The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Как в Linux перебросить соединение через NAT во внутреннюю сеть
Первый путь - пробрасывание только порта:
  1) iptables -t nat -A PREROUTING -p tcp -d EXT_R_IP --dport 10000 -j DNAT --to-destination LOCAL_IP:80
  2) iptables -A FORWARD -i eth0 -d LOCAL_IP -p tcp --dport 22 -j ACCEPT

Второй вариант - выброс всей машины наружу (если есть свободные адреса):
  1) ifconfig eth0:0 NEW_IP netmask NETMASK broadcast BROADCAST
  2) route add NEW_IP gw GW netmask 0.0.0.0 metric 1 dev eth0:0
  3) iptables -t nat -A PREROUTING -p tcp -d NEW_IP -j DNAT --to-destination LOCAL_IP
  4) iptables -A FORWARD -i eth0 -d LOCAL_IP -j ACCEPT

Обозначения: EXT_R_IP - внешний IP роутера, LOCAL_IP - внутренний IP машины,
которую хочешь выбросить
  NEW_IP - новый IP на который хочешь посадить машину, которая имеет локальный LOCAL_IP
  NETMASK, BROADCAST, GW - внешние netmask, broadcast и gateway
 
22.04.2003 , Автор: Dimez , Источник: http://www.opennet.ru/openforum/vsl...
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Boytronic (?), 17:48, 22/04/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что то я не уверен в первом варианте... прям как в учебнике, только сколько я не бился не работает по учебнику
     
  • 1.2, Alee (?), 16:53, 08/05/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    iptables -t nat -A PREROUTING -d EXT_IP -i EXT_IF -p tcp -m tcp --dport 8101 -j DNAT -to-destination INT_IP:80
    iptables -t nat -A POSTROUTING -d INT_IP -o EXT_IF -p tcp -m tcp --dport 80 -j SNAT --to-source EXT_IP
    iptables -A FORWARD -d INT_IP -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

    INT_IP - ip на который осуществляем проброс
    EXT_IF - номер eth (0,1...) смотрящего наружу
    EXT_IP - внешний ip.

    Так должно работать.

     
  • 1.3, Denis (?), 16:54, 25/09/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в чем может быть дело:
    сделал как написанно. страница с внутреннего сервера грузится, а картинки на ней - нет.
    тоже самое и с почтой. user и pass проходят, а stat или list нифига... просто ничего не происходит...
     
  • 1.4, Vladimir (??), 10:41, 17/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Описание устройства сети

    INET_IP="10.0.2.33"
    INET_IFACE="ppp0"
    INET_BROADCAST="10.0.2.255"

    LAN_IP="192.168.10.10"
    LAN_IP_RANGE="192.168.10.0/24"
    LAN_IFACE="eth1"

    IPCLUB_IP="192.168.2.33"
    IPCLUB_IP_RANGE="192.168.2.0/24"
    IPCLUB_IFACE="eth0"

    Вопрос такой:
    Нужно пробросить 21 порт на 192.168.10.20 (WIN XP)
    пробовал так:

    $IPTABLES -t nat -A PREROUTING -d 10.0.2.33 -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.10.20:21
    $IPTABLES -t nat -A POSTROUTING -d 192.168.10.20 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 10.0.2.33
    $IPTABLES -A FORWARD -d 192.168.10.20 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT

    не получилось.... в чем ошибка?

     
  • 1.5, Momus (?), 14:50, 14/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    $IPTABLES -t nat -A POSTROUTING -d 192.168.10.20 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 10.0.2.33

    тут ошибка имелось ввиду не destination a source

    $IPTABLES -t nat -A POSTROUTING -s 192.168.10.20 -o eth0 -p tcp -m tcp --dport 21 -j SNAT --to-source 10.0.2.33

    и все будет работать

     
  • 1.6, Mokik (?), 14:50, 16/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хм.. сайт пашет как тут написано по 80 порту а вот по 21 когда я настроил он не папки не показывает не качает на ftp сервере работает режим пассивной загрузки, как это настроить?
    iptables -t nat -A PREROUTING -d 192.168.18.35 -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 123.123.1.2:21

    iptables -t nat -A POSTROUTING -s 123.123.1.2 -o eth2 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.18.35

    iptables -A FORWARD -d 192.168.18.35 -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
    это добавление в iptables не показывает не папки не качается...

     
     
  • 2.8, Killy (?), 22:18, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    22 порт еще открой
     
     
  • 3.13, vialorn (?), 14:59, 23/03/2007 [^] [^^] [^^^] [ответить]  
  • +/
    может, все-таки порт 20, а не 22 ?
     
