LINUX.ORG.RU
ФорумAdmin

Помогите разобраться с IPTABLES


0

2

Здравствуйте, помогите пожалуйста, в Ubuntu а так же iptables не сильно силен..только начинаю разбираться, суть вот в чем: Есть 2 шлюза, один основной ip - 10.68.0.1 второй - вторичный ip - 10.68.0.16 Оба на статике на 10.68.0.16 установлен openfire, на первом iptables настроен на переброс пакетов на 16й все норм пашет при включении интернета и настройках iptables на 10.68.0.16 миранда(внутренняя связь) работает только у локальной сети внешние подключения ее не видят, т.е. как я понимаю пакеты идут на сервер а обратно не возвращаются, помогите пожалуйста

Вот настройки iptables на 10.68.0.16:

# Generated by iptables-save v1.4.18 on Tue Mar 18 13:05:35 2014

*filter

:INPUT ACCEPT [243:20223]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [31:2325]

-A INPUT -s 10.68.0.0/24 -i p4p1 -m state --state NEW,ESTABLISHED -j ACCEPT

-A FORWARD -s 10.68.0.0/24 -i p4p1 -m state --state NEW,ESTABLISHED -j ACCEPT

-A FORWARD -d 10.68.0.0/24 -i ppp0 -m state --state ESTABLISHED -j ACCEPT

-A OUTPUT -d 10.68.0.0/24 -o p4p1 -m state --state NEW,ESTABLISHED -j ACCEPT

COMMIT # Completed on Tue Mar 18 13:05:35 2014 # Generated by iptables-save v1.4.18 on Tue Mar 18 13:05:35 2014

*nat

:PREROUTING ACCEPT [1317:104420]

:INPUT ACCEPT [1050:64925]

:OUTPUT ACCEPT [111:7199]

:POSTROUTING ACCEPT [111:7199]

#MASQUERADE

-A POSTROUTING -o ppp0 -j MASQUERADE

-A POSTROUTING -o p4p1 -j MASQUERADE

#JABBER MIRANDA

-A INPUT -p tcp -m tcp --dport 5225 -j ACCEPT

COMMIT

# Completed on Tue Mar 18 13:05:35 2014

# Generated by iptables-save v1.4.18 on Tue Mar 18 13:05:35 2014

*mangle

:PREROUTING ACCEPT [35865:39972227]

:INPUT ACCEPT [34943:39808732]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [25874:39238562]

:POSTROUTING ACCEPT [25874:39238562]

COMMIT

ppp0 это соединение интернет второго шлюза, а p4p1 это внутренняя сетка. Понимаю что сейчас настроена чушь..но пока надо срочно поднять второй канал интернета что бы подключаясь клиенты могли работать в миранде...и еще если есть возможность по пути подскажите как трафик с 25го порта перенаправлять на 10.68.0.1 что бы при подключении к 10.68.0.16 почта не терялась(но это вторичный вопрос) основной что делать с мирандой, порт там прописан 5225 Заранее благодарен кто откликнется, если можно с пояснениями, пользователи подключаются через 10.68.0.1 ...просто начальство крепит...а времени все освоить и сразу нет(

-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o p4p1 -j MASQUERADE

из всех правил принимать во внимание нужно только эти два, так как default policy по всем цепочкам ACCEPT

sdio ★★★★★ ()
Ответ на: комментарий от sdio

эм...извиняюсь это понятно...но почему тогда внешним подключившимся пользователям через 10.68.0.1 не удается подключиться, хотя теоретически все должно туда сюда ходить...там так же настроен маскардинг и перенаправляется порт 5225 на 16й сервер, но в итоге внешние клиенты молчат...

Volcano ()
Ответ на: комментарий от sdio

Ну так можно что то подсказать что можно сделать в этой ситуации? Если работает только шлюз на первом сервере то все ок пашет, там настроено перенаправление dnat на 16й сервак, но как сделать что бы при включении второго канала т.е. на 16м сервере то внешние клиенты не конектятся...

Volcano ()
Ответ на: комментарий от sdio

Ну или можно немного поподробней, просто пока не могу уловить вашу мысль

Volcano ()
Ответ на: комментарий от Volcano

можно немного поподробней

Чтобы я мог сказать подробнее, сначала ты должен технически подробно описать свою ситуацию, а пока это разговор на пальцах «ну там, типа dnat, всё путем, но не работает и т.д.»

sdio ★★★★★ ()
Ответ на: комментарий от sdio

подробней что именно? основной шлюз: ip:10.68.0.1 2 сетевухи одна внешняя например eth0,вторая локальная eth1 ip статический например xx.xx.xx.xx интернет раздается через squid пакеты порта 5225 перенаправляются на ip 10.68.0.16 второй сервак: ip:10.68.0.16 2 сетевухи одна p4p1 внутренняя сеть вторая pppoe соединение - ppp0 статический ip:yy.yy.yy.yy сквид не установлен конфиг iptables написал выше по второму серваку Какая информация еще интересует? Необходимо что бы пакеты через порт 5225 шли через 1й сервак( сейчас так и есть) но при включении iptables настройки 16го сервера выше внешние пользователи которые подключаются через первый сервер не могут подключиться к связи...в сети их нет...

просто немного не могу понять какая информация точнее нужна?

Volcano ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.