Автор Тема: Проброс диапазона портов как! [РЕШЕНО] (Прочитано 13472 раз)

flint1975 · « : 16.01.2013 13:27:44 »

Задача простая: пробросить диапазон портов 10000-20000 на внутренний сервер.
на FreeBSD я делал так:

Код: [Выделить]

echo "redirect myip:10000-20000 10000-20000" >> /etc/natd.conf как это средствами iptables сделать?

flint1975 · « **Ответ #1 :** 16.01.2013 20:41:26 »

Неужели надо на каждый порт своё правило писать?

ksa · « **Ответ #2 :** 16.01.2013 21:30:15 »

--dports вполне позволяет задать непрерывающийся диапазон портов (например, --dports 10000:20000).

ksa · « **Ответ #3 :** 16.01.2013 21:34:41 »

Так же можно использовать конструкцию типа

Код: [Выделить]

-m multiport --destination-port 22,53,80,110. Всё описано тут.

flint1975 · « **Ответ #4 :** 18.01.2013 11:23:45 »

именно там я и читал, но так и не понял как это можно сделать в сочетании с -dnat и -snat
--dports - перенаправляет один порт на множество, а нужно множество на соответстующее множество.
про -m multiport - как-то не подумал, сейчас посмотрю.

ksa · « **Ответ #5 :** 18.01.2013 11:39:11 »

Если множество на множество (в соответствии), тогда не нужно указывать порты назначения, достаточно указать айпи адрес, на который идёт проброс портов, --dports же будет как раз указывать на порты назначения (т.к. множество портов, на которое отображение идёт, не изменяется).

flint1975 · « **Ответ #6 :** 18.01.2013 19:55:12 »

Немного разобрался:
--dports - такого критерия нет!!! (это назначение)
диапазон портов указывается просто: --dport 10000:20000
multiport не может работать с диапазонами и поддерживает до 16-и портов
и собственно запись будет:

Код: [Выделить]

-p udp --destination 85.113.**.** --dport 10000:20000 -j DNAT --to-destination 10.10.**.**в таблицах PREROUTING, OUTPUT
Тогда непонятно, почему этот синтаксис отсутствует в alterator-net-iptables? надо в bugzill-у писать?

ksa · « **Ответ #7 :** 18.01.2013 19:57:31 »

Цитата: flint1975 от 18.01.2013 19:55:12

Тогда непонятно, почему этот синтаксис отсутствует в alterator-net-iptables? надо в bugzill-у писать?

Наверное, я им не пользуюсь практически (правила задаю только ручками в скриптах -- работает всегда и везде).

flint1975 · « **Ответ #8 :** 18.01.2013 20:11:59 »

у меня есть довольно много решений, связанных с малыми розничными сетями. А поскольку с мая месяца 2012 года в самаре появилась yota, то сочетание Yota-модем + miniITX комп с кентавром на борту + арендованный VPS с внешним адресом + OpenVPN сетка для объединения всего этого в кучу. А админю это, чаще всего не я, а "местные" админы, которые кроме winXP и Вынь 7 - мало что знают, то и инструмент им давать надо простейший :)

flint1975 · « **Ответ #9 :** 18.01.2013 20:13:13 »

Такое чуйство, что пора свою сборку под эту задачу делать :)

ksa · « **Ответ #10 :** 18.01.2013 20:48:16 »

Цитата: flint1975 от 18.01.2013 20:13:13

Такое чуйство, что пора свою сборку под эту задачу делать

*большой палец вверх*
Даешь больше готовых решений от участников форума :)

Форум сообщества
Альт Линукс