Автор Тема: Проброс портов внутрь сети (Прочитано 17964 раз)

Andrey · « **Ответ #45 :** 14.12.2010 10:19:46 »

А софт который этот порт открывает, запущен?

csander · « **Ответ #46 :** 14.12.2010 10:36:21 »

да 100 процентов. это игровой сервер вот на сайте, php скрипт показывает что сервера запущены aion-age.ru 7777 игровой 2106 логин

Andrey · « **Ответ #47 :** 14.12.2010 11:37:44 »

Цитата: csander от 14.12.2010 10:36:21

да 100 процентов. это игровой сервер вот на сайте, php скрипт показывает что сервера запущены aion-age.ru 7777 игровой 2106 логин

Код: [Выделить]

netlist|grep 2106

alspay · « **Ответ #48 :** 13.01.2011 09:55:25 »

имеется несколько вопросов:
1. (пока главный) имеется школьная сеть с прокси-сервером на Вин серв 2003 - 192.168.0.1
надо настроить сервер в классе 192.169.1.1 что бы он выходил на общешкольный сервер только на порт 8080, иначе вин2003 не дает доступ в инет.
2. не совсем понятен sqiud.conf:
acl MyNet 192.168.1.1/24 - acl - это система контроля доступа , то есть мы для нее объявляем внутреннюю сеть с именем MyNet? это имя может быть любым? а по внешней сети тогда как - имя тоже или другое?
3. (немного офтоп) как в vim сохранять изменения, просто он мне больше понравился для редактирования squid.conf, чем МС.

так то вопросов еще много :),пока больше чем ответов на них , но надеюсь разобраться в конце концов))

ruslandh · « **Ответ #49 :** 13.01.2011 10:14:03 »

3. Установите vimtutor и запустите его хотя-бы один раз - там всё по-русски. А так команда w - сорхранить, wq - сохранить и выйти, q! - выход без сохранения.
1 - как я понимаю, это всё раавно, что настроить выход через прокси на клиенте.
2. Названия имён несущественно, просто обычно даются такие имена. что по их названию, видно их назначение.

alspay · « **Ответ #50 :** 13.01.2011 12:36:00 »

За 3) спасибо, разберусь дальше...
по 2) еще раз для тупых - тоесть прописываем обе сети и даем им произвольные имена?
по 1) можно по подробнее именно для серва? для чайников?)) - для клиента я просто прописываю адрес DHCP и адрес прокси с портом а как на серве это и где прописать?

ruslandh · « **Ответ #51 :** 13.01.2011 15:59:58 »

2. А внешняя сеть должна иметь какой-то доступ через прокси?

alspay · « **Ответ #52 :** 13.01.2011 17:02:23 »

внешняя сеть 192.168.0.10 должна выходить на сервер на порт 8080 а уже он будет выпускать в инет, то есть с классной машины на прокси сервер 192.168.1.1 дальше на 192.168.0.1 порт 8080

flint1975 · « **Ответ #53 :** 24.01.2011 13:53:08 »

Суть такая, на 5.01 школьном сервере - настроен роутер, включено ограничение по внутренним клиентам, всем по разному, в зависимости от потребностей.
Так вот есть два компа, которым надо дать все порты свыше 1025! Не спрашивайте зачем, но это руководство.
В справке по этому пункту ничего нет, а рядом с полями - написано: "дополнительные порты через запятую или пробел"
А можно сразу группу портов указать типа 1035-5640?

Skull · « **Ответ #54 :** 24.01.2011 17:10:14 »

Должен понимать и диапазоны портов в виде, принятом в iptables — с разделением двоеточием

Код: [Выделить]

1035:5640

flint1975 · « **Ответ #55 :** 25.01.2011 20:06:44 »

спасибо! Работает и так и эдак!
Т.е. и при использовании дефиса, и двоеточия

Skull · « **Ответ #56 :** 26.01.2011 17:00:16 »

Цитата: flint1975 от 25.01.2011 20:06:44

спасибо! Работает и так и эдак!
Т.е. и при использовании дефиса, и двоеточия

Хорошо, просто по стандарту двоеточие. :)

Belua · « **Ответ #57 :** 20.04.2011 13:43:09 »

не буду поднимать новую тему.
ALT Linux 4.4.5-alt3

Простая задача которая решалась не раз раз и тут на одном сервере не решается уже всё утро =)
Есть web-сервер в локальной сети. Требуется пробросить порт 80 из вне на него

123.123.123.123 - внешний адрес шлюза
172.21.0.1 - внутренний адрес шлюза
172.21.255.234 - внутренний адрес веб-сервера
eth0 - внутренний интерфейс
eth1 - внешний интерфейс

Веб-сервер из внутренних подсетей доступен и слушает только один интерфейс. tcpdump не прояснил ситуацию. iptables управляется etcnet.
результат iptables-save (с убранными комментариями). И это не работает.

