https://www.opennet.ru/openforum/vsluhforumID10/4724.html Добрый день всем!<br><br>Задача следующая. В локальной сети работает видеорегистратор, доступ к нему изнутри сети осуществляется по локальному IP-адресу посредством клиентской программы. Как привязать этот внутренний IP к внешнему, чтобы можно было получить доступ к регистратору извне сети?<br><br>Или может быть можно каким-то образом задействовать веб-сервер, чтобы клиенты могли получать доступ к этому регистратору через веб-браузер?<br><br>Mandriva Linux 2006.0<br>Apache 2.0.54<br> https://www.opennet.ru/openforum/vsluhforumID10/4724.html#14 Wed, 08 Dec 2010 15:50:59 GMT &gt;[оверквотинг удален]<br>&gt; DNAT --to-destination videoreg_local_ip_addr:5001<br>&gt; #---------------------------------------------------------------------------------------<br>&gt; [40:2404] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth4 -j SNAT --to-source ext_ip_addr<br>&gt; [96628:7021072] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth4 -j SNAT --to-source<br>&gt; ext_ip_addr<br>&gt; [37:1776] -A POSTROUTING -s 192.168.2.0/255.255.255.0 -o eth4 -j SNAT --to-source ext_ip_addr<br>&gt; COMMIT<br>&gt; web_ip_addr - внешний адрес сети. На нем также висит web-сервер.<br>&gt; videoreg_local_ip_addr - локальный адрес видеорегистратора.<br>&gt; 5000 и 5001 - соотв-но AV port и Command port видеорегистратора.<br><br>если у видеорегистратора серый ip, то на х.. ты его прячиш, как тут понять под какое правило пакет попадет?<br><br>&gt; Интерфейс лок.сети - eth1.<br>&gt; Вывод tcpdump при подключении к регистратору изнутри лок.сети:<br>&gt; arp who-has videoreg_local_ip_addr tell local_ip_addr<br>&gt; local_ip_addr - лок.адрес компа, с которого осуществляется подключение. Всё ра https://www.opennet.ru/openforum/vsluhforumID10/4724.html#13 Thu, 02 Dec 2010 15:38:21 GMT &gt; iptables-save -c<br>&gt; покажет правила и счетчики пакетов и байт прошедших через правило, соответственно будет<br>&gt; видно какие правила срабатывают.<br>&gt; tcpdump -n -i eth0 или eth1<br>&gt; покажет что проходит через интерфейс, соответственно смотрите есть там пакеты которые вам<br>&gt; нужны или нет<br>&gt; в общем уже бы показали вывод iptables-save , может кто что и подсказал конкретней<br><br>Вывод iptables-save:<br><br>*mangle<br>:PREROUTING ACCEPT [2968388:2692407269]<br>:INPUT ACCEPT [1703347:1029665455]<br>:FORWARD ACCEPT [3551709:3027369690]<br>:OUTPUT ACCEPT [1640888:1049924349]<br>:POSTROUTING ACCEPT [2716155:1452630391]<br>[46763:5444642] -A PREROUTING -i eth0 -j QUEUE <br>[2240007:1359145177] -A PREROUTING -i eth1 -j QUEUE <br>[1507:305103] -A PREROUTING -i eth2 -j QUEUE <br>[43513:67764845] -A POSTROUTING -o eth0 -j QUEUE <br>[2431489:2556076277] -A POSTROUTING -o eth1 -j QUEUE <br>[1297:818388] -A POSTROUTING -o eth2 -j QUEUE <br>COMMIT<br><br>*filter<br>:INPUT ACCEPT [1703255:1029660203]<br>:FORWARD DROP [107:5527]<br>:OUTPUT ACCEPT [1640890:1049924475] https://www.opennet.ru/openforum/vsluhforumID10/4724.html#12 Thu, 11 Nov 2010 14:01:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt; пути пакетов встречаются кроме "-t nat -A PREROUTING" ещё и "-t<br>&gt;&gt; filter -A FORWARD", кое-где ещё "пересекающиеся" с включением ip_forward-а и настройкой<br>&gt;&gt; роутинга (в том числе и вплоть до -- на всех машинах<br>&gt;&gt; по пути следования (и тех, и других!) пакетов).... Ну, вот где-то<br>&gt;&gt; там и по-локализовывать.<br>&gt;&gt; счетчики iptables и tcpdump на разных интерфейсах покажут где теплей, а где<br>&gt;&gt; холодней.<br>&gt; Джентльмены, если бы я был таким умным как вы, то не задавал<br>&gt; бы такие дурацкие вопросы:)<br>&gt; Не могли бы вы сформулировать то же самое, но подоходчивее:)<br><br>iptables-save -c<br>покажет правила и счетчики пакетов и байт прошедших через правило, соответственно будет видно какие правила срабатывают.<br><br>tcpdump -n -i eth0 или eth1<br>покажет что проходит через интерфейс, соответственно смотрите есть там пакеты которые вам нужны или нет<br><br>в общем уже бы показали вывод iptables-save , может кто что и подсказал конкретней, но надеяться что сделают за вас не нужно<br> https://www.opennet.ru/openforum/vsluhforumID10/4724.html#11 Thu, 11 Nov 2010 12:59:28 GMT &gt;&gt; Осознать, как<br>&gt;&gt; осознать, что по<br>&gt;&gt;встречаются<br>&gt;&gt;"пересекающиеся" с<br>&gt; Не могли бы вы сформулировать то же самое, но подоходчивее:)<br><br>Ну, разбивай длинные предложеиня на части, напрягай "парсилку", тренеруй понималку, ищи документацию... Кому оно надо-то -- нам или тебе?... Может быть, мы доходчивее не умеем, может быть, не хотим, ленимся.