Привет всем!Имеется такая конфигурация сети
{ локальная сеть } { шлюз } { иная сеть }
{ 192.168.2.0 }----{ -----eth2-- 192.168.2.1 -eth1-- }-----{ 101.10.10.0 }
--------+---------
|
{ 192.168.2.2:8080 }--компьютер на котором установлен calibre-serverв данный момент компьютеры сетти 192... имеют доступ и к иной сети и к
серверу calibrе; компьютеры из иной сети имеют доступ только к веб-серверу на
шлюзе (обращаются к нему по адресу 101.10.10.1) и не имеют доступа к
192.168.2.2:8080Вопрос: как сделать доступ компьютерам из иной сети к 192.168.2.2:8080?
сейчас iptables на шлюзе
***************************************
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
-A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT***************************************
Спасибо.
Подумать на это и спокойно разобраться:
-A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
-A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
для проходящих важны правила FORWARD
> Подумать на это и спокойно разобраться:
> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
> для проходящих важны правила FORWARDТак чтоли?
*************************
-A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
*************************
>> Подумать на это и спокойно разобраться:
>> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
>> для проходящих важны правила FORWARD
> Так чтоли?
> *************************
> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
> *************************Я там твою схему скурить не могу :) Но логично. В обратную сторону пакеты тож должны будут ходить, глянь как они у тебя пропустятся.
> Я там твою схему скурить не могу :) Но логично. В обратную
> сторону пакеты тож должны будут ходить, глянь как они у тебя
> пропустятся.+
А пропустятся они этим:
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>> Я там твою схему скурить не могу :) Но логично. В обратную
>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>> пропустятся.
> +
> А пропустятся они этим:
> -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPTэто не работает:
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPTЯ вот что подумал, у компьютеров сети 192. шлюзом есть 192.168.2.1, поэтому маршрут им известен, а как компьютеры иной сети могут узнать маршрут если у них шлюзом является
другой комп? Может такак схема сети как у меня неверна?
>[оверквотинг удален]
>>> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
>>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
>>> для проходящих важны правила FORWARD
>> Так чтоли?
>> *************************
>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
>> *************************
> Я там твою схему скурить не могу :) Но логично. В обратную
> сторону пакеты тож должны будут ходить, глянь как они у тебя
> пропустятся.если 192.168.2.2 за eth2, то не логично.
>[оверквотинг удален]
>>>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
>>>> для проходящих важны правила FORWARD
>>> Так чтоли?
>>> *************************
>>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
>>> *************************
>> Я там твою схему скурить не могу :) Но логично. В обратную
>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>> пропустятся.
> если 192.168.2.2 за eth2, то не логично.а как надо?
>[оверквотинг удален]
>>>>> для проходящих важны правила FORWARD
>>>> Так чтоли?
>>>> *************************
>>>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
>>>> *************************
>>> Я там твою схему скурить не могу :) Но логично. В обратную
>>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>>> пропустятся.
>> если 192.168.2.2 за eth2, то не логично.
> а как надо?если пакет идет от 101.10.10.* , входит через eth1 а уйти должен через eth2, то
-A FORWARD -o eth2 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPTпо поводу маршрутов, если 192.168.2.* могут общаться с 101.10.10.* и nat на eth1 вы не делали, то там уже все есть
а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не понятно, но если 101.10.10.* за eth2, тогда другое дело.
> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не
> понятно, но если 101.10.10.* за eth2, тогда другое дело.ifconfig
eth1 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0eth2 inet addr:101.10.10.8 Bcast:101.10.10.255 Mask:255.255.255.0
так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся{ локальная сеть } {____________шлюз____________________} { иная сеть }
{___192.168.2.0__}----{ -----eth1-- 192.168.2.1 -eth2-- }-----{ 101.10.10.0 }
--------+---------
|
{ 192.168.2.2:8080 }--компьютер на котором установлен calibre-server
>> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не
>> понятно, но если 101.10.10.* за eth2, тогда другое дело.
> ifconfig
> eth1 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
> eth2 inet addr:101.10.10.8 Bcast:101.10.10.255 Mask:255.255.255.0а 101.10.10.1 - это кто?
шлюзом в 101.10.10.0 что указано?
> так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся
> { локальная сеть } {____________шлюз____________________}
> { иная сеть }
> {___192.168.2.0__}----{ -----eth1-- 192.168.2.1 -eth2-- }-----{ 101.10.10.0 }
> --------+---------
> |
> { 192.168.2.2:8080 }--компьютер на котором установлен calibre-server
route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 * 255.255.255.0 U 0 0 0 eth1
101.10.10.0 * 255.255.255.0 U 0 0 0 eth2
link-local * 255.255.0.0 U 1002 0 0 eth1
link-local * 255.255.0.0 U 1003 0 0 eth2
default 101.10.10.1 0.0.0.0 UG 0 0 0 eth2
шлюзом в 101.10.10.0 есть 101.10.10.1
а за 101.10.10.1 сеть 10.20.8.0
> а за 101.10.10.1 сеть 10.20.8.0а с ней что не так? :)
>[оверквотинг удален]
> 0 0 eth1
> link-local *
> 255.255.0.0
> U 1003
> 0 0 eth2
> default 101.10.10.1
> 0.0.0.0
> UG 0 0
> 0 eth2
> шлюзом в 101.10.10.0 есть 101.10.10.1101.10.10.0 и 101.10.10.1 вам подконтрольны?
если нет, то для попадания на 192.168.2.2:8080 из 101.10.10.0 придется обращаться на 101.10.10.8, а на нем уже делать проброс на 192.168.2.2https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
> https://www.opennet.ru/docs/RUS/iptables/#DNATTARGETо, наверное то что надо, нутром чую :). Счас попробую
Здравствуйте. Настраиваю iptables с прозрачным прокси squid. Раньше, на прошлой работе, squid работал в обычном режиме, все было нормально. Форвардинг работал(т.е. я мог с определенного ip в тотале настроить фтп соединение и выходить напрямую мимо прокси). Теперь настроил прозрачный прокси, все работает, iptables в минимальной конфигурации.
Редирект работает, а с фтп соединиться не могу, пишет не найден сервер и все...Мой конфиг:
*mangle
:PREROUTING ACCEPT [27148:21108582]
:INPUT ACCEPT [27135:21107045]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [22087:2266116]
:POSTROUTING ACCEPT [22087:2266116]
COMMIT*nat
:PREROUTING ACCEPT [110:12392]
:POSTROUTING ACCEPT [512:30903]
:OUTPUT ACCEPT [512:30903]
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.1.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.1.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128
COMMIT*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A FORWARD -p tcp -m multiport -d 192.168.№.№ -i eth0 -o eth1 -j ACCEPT --sports 110,143,25,21,7777,5020
-A FORWARD -p tcp -m multiport -s 192.168.№.№ -i eth1 -o eth0 -j ACCEPT --dports 80,110,143,25,21,5020,1024:65535
COMMIT
начните с чтения как и на каких портах работает ftp
Да, оно-то конечно правильно. FTP клиент в пассивном режиме шлет команды 21 портом, принимает случайным портом обычно > 1024. Если я все правильно понял(есть сомнения), то в данной конфигурации все работоспособно.-A FORWARD -p tcp -m multiport -d 192.168._._ -i eth0 -o eth1 -j ACCEPT --sports 110,143,25, 21 ,7777,5252
-A FORWARD -p tcp -m multiport -s 192.168._._ -i eth1 -o eth0 -j ACCEPT --dports 80,110,143,25,21,5252, 1024:65535Когда раньше настраивал, все работало именно в данной конфигурации iptables.
Дело даже не в ftp. Есть программа которая использует, скажем, TCP порт 5252.
В данный момент она не работает.Как тут быть?
спасибо.
>[оверквотинг удален]
> -A FORWARD -p tcp -m multiport -d 192.168._._ -i eth0 -o eth1
> -j ACCEPT --sports 110,143,25, 21 ,7777,5252
> -A FORWARD -p tcp -m multiport -s 192.168._._ -i eth1 -o eth0
> -j ACCEPT --dports 80,110,143,25,21,5252, 1024:65535
> Когда раньше настраивал, все работало именно в данной конфигурации iptables.
> Дело даже не в ftp. Есть программа которая использует, скажем, TCP
> порт 5252.
> В данный момент она не работает.
> Как тут быть?
> спасибо.куда она должна обратится? в инет из вашей серой сети? если да, то делайте SNAT
> куда она должна обратится? в инет из вашей серой сети? если да,
> то делайте SNATДа из внутренней сети к серверу на tcp port 5252. Ну, и обратно...
*nat
-A POSTROUTING -o eth0 -s 192.168.№.№ -j SNAT --to-source внешний-ip
где 192.168.№.№ - айпи компа, с которого осуществляется доступ к серверу в интернете.
Где-то так?А если динамический ip, то может лучше использовать маскарадинг?
-A POSTROUTING -p TCP -o eth0 -s 192.168.№.№ -j MASQUERADE
>[оверквотинг удален]
>> то делайте SNAT
> Да из внутренней сети к серверу на tcp port 5252. Ну,
> и обратно...
> *nat
> -A POSTROUTING -o eth0 -s 192.168.№.№ -j SNAT --to-source внешний-ip
> где 192.168.№.№ - айпи компа, с которого осуществляется доступ к серверу в
> интернете.
> Где-то так?
> А если динамический ip, то может лучше использовать маскарадинг?
> -A POSTROUTING -p TCP -o eth0 -s 192.168.№.№ -j MASQUERADEсамо собой
Еще вопросик.
Как сделать, чтобы пинг проходил наружу?
С определенного ip внутри сети наружу, например, ping ya.ru и получал ответ 93.158.134.3 и т.д.*filter
-A FORWARD -p icmp -m icmp -d 192.168.#.# -i eth0 -o eth1 -j ACCEPT
-A FORWARD -p icmp -m icmp -s 192.168.#.# -i eth1 -o eth0 -j ACCEPTПравильно мыслю?
> Еще вопросик.
> Как сделать, чтобы пинг проходил наружу?
> С определенного ip внутри сети наружу, например, ping ya.ru и получал ответ
> 93.158.134.3 и т.д.
> *filter
> -A FORWARD -p icmp -m icmp -d 192.168.#.# -i eth0 -o eth1
> -j ACCEPT
> -A FORWARD -p icmp -m icmp -s 192.168.#.# -i eth1 -o eth0
> -j ACCEPT
> Правильно мыслю?да , но SNAT или MASQUERADE этому протоколу тоже нужен
Т.е. добавить
*nat
-A POSTROUTING -p icmp -m icmp -o eth0 -s 192.168.№.№ -j MASQUERADE
И будет счастье?
пс: Не могу сейчас испытывать, инет отключу всем...
> Т.е. добавить
> *nat
> -A POSTROUTING -p icmp -m icmp -o eth0 -s 192.168.№.№ -j MASQUERADE
> И будет счастье?
> пс: Не могу сейчас испытывать, инет отключу всем...правильней MASQUERADE сделать для всего и для всех, а в таблице фильтров уже разрешать или запрещать, а так вы просто ограничили для кого и чего делать snat, а остальные пакеты если они не были заблокированы отправятся к провайдеру с серым адресом, это не лучший вариант.
-A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE - добавить правило к текущим без разрыва сессий пользователей.
iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE - удалить правило из текущих
Не сильно ли маскарадинг будет нагружать сервер?
У меня его роль выполняет athlon 1200 256 ram, дистрибутив suse 10.2.
> Не сильно ли маскарадинг будет нагружать сервер?
> У меня его роль выполняет athlon 1200 256 ram, дистрибутив suse 10.2.меньше чем squid, и при правильной фильтрации через него пойдет не больше чем при вашем методе. а некоторые пакета, так вообще полезно убить еще при получении, например со статусом INVALID
> меньше чем squid, и при правильной фильтрации через него пойдет не больше
> чем при вашем методе. а некоторые пакета, так вообще полезно убить
> еще при получении, например со статусом INVALIDДа, у меня в старом конфиге в filter по умолчанию все drop и описаны правила для lo, локальной сети (доступ к ресурсам сервера: squid, mysql, bind, apache, webmin ...) и внешние правила...
Внешние правила вызывают наибольшие затруднения.
>> меньше чем squid, и при правильной фильтрации через него пойдет не больше
>> чем при вашем методе. а некоторые пакета, так вообще полезно убить
>> еще при получении, например со статусом INVALID
> Да, у меня в старом конфиге в filter по умолчанию все
> drop и описаны правила для lo, локальной сети (доступ к ресурсам
> сервера: squid, mysql, bind, apache, webmin ...) и внешние правила...
> Внешние правила вызывают наибольшие затруднения.если из внешки никто не будет подключаться, то зачастую достаточно разрешить только ответные пакеты
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
на время проверки включить логирование того что блокируется и добавлять правила для того что нужно было бы пропустить
> если из внешки никто не будет подключаться, то зачастую достаточно разрешить только
> ответные пакеты
> -A FORWARD -m state --state ESTABLISHED -j ACCEPT
> на время проверки включить логирование того что блокируется и добавлять правила для
> того что нужно было бы пропуститьА как выглядят правила для *filter input и output?
У меня наверное не очень правильно но все работало eth2-adsl; eth0,eth1-lan;# http https
-A OUTPUT -p tcp -m tcp -m multiport -o eth2 --sport 1024:65535 -j ACCEPT --dports 80,443
-A INPUT -p tcp -m tcp -m multiport -i eth2 --dport 1024:65535 -j ACCEPT --sports 80,443 ! --syn
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth2 --dport 20 --sport 1024:65535 -j ACCEPT ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 1024:65535 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 1024:65535 -j ACCEPT ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 23 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 23 -j ACCEPT ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 79 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 79 -j ACCEPT ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 43 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 43 -j ACCEPT ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 70 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 70 -j ACCEPT ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 210 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 210 -j ACCEPT ! --syn
-A OUTPUT -p udp -m udp -o eth2 --dport 33434:33523 --sport 32769:65535 -j ACCEPT
-A OUTPUT -p udp -m udp -o eth2 --dport 67 --sport 68 -j ACCEPT
-A INPUT -p udp -m udp -i eth2 --dport 68 --sport 67 -j ACCEPT#dns
-A OUTPUT -p udp -m udp -o eth2 --dport 53 --sport 1024:65535 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth2 --dport 53 --sport 1024:65535 -j ACCEPT
-A INPUT -p udp -m udp -i eth2 --dport 1024:65535 --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65353 --sport 53 -j ACCEPT#other
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p udp -m udp -s 0/0 --dport 68 --sport 67 -j ACCEPT
-A OUTPUT -p udp -m udp -s 0/0 -j ACCEPT
-A INPUT -p icmp -j DROP --fragment
-A OUTPUT -p icmp -j DROP --fragment-A INPUT -p icmp -m icmp -i eth2 --icmp-type source-quench -j ACCEPT
-A OUTPUT -p icmp -m icmp -o eth2 --icmp-type source-quench -j ACCEPT
-A INPUT -p icmp -m icmp -i eth2 --icmp-type echo-reply -j ACCEPT
-A OUTPUT -p icmp -m icmp -o eth2 --icmp-type echo-request -j ACCEPT
-A INPUT -p icmp -m icmp -i eth2 --icmp-type parameter-problem -j ACCEPT
-A OUTPUT -p icmp -m icmp -o eth2 --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 6000:6063 -j DROP --syn
>[оверквотинг удален]
> -A INPUT -p icmp -j DROP --fragment
> -A OUTPUT -p icmp -j DROP --fragment
> -A INPUT -p icmp -m icmp -i eth2 --icmp-type source-quench -j ACCEPT
> -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type source-quench -j ACCEPT
> -A INPUT -p icmp -m icmp -i eth2 --icmp-type echo-reply -j ACCEPT
> -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type echo-request -j ACCEPT
> -A INPUT -p icmp -m icmp -i eth2 --icmp-type parameter-problem -j ACCEPT
> -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type parameter-problem -j ACCEPT
> -A INPUT -p tcp -m tcp -i eth2 --dport 6000:6063 -j DROP
> --synэто не много правил и особой нагрузки не создаст. по мере понимания работы сети и посматривания на счетчики правил увидите какие правила лишние.
Всех поздравляю с Щедрым вечером!В продолжении темы.
Я всетаки смог пробросить порт, но затея, для чего все предпринималось так и не реализована, конечно виной тому праздники, так как я просто забил, но всеже хотелось бы продолжить.Имеем - пакеты из внешней сети могут теперь передаваться на 1 комп локалки
____________________________[root@server ~]# iptables -t nat -nx -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 101.8.9.8 tcp dpt:8080 to:192.168.2.101:8080
_____________________________[root@server ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere 101.8.9.8 tcp dpt:webcache to:192.168.2.101:8080Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhereChain OUTPUT (policy ACCEPT)
target prot opt source destination
_____________________________Теперь вопрос.
На 101.8.9.8 работает сайт на httpd.
Нужно чтобы пользователь, который нажал на ссылку /bib редиректился на 192.168.2.101:8080пишу в .htaccess
redirect /bib http://192.168.2.101:8080Юзеры из локалки 192.168.2.0 редиректятся, а из внешней сети - нет.
Помогите в какую сторону рыть. Спасибо
>[оверквотинг удален]
> target prot opt source
> destination
> _____________________________
> Теперь вопрос.
> На 101.8.9.8 работает сайт на httpd.
> Нужно чтобы пользователь, который нажал на ссылку /bib редиректился на 192.168.2.101:8080
> пишу в .htaccess
> redirect /bib http://192.168.2.101:8080
> Юзеры из локалки 192.168.2.0 редиректятся, а из внешней сети - нет.
> Помогите в какую сторону рыть. Спасибов сторону что такое белые и серые адреса
> в сторону что такое белые и серые адресанагуглил кое-что, вопрос - без прокси не обойтись?
>> в сторону что такое белые и серые адреса
> нагуглил кое-что, вопрос - без прокси не обойтись?зависит от того что нужно, можно через DNAT
>>> в сторону что такое белые и серые адреса
>> нагуглил кое-что, вопрос - без прокси не обойтись?
> зависит от того что нужно, можно через DNATнужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080
>>>> в сторону что такое белые и серые адреса
>>> нагуглил кое-что, вопрос - без прокси не обойтись?
>> зависит от того что нужно, можно через DNAT
> нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080я о том нужен ли дополнительный контроль, кеширование, ...
если нет, то хватит и DNAT
проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и поймете
> я о том нужен ли дополнительный контроль, кеширование, ...
> если нет, то хватит и DNAT
> проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и
> пойметедополнительный контроль, кеширование, не нужны
а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101, а он не знает что этот адрес за NAT 101.8.9.8, ищет по стандартному маршруту и не находит
>> я о том нужен ли дополнительный контроль, кеширование, ...
>> если нет, то хватит и DNAT
>> проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и
>> поймете
> дополнительный контроль, кеширование, не нужны
> а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101,
> а он не знает что этот адрес за NAT 101.8.9.8, ищет
> по стандартному маршруту и не находитпотому что 192.168.2.101 это серый адрес и обращаться по нему в инет бессмысленно, поэтому редирект должен быть на ваш белый ip, а с него проброс на 192.168.2.101, но для локалки по другому