Код: [Выделить]

*mangle
:PREROUTING ACCEPT [11714:8201504]
:INPUT ACCEPT [11649:8195839]
:FORWARD ACCEPT [16:1692]
:OUTPUT ACCEPT [12554:9434515]
:POSTROUTING ACCEPT [12570:9436207]
COMMIT

*nat
:PREROUTING ACCEPT [396:31178]
:OUTPUT ACCEPT [102:8743]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 123.123.123.123/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.21.255.234:80 
-A OUTPUT -d 123.123.123.123/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.21.255.234:80 
-A POSTROUTING -o eth1 -j MASQUERADE 
COMMIT

*filter
:INPUT ACCEPT [243:25012]
:FORWARD ACCEPT [16:1692]
:OUTPUT ACCEPT [203:13702]
-A INPUT -f -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j ULOG --ulog-prefix "icount" --ulog-cprange 48 --ulog-qthreshold 50 
-A INPUT -i eth1 -p icmp -j ACCEPT 
-A INPUT -i eth1 -j DROP 
-A FORWARD -f -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50 
-A FORWARD -d 172.21.255.234/32 -p tcp -m tcp --dport 80 -j ACCEPT 
-A FORWARD -d 123.123.123.123/32 -i eth1 -j ACCEPT 
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth1 -j DROP 
-A OUTPUT -f -j DROP 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT

Const · « **Ответ #58 :** 20.04.2011 14:00:36 »

Тогда тему отделю я. Заодно сделаю замечание и попрошу перечитать правила.

Теперь по делу:
/sbin/iptables -t nat -A PREROUTING -p tcp -d OUT.OUT.OUT.OUT --dport PPPP -j DNAT --to-destination IN.IN.IN.IN \
&& /sbin/iptables -A FORWARD -i gw0 -d IN.IN.IN.IN -p tcp --dport 22 -j ACCEPT
Здесь OUT.OUT.OUT.OUT — адрес внешнего интерфейса, к которому обращаемся снаружи, PPPP — порт, к которому обращаемся, IN.IN.IN.IN — адрес внутренней машины в сети.
В этом примере пробрасывается ssh, обращение идёт как
ssh -p PPPP user@OUT.OUT.OUT.OUT
причём user — это пользователь на внутренней машине

Belua · « **Ответ #59 :** 20.04.2011 14:25:16 »

Замечание принял к сведению.
Ниже написанное, проходил. Результат=0. Но вот что на выходе.
Или я уже просто что то не вижу.

Код: [Выделить]

*mangle
:PREROUTING ACCEPT [4813:2420568]
:INPUT ACCEPT [4697:2412766]
:FORWARD ACCEPT [78:4838]
:OUTPUT ACCEPT [4957:2908115]
:POSTROUTING ACCEPT [5035:2912953]
COMMIT

*nat
:PREROUTING ACCEPT [332:26336]
:OUTPUT ACCEPT [120:6240]
:POSTROUTING ACCEPT [4:208]
-A PREROUTING -d 123.123.123.123/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.21.255.234:80 
-A OUTPUT -d 123.123.123.123/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.21.255.234:80 
-A POSTROUTING -o eth1 -j MASQUERADE 
COMMIT

*filter
:INPUT ACCEPT [274:25685]
:FORWARD ACCEPT [14:1368]
:OUTPUT ACCEPT [120:6240]
-A INPUT -f -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j ULOG --ulog-prefix "icount" --ulog-cprange 48 --ulog-qthreshold 50 
-A INPUT -i eth1 -p icmp -j ACCEPT 
-A INPUT -i eth1 -j DROP 
-A FORWARD -f -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50 
-A FORWARD -d 172.21.255.234/32 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT 
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth1 -j DROP 
-A OUTPUT -f -j DROP 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT

Форум сообщества
Альт Линукс