Правило для NAT Loopback

0

1

Привет. Пытаюсь из RHEL 6 сделать роутер, в целом все настроил, но есть второй сервер (тоже с RHEL6) нам нам apache и соответственно на первом сервере надо пробросить 80 порт на второй сервер.

#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.0.1.15:80

Из интернета, если зайти на mysite.com, то все отлично открывается, а если зайти с компа на mysite.com из той же сети что и сервер, то не открывается.

Предположу что это NAT Loopback, но какое правило для него прописать в iptables никак не могу понять, всю голову сломал(

Заранее спасибо.

Ссылка

←	Slax и Grub 2

Есть пользователи xf86-video-ati с карточками на S. Island?

→

Есть мнение, что компы из внутренней сети не знают о внешнем адресе, стало быть надо добавить такое же правило, но только для внутренней подсети. Например

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.15:80

Я могу ошибаться.

~~the_green~~
(07.04.13 09:06:13 MSK)

Ответ на: комментарий от the_green 07.04.13 09:06:13 MSK

Мрр :) До этого, когда пытался отрыть адрес, то браузер моментально говорил что открыть нереально. Сейчас уходит в вечный лоадинг.

Я просто, если честно, даже вообще без понятия что и как этот iptables работает, только немного.

И толком статей в гугле нет на эту тему, только вот эта, но после нее я сам ушел в вечный лоадинг (( http://for-invent.com/nat-loopback-using-iptables/

i54854684
(07.04.13 10:29:43 MSK) автор топика

Ответ на: комментарий от i54854684 07.04.13 10:29:43 MSK

Я вижу вашу сеть примерно такой. Это так?

ЗЫ сложно помочь не зная топологию.

~~the_green~~
(07.04.13 10:44:55 MSK)

Ответ на: комментарий от the_green 07.04.13 10:44:55 MSK

Во, да, именно так :) Client не может зайти на web server, если пытаться зайти на mysite.com этого сервера.

i54854684
(07.04.13 10:55:25 MSK) автор топика

Ссылка

Ответ на: комментарий от the_green 07.04.13 10:44:55 MSK

На всякий случай, я использую MASQUERADE. Просто часто виду сякие примеры, но там они используют SNAT.

i54854684
(07.04.13 11:00:22 MSK) автор топика

Ответ на: комментарий от i54854684 07.04.13 11:00:22 MSK

А если мы пойдем не на mysite.com, а на ip адрес той машины на которой пишем правила для редиректа, что получится?

~~the_green~~
(07.04.13 11:03:09 MSK)

Ответ на: комментарий от the_green 07.04.13 11:03:09 MSK

На IP роутера? Все так же, к сожалению. Из интернета открывается, из локальной сети моментально пишет что открыть невозможно.

i54854684
(07.04.13 11:06:33 MSK) автор топика

Ответ на: комментарий от i54854684 07.04.13 11:06:33 MSK

Расскажите мне адрес внутреннего интерфейса и цифру которая идет после eth

~~the_green~~
(07.04.13 11:14:31 MSK)

Ответ на: комментарий от the_green 07.04.13 11:14:31 MSK

Роутер: В интернет eth0 - адрес внешний, динамический. В локальную сеть eth1 - 10.0.1.1 - 255.255.255.0

Apache сервер имеет только eth0 - 10.0.1.15

i54854684
(07.04.13 11:19:51 MSK) автор топика

Ответ на: комментарий от i54854684 07.04.13 11:19:51 MSK

Ну, все правильно. Попробуйте так:

iptables -t nat -I PREROUTING -d 10.0.1.1 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.15:80

~~the_green~~
(07.04.13 11:24:17 MSK)

Ответ на: комментарий от the_green 07.04.13 11:24:17 MSK

Чееееррртт(( Увы, не работает(

i54854684
(07.04.13 11:27:49 MSK) автор топика

Ответ на: комментарий от i54854684 07.04.13 11:19:51 MSK

Только я не понимаю смысла всего этого, ведь клиенты и веб сервер находятся в одной подсети и обращаться к веб серверу можно напрямую, а если важно имя то прописать его в hosts или поднять свой днс для локалки.

