lonely wolf wrote: >Paul Lacatus wrote: > > >>Se da un calculator in spatele unui ruter linux. Vreau sa redirectez >>niste porturi ale lui sa se vada din exterior. SSH pentru management is >>HTTP pentru mrtg. Fac redirectarilele in ruter >> >>[EMAIL PROTECTED] ~]# iptables -t nat -L >>Chain PREROUTING (policy ACCEPT) >>target prot opt source destination >>DNAT tcp -- anywhere xxx.xxx.xxx.xxx tcp >>dpt:ssh2 to:192.168.100.2:22 >>DNAT tcp -- anywhere xxx.xxx.xxx.xxx tcp >>dpt:http2 to:192.168.100.2:80 >> >> >perfect ... > > > >>Chain POSTROUTING (policy ACCEPT) >>target prot opt source destinati >>MASQUERADE all -- 192.168.100.2 anywhere >> >> >nu e necesar decit daca vrei ca 192.168.100.2 sa initieze el conexiuni spre >net. raspunsurile lui la query-uri externe sint manipulate de contrack + >PREROUTING > > > trebuie si el sa " yum update"
>>Chain OUTPUT (policy ACCEPT) >>target prot opt source destination >> >> >neinteresant pt DNAT > > > >>Incerc din reteaua locala cu putty catre xxx.xxx.xxx.xxx :ssh2 merge, >>browsing catre xxx.xxx.xxx.xxx:http2 merge. >> >> >nerelevant, nu trec prin router deoarece sint locale > > sunt trimise catre interfata de exterior a ruterului deci ar trebui sa treaca prin ruter. > > >> Incerc din afara ssh-ul >>catre xxx.xxx.xxx.xxx:ssh2 da "no route to host" . Browsingul catre >>xxx.xxx.xxx.xxx:http2 merge. >> >> >dar in FORWARD i-ai dat voie ? ai nevoie de ceva de genul (sintaxa nu e ok, >check man pages): >iptables -d 192.168.100.23 -o $INTERNAL_INTERFACE -m multiport --dport 22,80 >-j >ACCEPT /* eventual daca vrei sa fii purist, match state NEW, EST, REL >iptables -s 192.168.100.23 -i $INTERNAL_INTERFACE -m multiport --sport 22,80 >-j >ACCEPT -m state REL,EST > > > > >> in ruter pe input sunt deschise ssh2 si httpd : >> >> >nerelevant. ai nevoie pe forward. > > > >>Nu ma prind acuma unde e problema. >> >> >ai confundat input cu forward :) > > > > Dar chestia care m-a dat peste cap este ca MERGE catre http2 si NU MERGE catre ssh2 . Daca nu deschid INPUT pe ruter catre ssh2, httpd2, nu merge nimic. Aici e o chestie care eu nu o simt clar. Daca redirectarile se duc prin FORWARD sau INPUT. In fond pachetul e e adresat catre un port local a ruterului deci INPUT. PL --- Detalii despre listele noastre de mail: http://www.lug.ro/
