Редирект порта через iptables

У Вас web-сервер запускается из-под рута? о_О Это как, если не секрет?

А то у меня от www-data:www-data из коробки работает (debian/ubuntu и centos).

Сейчас он пока никак не запускается, потому что под рутом не запускаю. А вообще sudo + демон веб-сервера, например. И под веб-сервером я не подразумеваю всякие LAMP-ы, апачи и прочие. Просто есть исполняемый файл, который собственно и слушает порт, и отвечает на запросы, ведёт себя как типичный http-сервер.

Но ничего не помогло

iptables выдает ошибку или нет, но редирект не срабатывает?

Никаких ошибок, просто редирект не срабатывает.

алиасы для людей, для ядра это всё тот же физический интерфейс, поэтому изыски типа -i venet0:0 не сработают
пиши source ip или что там у тебя...

--dport 80

-s 123.123.123.1

Что хотел этим сказать то?

Честно — I have no idea! Я просто увидел и повторил как валенок, в надежде что это запашет.

А вообще sudo + демон веб-сервера, например

Ну процесс все равно запуститься от рута, а потом сменит пользователя на того кто указан в конфиге.

Rly? o_O В любом случае, — если этот процесс запустит впоследствии какой-нибудь rm / -rf, — то ему невозбранно позволится это сделать.

У меня смысл не в том, чтобы имя пользователя где-то фигурировало конкретное, а чтобы у http-сервера не было прав стрелять себе в колено.

Это вот так?

/sbin/iptables -A PREROUTING -t nat -s 123.123.123.1 -p tcp --dport 80 -j REDIRECT --to-port 8000

Rly? o_O В любом случае, — если этот процесс запустит впоследствии какой-нибудь rm / -rf, — то ему невозбранно позволится это сделать.

В последствии не позволится.

Мне нужно перенаправить 8000 порт на 80-ый, потому что от рута запускать http-сервер — это не торт.

Кстати, этот 80й порт все равно должен будет слушать кто-то с правами рута.

Тебе нужен не редирект, а способность юзерского процесса повиснуть на привилегированном порту. man setcap.

По сабжу я и хочу сделать, чтобы ничему в юзерспейсе от рута не надо было слушать. Я уже так делал раньше, но в данном случае это почему-то не работает. Точнее предположить можно почему не работает, потому что ситуация необычная, тут сетевые устройства именуются с алиасами, и я тут решительно ничего не понимаю.

Такой тулзы в этой системе нет.

Кстати, этот 80й порт все равно должен будет слушать кто-то с правами рута.

Окстись.

Доброго времени суток! Мне нужно перенаправить 8000 порт на 80-ый, потому что от рута запускать http-сервер — это не торт

А зачем его запускать от рута? Что это за сервер такой, не могущий в захват привилегированных ресурсов?

Ааа, пятый... А я про шестой пишу.
Ну выкинь для начала вообще любые указания на интерфейс и айпишник.
iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-port 8000
Пашет?

А в:

sudo /sbin/iptables --list

Тю, наконец-то до меня дошло что ты хочешь сделать. Интересная идея.

В том-то и дело, что незачем, посему и сабж.

iptables -L -t nat

iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-port 8000

Не пашет. Квест походу не так прост.

iptables -L -t nat
REDIRECT   tcp  --  anywhere             anywhere            tcp dpt:http redir ports 8000

Ещё думаю нужно отметить нюанс, что извне на 8000 порт доступ закрыт. Нужно это как-то локально в вакууме отредиректить, на localhost.

Дык ты проблему не с того конца решаешь.

Каким именно образом закрыт доступ извне на порт 8000? И с какой целью?

Нужно это как-то локально в вакууме отредиректить, на localhost

Нельзя на localhost, пакеты с адресом 127.0.0.1 будут признаны масианскими. Ваш http-сервер слушает какой адрес? Надесюсь 0.0.0.0 или 123.123.123.1.

HTTP-сервер на ноде, и он слушает порт 8000 со всех адресов.

Даже не знаю как закрыт конкретно, vps-хостер hostgator — пишут, что закрывают из соображений безопасности, типа если нужно что-то открыть, то пишите в саппорт.

Хоршо, на запросы с localhost (telnet 127.0.0.1 8000) ваш сервер отвечает? И аналогично, для адреса 123.123.123.1 (запускать telnet на той же машине, где и http-сервер. telnet должен установить соединение и на двойное нажатие ″Enter″ выкинуть текст, содержащиё http сообщение об ошибке.

Посмотрите ″iptables -t nat -L PREROUTING -n -v -x″ там в начале для правила выводятся счётчики срабатываний. Если у вашего REDIRECT правила они нулевый, то либо пакеты не доходят, либо вы как-то неправильно проверяли, что «Не пашет».

И ещё, в CentOS, ЕМНИП, по умолчанию iptables запрещает извне коннект на любые порты, кроме 22. Если у вас сервер запускается на 80-порту, то коннекты к нему проходят?

И я ещё не уверн, но может проблема в VPS, может там и не должен работать REDIRECT...

Ах вот оно как. Тогда сходу и не скажу.

Если от рута стартую на 80-ом, — всё работает.

Данные идут:

sudo /sbin/iptables -t nat -L PREROUTING -n -v -x
Chain PREROUTING (policy ACCEPT 74 packets, 4096 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
      67     4020 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 8000

Ну добавьте в INPUT разрешающие правило для порта 8000 и потом посмотрите, будет ли у него менятся счётчик:

iptables -I INPUT -p tcp --dport 8000 -j ACCEPT

После ACCEPT заработало всё!

Благодарю!

Итог:

sudo /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT
sudo /sbin/iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-port 8000

INFO: На VPS у hostgator эти команды нужно писать в /etc/firewall/INCLUDE