~~the_green~~
(07.04.13 11:28:44 MSK)

Ответ на: комментарий от i54854684 07.04.13 11:27:49 MSK

Чееееррртт(( Увы, не работает(

Увы, я исчерпал свой ресурс знаний.

~~the_green~~
(07.04.13 11:30:25 MSK)

Ссылка

Ответ на: комментарий от the_green 07.04.13 11:28:44 MSK

Сервер обрабатывает клики от интернет рекламы. По сути во внутренней сети только я. Нужно заходить именно через mysite.com чтобы генерировать ссылки.

Про DNS тоже давали такую идею, но только это еще хуже для меня... Впрлане DNS для меня темный лес.

В любом случае огромное спасибо что попытались.

i54854684
(07.04.13 11:33:37 MSK) автор топика

Ответ на: комментарий от i54854684 07.04.13 11:33:37 MSK

Дружище, смотри сюда:

iptables -t nat -A PREROUTING --dst 10.0.1.1 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.15

iptables -t nat -A POSTROUTING --dst 10.0.1.15 -p tcp --dport 80 -j SNAT --to-source 10.0.1.1

У меня отработало нормально. Вся суть в том, что сервер отдает пакет не тебе, а шлюзу. Курить вот это тыц

~~the_green~~
(07.04.13 12:29:21 MSK)

Ответ на: комментарий от the_green 07.04.13 12:29:21 MSK

Один глупый вопрос. А если я использую MASQUERADE, а не SNAT, то как должно выглядить вторая строчка? Я естественно попрбовал заменить, но правило даже не применилось.

i54854684
(07.04.13 17:36:20 MSK) автор топика

Ответ на: комментарий от i54854684 07.04.13 17:36:20 MSK

Пусть так и остается.

~~the_green~~
(07.04.13 17:37:51 MSK)

Ответ на: комментарий от the_green 07.04.13 17:37:51 MSK

Увы :( Сейчас попробую почитать ссыоку, которую вы дали, только проснулся. Еще интересная вещь замечена. Когда применяю эти правила, то система, которая учитывает клики, показывает что все клики пришли с 10.0.1.1. Как только сбрасываю настройки iptables, то все нормально становится. https://picasaweb.google.com/lh/photo/k0pf4DcL_YeEDrmhLAhCyUURBD15VZnos5ehwxI...

i54854684
(07.04.13 17:52:12 MSK) автор топика

Ответ на: комментарий от the_green 07.04.13 17:37:51 MSK

Я без понятия что я делаю, но всякие эксперементы привили вот к чему. Опять же, читал тут: http://for-invent.com/nat-loopback-using-iptables/ Они говорят ввести:

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 58.96.95.114 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.250

iptables -t nat -A POSTROUTING -d 192.168.0.250 -s 192.168.0.0/24 -p tcp --dport 80 -j SNAT --to-source 58.96.95.114

Меняю на свои адреса и свою подсеть, за исключение параметра -d 58.96.95.114, так как у меня внешний адрес динамический.

iptables -t nat -A PREROUTING -s 10.0.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.15
iptables -t nat -A POSTROUTING -d 10.0.1.15 -s 10.0.1.0/24 -p tcp --dport 80 -j SNAT --to-source 10.0.1.1

Моя сервер открывается! Но, тогда интернет

https://picasaweb.google.com/lh/photo/IPNUrjYJiOFxDRPrhZN1TUURBD15VZnos5ehwxI... ighlight">[root@hprouter ~]# service iptables status destination 0.0.0.0/0           state RELATED,ESTABLISHED 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0           state NEW tcp dpt:22 0.0.0.0/0           state NEW tcp dpt:53 0.0.0.0/0           state NEW udp dpt:53 0.0.0.0/0           reject-with icmp-host-prohibited destination 0.0.0.0/0           state RELATED,ESTABLISHED 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 10.0.1.15           state NEW tcp dpt:80 0.0.0.0/0           reject-with icmp-host-prohibited destination destination 0.0.0.0/0           tcp dpt:80 to:10.0.1.15:80 0.0.0.0/0           tcp dpt:80 to:10.0.1.15 destination 0.0.0.0/0 10.0.1.15           tcp dpt:80 to:10.0.1.1 destination

i54854684
(07.04.13 18:19:45 MSK) автор топика