transparent TCP proxy. простейший редирект трафика порта.

0

3

на VPS…

~# ifconfig


lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:6433 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5702 errors:0 dropped:28 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:445424 (434.9 KiB)  TX bytes:663221 (647.6 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:11.11.11.11  P-t-P:11.11.11.11  Bcast:11.11.11.11  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

пытаюсь настроить редирект всего трафика на порт VPS 8080(условно) на 80 порт дугого сервака в интеренте 195.27.31.252

~# echo "1" > /proc/sys/net/ipv4/ip_forward
~# iptables -t nat -A POSTROUTING -o venet0:0 -j MASQUERADE
~# iptables -t nat -A PREROUTING -p tcp  --dport 8080  -j DNAT --to-destination 195.27.31.252:80
~# iptables -t nat -A PREROUTING -p udp  --dport 8080  -j DNAT --to-destination 195.27.31.252:80
~# route add -host 195.27.31.252  dev venet0:0

в итоге имеем

~# route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.27.31.252    *               255.255.255.255 UH    0      0        0 venet0
default         *               0.0.0.0         U     0      0        0 venet0

~# iptables-save

# Generated by iptables-save v1.4.21 on Wed Jun  5 00:13:51 2019
*nat
:PREROUTING ACCEPT [182:8756]
:POSTROUTING ACCEPT [1:71]
:OUTPUT ACCEPT [1:71]
-A PREROUTING -p tcp -m tcp --dport 8080 -j DNAT --to-destination 195.27.31.252:80
-A PREROUTING -p udp -m udp --dport 8080 -j DNAT --to-destination 195.27.31.252:80
-A POSTROUTING -o venet0:0 -j MASQUERADE
COMMIT
# Completed on Wed Jun  5 00:13:51 2019
# Generated by iptables-save v1.4.21 on Wed Jun  5 00:13:51 2019
*filter
:INPUT ACCEPT [1362:140055]
:FORWARD ACCEPT [1:52]
:OUTPUT ACCEPT [1279:178686]
COMMIT
# Completed on Wed Jun  5 00:13:51 2019
# Generated by iptables-save v1.4.21 on Wed Jun  5 00:13:51 2019
*mangle
:PREROUTING ACCEPT [1363:140107]
:INPUT ACCEPT [1362:140055]
:FORWARD ACCEPT [1:52]
:OUTPUT ACCEPT [1280:178766]
:POSTROUTING ACCEPT [1280:178738]
COMMIT
# Completed on Wed Jun  5 00:13:51 2019
# Generated by iptables-save v1.4.21 on Wed Jun  5 00:13:51 2019
*raw
:PREROUTING ACCEPT [1363:140107]
:OUTPUT ACCEPT [1280:178766]
COMMIT
# Completed on Wed Jun  5 00:13:51 2019

Есть идеи почему не работает?

Заранее спасибо.

Ссылка

←	Как научить linux декодировать url windows-1251?

Централизованное обновление CLAMAV

→

Может лучше использовать nginx

mr_archer
(05.06.19 09:25:59 MSK)

ещё надо добавить snat. чтоб целевой сервер отвечал промежуточному. смотри в tcpdump.

Bers666 ★★★★★
(05.06.19 09:50:17 MSK)

всё. тему можно закрывать. ошибка оказалась в строке

~# iptables -t nat -A POSTROUTING -o venet0:0 -j MASQUERADE

правильно она должна выглядить так

~# iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE

и кстати вот это в данном случае не нужно

~# echo «1» > /proc/sys/net/ipv4/ip_forward 
~# route add -host 195.27.31.252 dev venet0:0

маршрутизация ваще не используется. откровенно удивлён.

cheblin
(05.06.19 11:50:59 MSK) автор топика

Ответ на: комментарий от Bers666 05.06.19 09:50:17 MSK

так он есть ``` -A POSTROUTING -o venet0 -j MASQUERADE ```

просто в строке был лишний нолик в названии интерфейса

cheblin
(05.06.19 11:52:59 MSK) автор топика

Ответ на: комментарий от mr_archer 05.06.19 09:25:59 MSK

из пушки по...

cheblin
(05.06.19 11:53:31 MSK) автор топика

Ссылка

Ответ на: комментарий от cheblin 05.06.19 11:52:59 MSK

работает и ладно. Вообще в такой конфигурации сразу вопрос - а что если кто-то из локалки назначит твой хост шлюзом? Он же будет все тупо маскарадить. Будет опен релей. Будешь писать провайдеру письма, чтоб достали из черных списков.

Bers666 ★★★★★
(05.06.19 12:48:51 MSK)

Ответ на: комментарий от Bers666 05.06.19 12:48:51 MSK

Опенрелей куда будет ? Не соображу как это можно использовать для почты.

Deleted
(05.06.19 12:53:55 MSK)

Ответ на: комментарий от Deleted 05.06.19 12:53:55 MSK

Кто-то из локалки прописывает шлюзом
ip ro add GMAIL_IP via 195.27.31.252
Коннектится на GMAIL_IP ( а оно маскарадится же). Шлет спам.

Bers666 ★★★★★
(05.06.19 13:00:26 MSK)

Ответ на: комментарий от Bers666 05.06.19 13:00:26 MSK

Кто-то из локалки

локалки ???

cheblin
(05.06.19 13:56:31 MSK) автор топика

Ссылка

Ответ на: комментарий от cheblin 05.06.19 11:50:59 MSK

venet0:0

Вашими словами «откровенно удивлён». «Надо же такое случилось», алиас не является физическим интерфейсом. «Никогда не было и вот опять».

route add -host 195.27.31.252 dev venet0:0

Не работает... Памагите.... А в чем проблема-то? Видимо в «нейросети».

iptables-save

Если все так и есть, то с немалой долей вероятности ждите «гостей».

anc ★★★★★
(05.06.19 15:50:14 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как научить linux декодировать url windows-1251?

Admin

Централизованное обновление CLAMAV

→

Похожие темы