LINUX.ORG.RU

Проброс портов на шлюзе к веб серверу (Трансляция ip адресов)


1

1

Доброй ночи уважаемые форумчане ! Вопрос, задача состоит в следующем: Имеется шлюз через который юзера ходят в инет; eth1- внешний айпи 10.10.10.10 eth0 - локальный 192.168.11.1 Соответственно юзера ходят в мир через шлюз 192.168.11.1; Так же в локальной сети есть веб сервер (192.168.11.25) Порты (80, 443, 21 ....) на шлюзе перенаправлены на веб сервер (192.168.11.25) все работает, но проблема в том, что трансляция айпи адресов работает не правильно, допустим во всех веб приложениях к примеру на форуме ipb у всех юзеров отображается внутренний айпи (192.168.11.1) Каким образом можно решить проблему ?!

# Generated by iptables-save v1.4.7 on Tue Dec  2 04:11:32 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10448:2129928]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i eth+ -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -d 192.168.11.25/32 -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -p icmp -j ACCEPT 
-A FORWARD -i lo -j ACCEPT 
-A FORWARD -i eth+ -j ACCEPT 
-A FORWARD -o eth+ -j ACCEPT 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Tue Dec  2 04:11:32 2014
# Generated by iptables-save v1.4.7 on Tue Dec  2 04:11:32 2014
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 8083 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 8443 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 53 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p udp -m udp -d 10.10.10.10/32 --dport 53 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 12000:12100 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 443 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 2222 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 465 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 2525 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 587 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 110 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 25 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 3306 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 143 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 10000 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 2223 -j DNAT --to-destination 192.168.11.28
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 80 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 2500 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p udp -m udp -d 10.10.10.10/32 --dport 2500 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 2500 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 10000 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 27500 -j DNAT --to-destination 192.168.11.25
-A PREROUTING -p udp -m udp -d 10.10.10.10/32 --dport 29015:29030 -j DNAT --to-destination 192.168.11.28
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 29015:29030 -j DNAT --to-destination 192.168.11.28
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 6500:6600 -j DNAT --to-destination 192.168.11.28
-A PREROUTING -p udp -m udp -d 10.10.10.10/32 --dport 6500:6600 -j DNAT --to-destination 192.168.11.28
-A PREROUTING -p udp -m udp -d 10.10.10.10/32 --dport 4500:4600 -j DNAT --to-destination 192.168.11.28
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 4500:4600 -j DNAT --to-destination 192.168.11.28
-A PREROUTING -p tcp -m tcp -d 10.10.10.10/32 --dport 2123 -j DNAT --to-destination 192.168.11.28
-A POSTROUTING -o eth+ -j MASQUERADE
-A POSTROUTING -p tcp -m tcp -d 192.168.11.25/32 --dport 80 -j SNAT --to-source 10.10.10.10
-A OUTPUT -p tcp -m tcp -d 10.10.10.10/32 --dport 80 -j DNAT --to-destination 192.168.11.25
COMMIT
# Completed on Tue Dec  2 04:11:32 2014
# Generated by iptables-save v1.4.7 on Tue Dec  2 04:11:32 2014
*mangle
:PREROUTING ACCEPT [62353:36239347]
:INPUT ACCEPT [8549:767428]
:FORWARD ACCEPT [53740:35468673]
:OUTPUT ACCEPT [10530:2149595]
:POSTROUTING ACCEPT [64188:37598601]
COMMIT
# Completed on Tue Dec  2 04:11:32 2014

Перемещено maxcom из linux-org-ru

Потому что у вас написано

-A POSTROUTING -o eth+ -j MASQUERADE
Тоесть на выходе из интерфейса у вас ставиться ip интерфейса 192.168.11.1.

И это зачем ?

-A POSTROUTING -p tcp -m tcp -d 192.168.11.25/32 --dport 80 -j SNAT --to-source 10.10.10.10

pyatak123 ()
Последнее исправление: pyatak123 (всего исправлений: 1)
Ответ на: комментарий от pyatak123

Если убрать ?

Если убрать:

-A POSTROUTING -o eth+ -j MASQUERADE
С локальной сети будут в инет выходить ?

RoDGeR ()
Ответ на: Если убрать ? от RoDGeR

Надо понимать что такое «+». В вашем случае это и eth1 и eth0. Вам нужно указать именно eth1.

-A POSTROUTING -o eth1 -j MASQUERADE

pyatak123 ()
Ответ на: комментарий от pyatak123

Если я делаю так:

-A POSTROUTING -o eth1 -j MASQUERADE
Инет в локалке работает, а веб сервер из мира не доступен.

RoDGeR ()
Ответ на: комментарий от RoDGeR

И это убери

-A POSTROUTING -p tcp -m tcp -d 192.168.11.25/32 --dport 80 -j SNAT --to-source 10.10.10.10

Бери tcpdump запускай проверяй что не так , куда пакеты уходят...
Таким образом должно работать. Не нужен тут MASQUERADE на eth0.

pyatak123 ()
Последнее исправление: pyatak123 (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.