<br><br>В "этой хреновине" _просто написать _одну _простую строчку не достаточно: оно может "ломаться" по куче разных причин в куче разных мест. То есть если волшебный рецепт из одной строки "сработал", то повезло или "Вы что-то не заметили"(тм).<br><br>За простыми "магическими" рецептами -- этт не сюда. Попробуй ближайший "Магазин юного вольшебника"?<br> https://www.opennet.ru/openforum/vsluhforumID10/4724.html#10 Thu, 11 Nov 2010 12:29:58 GMT &gt; Осознать, как _меняются_ и проходят пакеты туда и _обратно_, осознать, что по<br>&gt; пути пакетов встречаются кроме "-t nat -A PREROUTING" ещё и "-t<br>&gt; filter -A FORWARD", кое-где ещё "пересекающиеся" с включением ip_forward-а и настройкой<br>&gt; роутинга (в том числе и вплоть до -- на всех машинах<br>&gt; по пути следования (и тех, и других!) пакетов).... Ну, вот где-то<br>&gt; там и по-локализовывать.<br>&gt; счетчики iptables и tcpdump на разных интерфейсах покажут где теплей, а где<br>&gt; холодней.<br><br>Джентльмены, если бы я был таким умным как вы, то не задавал бы такие дурацкие вопросы:)<br>Не могли бы вы сформулировать то же самое, но подоходчивее:)<br> https://www.opennet.ru/openforum/vsluhforumID10/4724.html#9 Wed, 10 Nov 2010 18:49:18 GMT &gt;&gt; Делаю именно так, но соединение отсутствует :( Каким образом можно локализовать ошибку?<br>&gt; Осознать, как _меняются_ и проходят пакеты туда и _обратно_, осознать, что по<br>&gt; пути пакетов встречаются кроме "-t nat -A PREROUTING" ещё и "-t<br>&gt; filter -A FORWARD", кое-где ещё "пересекающиеся" с включением ip_forward-а и настройкой<br>&gt; роутинга (в том числе и вплоть до -- на всех машинах<br>&gt; по пути следования (и тех, и других!) пакетов).... Ну, вот где-то<br>&gt; там и по-локализовывать.<br><br>:)<br><br>счетчики iptables и tcpdump на разных интерфейсах покажут где теплей, а где холодней.<br> https://www.opennet.ru/openforum/vsluhforumID10/4724.html#8 Wed, 10 Nov 2010 15:24:09 GMT &gt; Делаю именно так, но соединение отсутствует :( Каким образом можно локализовать ошибку?<br><br>Осознать, как _меняются_ и проходят пакеты туда и _обратно_, осознать, что по пути пакетов встречаются кроме "-t nat -A PREROUTING" ещё и "-t filter -A FORWARD", кое-где ещё "пересекающиеся" с включением ip_forward-а и настройкой роутинга (в том числе и вплоть до -- на всех машинах по пути следования (и тех, и других!) пакетов).... Ну, вот где-то там и по-локализовывать.<br> https://www.opennet.ru/openforum/vsluhforumID10/4724.html#7 Wed, 10 Nov 2010 15:13:35 GMT &gt; iptables -t nat -A PREROUTING -d 66.88.55.22 -p tcp (а может udp) --dport<br>&gt; порт_видеорегистратора -j DNAT --to-destination 192.168.0.2:порт_видеорегистратора<br>&gt; то что вы хотите сделать разжевано в http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET<br>&gt; , внимательно читайте то что под табличкой.<br><br>Делаю именно так, но соединение отсутствует :( Каким образом можно локализовать ошибку?<br><br><br>&gt; ну и доступы пооткрывать<br><br>Может быть дело в этом? Как это сделать?<br> https://www.opennet.ru/openforum/vsluhforumID10/4724.html#6 Thu, 28 Oct 2010 17:02:42 GMT &gt;&gt;&gt; после манипуляций с iptables<br>&gt;&gt;&gt; все изменения начинают действовать сразу же? Ничего перезагружать не нужно?<br>&gt;&gt; угу, более того, результат этих "манипуляций" после перезагрузки пропадает<br>&gt; Стоп. А разве изменения автоматически не записываются в соотв. конфиг? И как<br>&gt; в таком случае сделать, чтобы записывались?<br><br>правила должны хранится в /etc/sysconfig/iptables, автоматически не записываются.<br>сбросить текущие правила туда можно так:<br>service iptables save или iptables-save &gt; /etc/sysconfig/iptables, при загрузки, если указано использовать iptables, правила от туда будут загружены.<br><br>или можно городить свои скипты.<br><br>то что вы хотите сделать разжевано в http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET , внимательно читайте то что под табличкой.<br><br><br>