pytanie o przekierowanie z uzyciem iptables
Witam wszystkich serdecznie, Mam takie zagadnienie. Z zewnetrznej firmy z trzech roznych publicznych ip (xx.xx.xx.xx; yy.yy.yy.yy i zz.zz.zz.zz) potrzebna jest mozliwosc podlaczenia sie do nas na trzy dane ip wewnetrzne (10.0.0.253; 10.0.0.222; 10.0.0.223) do kazdego z tych ip na port 80. Poniewaz nie chce wpuszczac zewnetrznej firmy do calej naszej sieci chcialbym aby niezaleznie z ktorego zewnetrzengo ip beda sie podlaczac na danym porcie np 6001 6002 i 6003 od razu przekierowywalo ich tam gdzie trzeba czyli na dane wew ip i port 80 Mama do grupowiczow duza prosbe sprawdzcie prosze czy ponizsze regulki zalatwia sprawe (dopiero zaczynam z iptables :) ew. czy istnieje bardziej optymlany sposob obsluzenia w/w zagadnienia Z gory dziekuje i pozdrawiam serdecznie Maciej iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Dnia 26-02-2007, pon o godzinie 11:08 +0100, Maciej Kóska napisał(a): Mama do grupowiczow duza prosbe sprawdzcie prosze czy ponizsze regulki zalatwia sprawe (dopiero zaczynam z iptables :) ew. czy istnieje bardziej optymlany sposob obsluzenia w/w zagadnienia Z gory dziekuje i pozdrawiam serdecznie Maciej iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 To jest tylko NATowanie. Jeszcze musisz przepuścić ruch w łańcuchu FORWARD, na przykład tak: iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz -j ACCEPT Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... 2. Wierze ze jest tak jak mówisz z forwardem... w takim razie czy nie dało by się tam od razu wcisnąć NATowania np, czy to zadziała??? iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz --sport 6001 -j ACCEPT czy już coś zupełnie mieszamchyba ze wlasnie nie da sie polaczyc i nat-a i forward-a w jednym i temu potrzebne sa dwa osobne lancuchy??? Dzięki za wyrozumiałość Maciej Krzysiek Kiełczewski napisał(a): Dnia 26-02-2007, pon o godzinie 11:08 +0100, Maciej Kóska napisał(a): Mama do grupowiczow duza prosbe sprawdzcie prosze czy ponizsze regulki zalatwia sprawe (dopiero zaczynam z iptables :) ew. czy istnieje bardziej optymlany sposob obsluzenia w/w zagadnienia Z gory dziekuje i pozdrawiam serdecznie Maciej iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 To jest tylko NATowanie. Jeszcze musisz przepuścić ruch w łańcuchu FORWARD, na przykład tak: iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz -j ACCEPT Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Dnia 26-02-2007, pon o godzinie 13:11 +0100, Maciej Kóska napisał(a): Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... 2. Wierze ze jest tak jak mówisz z forwardem... w takim razie czy nie dało by się tam od razu wcisnąć NATowania np, czy to zadziała??? iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz --sport 6001 -j ACCEPT czy już coś zupełnie mieszamchyba ze wlasnie nie da sie polaczyc i nat-a i forward-a w jednym i temu potrzebne sa dwa osobne lancuchy??? Mieszasz :-) W największym skrócie: są trzy tablice nat, mangle i filter (domyślna). W nat są łańcuchy w których konfigurujesz translacje adresów (źródłowych, docelowych - jak sobie życzysz), w mangle zmieniasz same pakiety (na przykład TTL celem oszukania providera), a samo filtrowanie ruchu *tylko* i wyłącznie w filter. No i oczywiście polecam przeczytanie dokumentacji na netfilter.org. Tak w mailu to się nie da tego wszystkiego wytłumaczyć. Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Tak przypuszczałem, ale jak się nie wyjdzie na głupa to się nic nie nauczy :) How-to do iptables będę sobie czytał do poduszki... :) Miłego dnia i raz jeszcze dzięki za pomoc Maciej Krzysiek Kiełczewski napisał(a): Dnia 26-02-2007, pon o godzinie 13:11 +0100, Maciej Kóska napisał(a): Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... 2. Wierze ze jest tak jak mówisz z forwardem... w takim razie czy nie dało by się tam od razu wcisnąć NATowania np, czy to zadziała??? iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz --sport 6001 -j ACCEPT czy już coś zupełnie mieszamchyba ze wlasnie nie da sie polaczyc i nat-a i forward-a w jednym i temu potrzebne sa dwa osobne lancuchy??? Mieszasz :-) W największym skrócie: są trzy tablice nat, mangle i filter (domyślna). W nat są łańcuchy w których konfigurujesz translacje adresów (źródłowych, docelowych - jak sobie życzysz), w mangle zmieniasz same pakiety (na przykład TTL celem oszukania providera), a samo filtrowanie ruchu *tylko* i wyłącznie w filter. No i oczywiście polecam przeczytanie dokumentacji na netfilter.org. Tak w mailu to się nie da tego wszystkiego wytłumaczyć. Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Maciej Kóska napisał(a): Witam wszystkich serdecznie, Mam takie zagadnienie. Z zewnetrznej firmy z trzech roznych publicznych ip (xx.xx.xx.xx; yy.yy.yy.yy i zz.zz.zz.zz) potrzebna jest mozliwosc podlaczenia sie do nas na trzy dane ip wewnetrzne (10.0.0.253; 10.0.0.222; 10.0.0.223) do kazdego z tych ip na port 80. Poniewaz nie chce wpuszczac zewnetrznej firmy do calej naszej sieci chcialbym aby niezaleznie z ktorego zewnetrzengo ip beda sie podlaczac na danym porcie np 6001 6002 i 6003 od razu przekierowywalo ich tam gdzie trzeba czyli na dane wew ip i port 80 NAT w twoim przypadku, odpowiada za przekierowanie z jakiegoś portu (6001,6002,6003) na jakieś wewnętrzne IP - i nic więcej. Aby zadziałało musisz zezwolić na ruch w łańcuch FORWARD na wewnętrzne hosty. Warto założyć nowe łańcuchy i przekierowywać do nich zewnętrzne firmy. pozdrawia Marek Wyrzykowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Maciej Kóska napisał(a): Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... http://www.docum.org/docum.org/kptd/ Tam masz drogę, którą przebywa pakiet. W nat jest tylko NAT-owany, a w filter jest filtrowany. To są dwie różne rzeczy. PS: Nie toppostuj. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
