LINUX.ORG.RU
ФорумAdmin

nat 80 in opensuse

 , ,


0

1

доброе время!

который час бьюсь с странным моментом:

имеется шлюз на opensuse, на нем сейчас висит несколько пробросов портов, все работает. нужно добавить проброс 80 порта внутрь сети. стандартно: iptables -t nat -A PREROUTING -i dsl0 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.6:80 в итоге толку нет, порт закрыт. в настройках брандмауэра в yast2 для зоны dsl0 порт http разрешен. пробовал и вдоль и поперек, и в самом yast'е настраивал проброс - закрыт порт. если же указать проброс с любого другого случайного порта - работает! (например 9110 на 80).

грешу на susefirewall, но в конфиг вроде бы в порядке..


Ответ на: комментарий от joy4eg

поскольку iptables v1.3.5 привожу простыни -L

что характерно - после попыток завести через настройку nat в yast, при отключении данного пункта в yast'e, nat полностью перестает работать, хотя в ядре включено все, и правила прописаны. пришлось включить nat в оснастке и пробросить порты через нее(80 по прежнему не пробрасывается). любовь к этим всем костылям так и хлещет..

первая простынь: http://pastebin.com/BzYEa7J5

почему susefirewall по два правила пишет - не знаю. 

pdc:~ # iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 to:192.168.10.6:25
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 to:192.168.10.6:25
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3394 to:192.168.10.5:3394
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3394 to:192.168.10.5:3394
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3395 to:192.168.10.83:3395
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3395 to:192.168.10.83:3395
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723 to:192.168.10.6:1723
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723 to:192.168.10.6:1723
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:192.168.10.6:80
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:192.168.10.6:80

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0
MASQUERADE  all  --  192.168.10.111       0.0.0.0/0
MASQUERADE  all  --  192.168.10.120       0.0.0.0/0
MASQUERADE  all  --  192.168.10.112       0.0.0.0/0
MASQUERADE  all  --  192.168.10.113       0.0.0.0/0
MASQUERADE  all  --  192.168.10.114       0.0.0.0/0
MASQUERADE  all  --  192.168.10.115       0.0.0.0/0
MASQUERADE  all  --  192.168.10.116       0.0.0.0/0
MASQUERADE  all  --  192.168.10.66        0.0.0.0/0
MASQUERADE  all  --  192.168.10.12        0.0.0.0/0
MASQUERADE  all  --  192.168.10.117       0.0.0.0/0
MASQUERADE  all  --  192.168.10.171       0.0.0.0/0
MASQUERADE  all  --  192.168.10.172       0.0.0.0/0
MASQUERADE  all  --  192.168.10.173       0.0.0.0/0
MASQUERADE  all  --  192.168.10.174       0.0.0.0/0
MASQUERADE  all  --  192.168.10.175       0.0.0.0/0
MASQUERADE  all  --  192.168.10.176       0.0.0.0/0
MASQUERADE  all  --  192.168.10.177       0.0.0.0/0
MASQUERADE  all  --  192.168.10.178       0.0.0.0/0
MASQUERADE  all  --  192.168.10.83        0.0.0.0/0
MASQUERADE  all  --  192.168.10.5         0.0.0.0/0
MASQUERADE  all  --  192.168.10.2         0.0.0.0/0
MASQUERADE  all  --  192.168.10.6         0.0.0.0/0
MASQUERADE  all  --  192.168.10.166       0.0.0.0/0
MASQUERADE  tcp  --  192.168.10.0/24      188.235.1.47        tcp dpt:9481

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


pdc:~ # netstat -anp | egrep 'Proto|LISTEN'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:20000           0.0.0.0:*               LISTEN      3477/perl
tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN      3677/slapd
tcp        0      0 0.0.0.0:7110            0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 192.168.10.1:8102       0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 192.168.2.10:15911      0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 192.168.10.1:8425       0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 0.0.0.0:5801            0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 ext_ip:427        0.0.0.0:*               LISTEN      11541/slpd
tcp        0      0 192.168.10.1:427        0.0.0.0:*               LISTEN      11541/slpd
tcp        0      0 192.168.2.10:427        0.0.0.0:*               LISTEN      11541/slpd
tcp        0      0 127.0.0.1:427           0.0.0.0:*               LISTEN      11541/slpd
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      3914/smbd
tcp        0      0 0.0.0.0:5901            0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 192.168.10.1:8110       0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      3356/portmap
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      3636/perl
tcp        0      0 127.0.0.1:2544          0.0.0.0:*               LISTEN      3530/zmd
tcp        0      0 0.0.0.0:7025            0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 0.0.0.0:10100           0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 ext_ip:53         0.0.0.0:*               LISTEN      7337/named
tcp        0      0 192.168.10.1:53         0.0.0.0:*               LISTEN      7337/named
tcp        0      0 192.168.2.10:53         0.0.0.0:*               LISTEN      7337/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      7337/named
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      3889/cupsd
tcp        0      0 192.168.2.10:9112       0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN      20409/(squid)
tcp        0      0 192.168.10.1:8025       0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      7337/named
tcp        0      0 0.0.0.0:8411            0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 192.168.10.1:443        0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 192.168.2.10:3389       0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      3914/smbd
tcp        0      0 192.168.2.10:9022       0.0.0.0:*               LISTEN      19117/xinetd
tcp        0      0 :::389                  :::*                    LISTEN      3677/slapd
tcp        0      0 :::5413                 :::*                    LISTEN      3587/sshd
tcp        0      0 :::53                   :::*                    LISTEN      7337/named
tcp        0      0 ::1:953                 :::*                    LISTEN      7337/named
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     8013   3264/saslauthd      /var/run/sasl2//mux
unix  2      [ ACC ]     STREAM     LISTENING     5977   2416/dbus-daemon    /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     8608   3530/zmd            /var/run/zmd/zmd-remoting.socket
unix  2      [ ACC ]     STREAM     LISTENING     9489   3823/smpppd         /var/run/smpppd/control
unix  2      [ ACC ]     STREAM     LISTENING     9491   3823/smpppd         /var/run/smpppd/ifcfg-dsl0
unix  2      [ ACC ]     STREAM     LISTENING     6323   2568/hald           @/tmp/hald-local/dbus-PkCw0Gxwao
unix  2      [ ACC ]     STREAM     LISTENING     10117  3993/nscd           /var/run/nscd/socket
unix  2      [ ACC ]     STREAM     LISTENING     5704   2308/acpid          /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     5926   2397/resmgrd        /var/run/.resmgr_socket