  • 2.16, Mega (??), 14:57, 17/02/2008 [^] [^^] [^^^] [ответить]  
  • +/
    попробуй ещё загрузить модуль, modprobe ip_conntrack_ftp
     

  • 1.7, Akmal (??), 14:42, 28/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А можно ли сделать так, чтобы компьютеры работающие в другой сети (192.168.25.x подключен через eth0) могли работать с файлами сети (192.168.0.x подключен через eth1). eth0 и eth1 - сетевые интерфейсы сервера
     
  • 1.9, MonsterDesh (?), 16:00, 02/02/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да Форвардинг пропиши...
    iptables -A forward -s 192.168.25.x -d 192.168.0.x
    iptables -A forward -s 192.168.0.x -d 192.168.25.x
     
  • 1.10, MonsterDesh (?), 16:03, 02/02/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да Форвардинг пропиши...
    iptables -A forward -s 192.168.25.x -d 192.168.0.x -j ACCEPT
    iptables -A forward -s 192.168.0.x -d 192.168.25.x -j ACCEPT
     
  • 1.11, blow (?), 12:23, 08/03/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблема такая:
    есть 2 сети 172.18.2-3.1-254(ext) и 172.18.22-23.1-254(int)

    На границе стоит роутер.
    Под каждый компьютер в сети int на роутере прописан виртуальный интерфейс с адресом 172.18.2-3.x

    Делаю и dnat и snat, т.е. связь между компьютерами полная, в активном режиме, тут все ок.

    Одна проблема - компъютеры не видят игровые сервера соседней сети :(

    пытался писать dnat для броадкаста, однако эти пакеты идут до цепочки filter(input), и там исчезают :( в этой цепочке ни одного фильтрующего правила, действие по умолчанию - ACCEPT

     
  • 1.12, blow (?), 15:08, 20/03/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в общем решил - пусть парятся сами, под винду есть софтинка agsm, она все серваки видит, если ее нормально настроить.... а броадкаст по ходу пытатся пробросить через шлюз бесполезно, нужен мост, а мост ставить низзя (топология сети+инет провайдер, хз че они там навортили, но при включении моста сеть лежит не только снаружи (там она почти всегда лежит), но и изнутри)
     
  • 1.14, Dingo (?), 08:35, 13/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть комп две сетевые
    eth0 - 10.0.12.0/24 (ip 10.0.12.10)
    eth1 - внешний ip (к примеру 84.10.10.10)

    Возможно ли пробросить 21 порт из интернета (к примеру 85.10.10.10) на комп внутренней сети:
    10.20.34.0/24 (ip 10.20.34.5)?

    делаю так:
    iptables -t nat -A PREROUTING -d 85.10.10.10 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.20.34.5

    iptables -t nat -A POSTROUTING -s 10.20.34.5 -p tcp -m tcp --dport 21 -j SNAT --to-source 85.10.10.10

    iptables -A FORWARD ACCEPT

    проверяю с 85.10.10.10, telnet 10.0.12.10 21 и тишина

     
  • 1.15, Дмитрий (??), 14:15, 18/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Добрый день, есть такой вопрос...
    Если мне надо извне перебросить соединение на локальное устройство (в данном случае это VOip), каким способом это можно сделать?
     
  • 1.17, daniil (??), 13:59, 23/04/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    есть камера AXIS 211m (ip камера)
    поключена в хаб, после этого идет в локалку...
    имеет ip 192.168.0.140 выставил ей внутри порт 1024 на вэб интерфейс

    сервер Linux Gento или CentOS любая из этич (2 сервака)
    et0 - инет (85.21.47.154)
    et1 - сетка (192.168.0.2)

    господа...помогите...
    как мне вывести камеру в инет

    Первый путь - пробрасывание только порта:
    1) iptables -t nat -A PREROUTING -p tcp -d 85.21.47.154 --dport 10000 -j DNAT --to-destination 192.168.0.140:1024
    2) iptables -A FORWARD -i eth0 -d 192.168.0.140:1024 -p tcp --dport 22 -j ACCEPT

    Второй вариант - выброс всей машины наружу (если есть свободные адреса):
    1) ifconfig eth0:0 85.21.47.156 netmask 255.255.255.240 broadcast *BROADCAST*
    2) route add 85.21.47.156 gw *GW* netmask 0.0.0.0 metric 1 dev eth0:0
    3) iptables -t nat -A PREROUTING -p tcp -d 85.21.47.156 -j DNAT --to-destination 192.168.0.140:1024
    4) iptables -A FORWARD -i eth0 -d 192.168.0.140:1024 -j ACCEPT

    Обозначения:
    NETMASK, BROADCAST, GW - внешние netmask, broadcast и gateway

    помогите...просто и так и так не получилось...

     
  • 1.18, Igor (??), 18:15, 07/11/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всем сдраствуйте!!!
    Подскажите, а как я могу выбросить внутренний порт 21, если у меня DHCP подключение???
    $INET_IFACE - eth0 - Internet
    $INET_IP - DHCP
    eth1 - 192.168.1.1

    $IPTABLES -t nat -A PREROUTING -p tcp -i $INET_IFACE -d $INET_IP --dport 12121 -j DNAT --to-destination 192.168.20.200:21
    $IPTABLES -A FORWARD -p tcp -i $INET_IFACE -d 192.168.20.200 --dport 21 -j ACCEPT

     
  • 1.19, MGF (??), 13:50, 15/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, как сделать переброс порта, для сервера находящегося внутри нашей сети через шлюз на базе Fedora? Дело в том, что у шлюза выход в инет настроен через ppp. Нужно, чтоб из инета к серверу внутри сети подключались через SSH.
     
  • 1.20, Anton (??), 17:38, 22/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такой вопрос ,есть несколько ip камер подключенных в сети интернет провайдера ,нужно с помощью компьютера на linux перебросить камеры из внешней сети ,во внутреннюю сеть модема ,как это можно сделать ?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру