LINUX.ORG.RU

Не доступны извне некоторые WEB-серверы


0

1

Здравствуйте, уважаемые.

Столкнулся с такой проблемой. Есть 2 сервера. В правилах шлюза прописано:

$iptables -t nat -A PREROUTING -p tcp -s XX.X.XX.XXX -d YY.YYY.Y.YYY --dport 8200 -j DNAT --to-destination 192.168.0.200:80

$iptables -t nat -A PREROUTING -p tcp -s XX.X.XX.XXX -d YY.YYY.Y.YYY --dport 8225 -j DNAT --to-destination 192.168.0.225:80

$iptables -A -i eth2 -o eth0 -p tcp -d 192.168.0.200 --dport 80 -j ACCEPT

$iptables -A -i eth2 -o eth0 -p tcp -d 192.168.0.235 --dport 80 -j ACCEPT

При всех остальных равных условиях в правилах iptables до 200-го достукиваюсь, до 225-го - нет. Из локальной сети оба по HTTP доступны. Посоветуйте, где ковырять, как обнаружить, на каком участке затык? Как посмотреть, какие пакеты прошли, какие нет? Где застопорились? Желательно, подробно, я еще не слишком грамотен в администрировании Linux.

Оба сервера - на Ubuntu Server 11.04. Вот еще сведения, если нужно:

220-й:

root@dispback:~# uname -a

Linux dispback 2.6.38-11-generic-pae #48-Ubuntu SMP Fri Jul 29 20:51:21 UTC 2011 i686 i686 i386 GNU/Linux

225-й:

root@webdisp2:~# uname -a

Linux webdisp2 2.6.38-8-generic-pae #42-Ubuntu SMP Mon Apr 11 05:17:09 UTC 2011 i686 i686 i386 GNU/Linux

Благодарю заранее.

$iptables -A -i eth2 -o eth0 -p tcp -d 192.168.0.235 --dport 80 -j ACCEPT
$iptables -A FORWARD -i eth2 -o eth0 -p tcp -d 192.168.0.235 --dport 80 -j ACCEPT
uspen ★★★★★
()
Ответ на: комментарий от uspen

Да, все верно, я FORWARD забыл здесь написать, а в правилах есть.

Present
() автор топика
Ответ на: комментарий от uspen

У меня еще был вопрос: как определить на каждом звене, проходят пакеты или нет? Это - пропускаются ли пакеты на eth2, проходят ли с eth2 на eth0, доходят ли вообще до WEB-сервера, и что немаловажно, отследить их обратный путь.

Present
() автор топика
Ответ на: комментарий от Present

traceroute?
Только желательно учитывать, что ICMP может быть отключен на каком то веб сервере.

отследить их обратный путь.

o_O

winddos ★★★
()
Ответ на: комментарий от Present

На 225 запусти 'tcpdump host XX.X.XX.XXX ' и смотри, доходят ли внешние пакеты при обращении на YY.YYY.Y.YYY:8225
Т.к. правила iptables для обоих хостов идентичны, есть подозрение, что на 225 ты что-то забыл, например дефолтный шлюз указать...

madcore ★★★★★
()
Ответ на: комментарий от madcore

Опаньки. А вот про шлюз я забыл. Спасибо большое. Уже который раз про эти грабли забываю. Блин, где бы записать....... )))

Present
() автор топика
Ответ на: комментарий от uspen

А, ну да, точно. Там немного сложнее, там существенно больше серверов, и все вели себя по-разному (то дают, то не дают). Я просто на примере двух описал ситуацию, и где-то в цифре ошибся. Сейчас шлюзы всем выставил. Теперь все дают. ))) Спасибо всем большое.

Present
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.