byy
() автор топика
Ответ на: комментарий от anonymous

внимательнее тему прочтите.

byy
() автор топика

грешу на susefirewall, но в конфиг вроде бы в порядке..

для начала расскажи, как ты настраиваешь? через яст или отключил в ясте фаер и свой скрипт написал?

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

собственно по порядку: ястовый файер жил своей жизнью, а нужные мне правила я подгружал через SuSEfirewall2-custom. там были dnat и маскарадинг. понадобилось пробросить 80 порт - добавил правило в iptables, эффекта ноль. начал разбираться - включил nat в ясте, добавил правило на 80 порт - все равно не работает. после отключил nat в ясте. проброс произвольного порта работает без проблем (без использования яста). после обнаружил, что когда выключен nat в ясте - мои правила из SuSEfirewall2-custom не работают. включил его. маскарадинг заработал, dnat нет. в итоге добавил в ясте dnat правила, т.к. нужные сейчас для работы, и все приведенные листинги именно с последнего момента..

byy
() автор топика
Ответ на: комментарий от MikeDM

оно есть. но порт не пробрасывается! iptables -t nat -A PREROUTING -i dsl0 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.6:80

byy
() автор топика
Ответ на: комментарий от MikeDM

какая еще причина может быть? 

pdc:~ # iptables -t nat -L PREROUTING -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9119 to:192.168.10.120:22
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3394 to:192.168.10.5:3394
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3389 to:192.168.10.120:3389
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3395 to:192.168.10.83:3395
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 to:192.168.10.6:25
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1723 to:192.168.10.6:1723
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:192.168.10.6:80
nmap снаружи 80 порт видит как filtered. остальные открыты.

byy
() автор топика
Ответ на: комментарий от byy

Какая-то портянка с правилами, Я бы обратил внимание на это: 

ACCEPT     tcp  --  anywhere             ext_domain_name     tcp dpt:http
В forward_ext, forward_int, input_ext Попробуйте по удалять эти правила, вместе или по отдельности и проверить результат :)

joy4eg ★★★★★
()
Ответ на: комментарий от joy4eg

уже выкинул вообще susefirewall. просто применил правила в iptables. наружний 80 порт ни в какую не слушает. приложениями он тоже не занят.. netstat приводил выше.. чудеса какие-то

byy
() автор топика
Ответ на: комментарий от MikeDM

и телнетом уже много десятков раз стучался :) 

root@vps-1928:~# nmap my_domain -p 80

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-25 15:36 MSK
Nmap scan report for my_domain (my_ip)
Host is up (0.13s latency).
rDNS record for my_ip: my_domain
PORT   STATE    SERVICE
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 1.58 seconds
root@vps-1928:~# telnet my_domain 80
Trying my_ip...
telnet: Unable to connect to remote host: No route to host
root@vps-1928:~# telnet my_domain 25
Trying my_ip...
Connected to my_domain.
Escape character is '^]'.
220 mail.my_domain
quit
221 2.0.0 Bye
Connection closed by foreign host.

byy
() автор топика
Ответ на: комментарий от byy

netstat приводил выше.. чудеса какие-то

может посередине что то ?

вообще выключи сюсевый фаер. и сделай свой скрипт.

MikeDM ★★★★★
()
Ответ на: комментарий от byy

А может ли он быть закрыт где-то на уровень выше ?
Попробуй добавить iptables LOG для 80 порта на входящие соединения.

joy4eg ★★★★★
()
Ответ на: комментарий от joy4eg

я же писал выше, что файер сюси отключил давно. и что правила полностью вручную написанные сейчас работают

iptables -A INPUT -p tcp --dport 80 -j LOG

стучусь на 80 порт телнетом - в логах тишина

byy
() автор топика
Ответ на: комментарий от MikeDM

8080 так же закрыт. а вот к примеру 9115 становится доступен и телнет коннектится и получает html.

byy
() автор топика
Ответ на: комментарий от byy

а вот к примеру 9115 становится доступен и телнет коннектится и получает html.

это наводит на разные нехорошие мысли о твоем провайдере или оборудовании которое стоит перед сервером. Расскажешь?

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

да оборудования никакого по сути и нет. стоит adsl-модем в бридже, и ррр поднимается сервером. провайдер ростелеком.

похоже все-таки провайдер фильтрует. сейчас убрал нат 80 порта, запустил на шлюзе апач - изнутри вижу, снаружи нет. неожиданный подвох.

byy
() автор топика
Ответ на: комментарий от MikeDM

быстрой в данный момент нет. а так постараюсь выяснить, действительно ли они фильтруют порты..

хотя в другом месте на ростелекоме висел веб без проблем..

byy
() автор топика
Ответ на: комментарий от byy

у РТ были настроены фильтры. их убрали - все теперь работает. всем спасибо:)

byy
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin