[+] Przekierowanie na wszystkich portach

[Pacek]

Ja staję na stanowisku, że to idiotyczne rozwiązanie o ile nie masz dodatkowych adresów IP, które faktycznie możesz przypisać do konkretnego adresu prywatnego. Znalazłem rozwiązanie, którego szukasz tutaj: http://www.elektroda.pl/rtvforum/topic1329717.html a wygląda ono tak:

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip 
        iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to  $zewip 
        iptables -I FORWARD -d $zewip -j ACCEPT 
        iptables -I FORWARD -s $wewip -j ACCEPT 
        iptables -I FORWARD -d $wewip -j ACCEPT 
        iptables -I INPUT -d $zewip -j ACCEPT 

Myślę, że pisanie, tłumaczenie i kombinowanie w "tą albo w tamtą" stronę jest pozbawione sensu. Według mnie fizycznie to nie ma prawa funkcjonować. Nie wyobrażam sobie sieci LAN (bo tak wynika z tego przykładu), która funkcjonuje prawidłowo w momencie, gdy wszystkie żądania mają być na tym samym i jedynym zewnętrznym adresie IP, przekierowywane do jednego IP prywatnego. Cytując klasyka: "Panie Havranek, to se ne uda". Posłużę się prostym przykładem. Masz koszyk jabłek (pakiety), które próbujesz rozdać kilku osobom (komputery w sieci LAN) i założyłeś sobie (wg mnie w nieprzemyślany sposób), że wszystkie jabłka dostaje jedna osoba (jeden konkretny adres IP 10.0.0.3). Pytanie - ile jabłek otrzymują pozostali?
Mimo wszystko życzę powodzenia i chętnie poczytam o rozwiązaniu które da radę to obsłużyć. Jeżeli takowe się znajdzie to z przemiłą chęcią z niego skorzystam i oczywiście zwrócę honor.

[Pablik]

Myślałem nad tym dlaczego to przekierowanie:

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -d 83.19.28.220 -j DNAT --to-destination  10.0.0.3

mi nie działa, a nie za bardzo wiem co może na to wypływać to podam inne moje ustawienia.
Czy możliwe, że to wina tego, że mam zrobiony mostek sieciowy z dwóch kart eternet?

Kod: Zaznacz cały

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo br0
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 83.19.28.220
        netmask 255.255.255.248
        gateway 83.19.28.217
        network 83.19.28.0
        broadcast 83.19.28.255

iface eth1 inet manual
iface eth2 inet manual

iface br0 inet static
        bridge_ports eth1 eth2
        address 10.0.0.1
        netmask 255.0.0.0

iface wlan0 inet static
   address 192.168.0.1
   netmask 255.255.255.0

i jeszcze mam DHCP

Kod: Zaznacz cały

ddns-update-style none;
option domain-name-servers 194.204.159.1, 194.204.152.34;
default-lease-time 600;
max-lease-time 7200;

subnet 10.0.0.0 netmask 255.0.0.0 {
                option subnet-mask 255.0.0.0;
                option routers 10.0.0.1;
                option broadcast-address 10.0.0.255;


        ignore unknown-clients;

        #NR1
        host NR1 {
                hardware ethernet 00:1E:8C:78:49:C8;
                fixed-address 10.0.0.3;
        }
        #Netbook
        host Netbook {
                hardware ethernet 70:5A:B6:2C:28:9B;
                fixed-address 10.0.0.4;
        }


        #Olga
        host P102_1 {
                hardware ethernet 00:03:0D:84:30:6A;
                fixed-address 10.1.2.1;
        }

        #Basia
        host P102_2 {
                hardware ethernet 00:03:0D:82:82:41;
                fixed-address 10.1.2.2;
        }

        #Ola
        host P103_1 {
                hardware ethernet 00:23:8B:CD:30:0F;
                fixed-address 10.1.3.1;
        }

        #Ada
        host P104_1 {
                hardware ethernet 00:1D:72:01:36:C6;
                fixed-address 10.1.4.1;
        }
}

Ja mam do dyspozycji tylko jeden publiczny numer ip.

