11 04:27:49 MSK

можно и без дефолта в этом случае, просто роут на подсеть прихода через шлюз

~~visual_pipe~~
(10.05.11 04:31:29 MSK)

Ссылка

Ответ на: комментарий от adriano32 10.05.11 01:52:42 MSK

если был squid то из этой

~~visual_pipe~~
(10.05.11 04:32:01 MSK)

Ответ на: комментарий от visual_pipe 10.05.11 04:32:01 MSK

имхо автор имел ввиду что клиент приходит из инета, тогда нужен дефолт.

ventilator ★★★
(10.05.11 04:47:42 MSK)

Ответ на: комментарий от ventilator 10.05.11 04:47:42 MSK

тогда да, согласен

~~visual_pipe~~
(10.05.11 05:25:20 MSK)

Ссылка

Ответ на: комментарий от ventilator 10.05.11 04:27:49 MSK

В таком случае вопрос - почему такая же схема работала раньше в аналогичной ситуации и не работает сейчас? Может есть какие-то параметры iptables, о которых я не знаю? :)

boombick ★★★★★
(10.05.11 08:59:11 MSK) автор топика

Ответ на: комментарий от boombick 10.05.11 08:59:11 MSK

Отключи SNAT,
оставь только правила DNAT и FORWARD.

Вобщем, вентилятор прав.

~~Novator~~ ★★★★★
(10.05.11 09:37:26 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[archlinux] Установка oracle

Admin

dhcpd leases

→

Похожие темы