[Bastian]

Ja staję na stanowisku, że to idiotyczne rozwiązanie o ile nie masz dodatkowych adresów IP, które faktycznie możesz przypisać do konkretnego adresu prywatnego. Znalazłem rozwiązanie, którego szukasz tutaj: http://www.elektroda.pl/rtvforum/topic1329717.html a wygląda ono tak:

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip 
        iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to  $zewip 
        iptables -I FORWARD -d $zewip -j ACCEPT 
        iptables -I FORWARD -s $wewip -j ACCEPT 
        iptables -I FORWARD -d $wewip -j ACCEPT 
        iptables -I INPUT -d $zewip -j ACCEPT 

Myślę, że pisanie, tłumaczenie i kombinowanie w "tą albo w tamtą" stronę jest pozbawione sensu. Według mnie fizycznie to nie ma prawa funkcjonować. Nie wyobrażam sobie sieci LAN (bo tak wynika z tego przykładu), która funkcjonuje prawidłowo w momencie, gdy wszystkie żądania mają być na tym samym i jedynym zewnętrznym adresie IP, przekierowywane do jednego IP prywatnego. Cytując klasyka: "Panie Havranek, to se ne uda". Posłużę się prostym przykładem. Masz koszyk jabłek (pakiety), które próbujesz rozdać kilku osobom (komputery w sieci LAN) i założyłeś sobie (wg mnie w nieprzemyślany sposób), że wszystkie jabłka dostaje jedna osoba (jeden konkretny adres IP 10.0.0.3). Pytanie - ile jabłek otrzymują pozostali?
Mimo wszystko życzę powodzenia i chętnie poczytam o rozwiązaniu które da radę to obsłużyć. Jeżeli takowe się znajdzie to z przemiłą chęcią z niego skorzystam i oczywiście zwrócę honor.

Nawet jeżeli ten komputer sieci prywatnej obsługuje wszystkie usługi sieciowe (DNS, ftp,www, ruting etc) a komp, z którego idzie przekierowanie nie robi nic oprócz NATowania ?

[Pablik]

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -s 0/0 -d 83.19.28.220 -j DNAT --to 10.0.0.3 
        iptables -t nat -I POSTROUTING -s 10.0.0.3 -d 0/0 -j SNAT --to  83.19.28.220 
        iptables -I FORWARD -d 83.19.28.220 -j ACCEPT 
        iptables -I FORWARD -s 10.0.0.3 -j ACCEPT 
        iptables -I FORWARD -d 10.0.0.3 -j ACCEPT 
        iptables -I INPUT -d 83.19.28.220 -j ACCEPT

To działa.
Wielkie dzięki.

[Pacek]

Bastian - tak tylko i wyłącznie w takim przypadku. Tylko po co bezsensownie dublować maszyny? Kryzys w kraju a tu taka niegospodarność

[Bastian]

Pacek, w sumie tak :-)

[Cyphermen]

Mimo że problem rozwiązany to uważam, że problemem był tutaj łańcuch ,,FORWARD'' ustawiony na ,,DROP''. Otwarcie portu dla 10.0.0.3:3389 załatwiłoby sprawę.
Z tym, że jak ktoś tutaj słusznie zauważył sieć LAN nie ma prawa tutaj funkcjonować. No chyba, że mamy w niej tylko ten jeden jedyny komputer. Tak więc SNAT jak tutaj ktoś wyżej podał jest lepszym rozwiązaniem.

[Pacek]

A ja uważam, że to dobrze a nawet bardzo dobrze, że ten łańcuch jest na DROP. Wg mnie wszystkie łańcuchy powinny mieć taką domyślną politykę, może za wyjątkiem output, bo co nas w sumie obchodzi co wychodzi od nas z serwera. Ale łańcuch INPUT i FORWARD powinien być na DROP domyślnie. Następnie można odblokowywać po kolei wszystko to co powinno być przepuszczane/odbierane przez nasz router.

[Cyphermen]

No ja o tym mowie.

[Pacek]

To dobrze, że zgadzamy się w tej kwestii