LINUX.ORG.RU
ФорумAdmin

Доступ к внуреннему серверу с файрвола


0

0

Стоит iptables настроен SNAT все работает Необходимо опубликовать внутренний Web сервер (порт 10084) Все настроено как в руководстве iptables -A FORWARD -i $INET_IFACE -d $HTTP_IP -p tcp --dport 10084 -j ACCEPT

iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 10084 -j DNAT --to-destination $HTTP_IP из интернета сервер доступен

iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 10084 -j SNAT --to-source $LAN_IP

из локальной сети тоже (по внешнему адресу файрвола)

iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 10084 -j DNAT --to-destination $HTTP_IP Последнее правило должно позволить ходить на сервер с файрвола по внешнему IP, оно срабатывает, но дальше пакеты не идут, видно по логам что отправляется SYN интерфейса lo, а потом только RST Как же это настроить?

anonymous

Re: Доступ к внуреннему серверу с файрвола

Вот логи tcpdump при попытке доступа с файрвола(.216) на сервер (.123)

15:38:38.725713 192.168.123.216.32781 > 192.168.123.123.10084: S 1658715606:1658715606(0) win 32767 <mss 16396,sackOK,timestamp 325969 0,nop,wscale 0> (DF)

15:38:38.725713 192.168.123.123.10084 > 192.168.123.216.32781: S 2462377395:2462377395(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

15:38:38.725713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:38:41.725713 192.168.123.216.32781 > 192.168.123.123.10084: S 1658715606:1658715606(0) win 32767 <mss 16396,sackOK,timestamp 326269 0,nop,wscale 0> (DF)

15:38:41.895713 192.168.123.123.10084 > 192.168.123.216.32781: S 2462377395:2462377395(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

15:38:41.895713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:38:47.725713 192.168.123.216.32781 > 192.168.123.123.10084: S 1658715606:1658715606(0) win 32767 <mss 16396,sackOK,timestamp 326869 0,nop,wscale 0> (DF)

15:38:48.455713 192.168.123.123.10084 > 192.168.123.216.32781: S 2462377395:2462377395(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

15:38:48.455713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:38:59.725713 192.168.123.216.32781 > 192.168.123.123.10084: S 1658715606:1658715606(0) win 32767 <mss 16396,sackOK,timestamp 328069 0,nop,wscale 0> (DF)

15:39:23.725713 192.168.123.216.32781 > 192.168.123.123.10084: S 1658715606:1658715606(0) win 32767 <mss 16396,sackOK,timestamp 330469 0,nop,wscale 0> (DF)

15:39:23.725713 192.168.123.123.10084 > 192.168.123.216.32781: S 2473984628:2473984628(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

15:39:23.725713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:39:26.735713 192.168.123.123.10084 > 192.168.123.216.32781: S 2473984628:2473984628(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

15:39:26.735713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:39:33.295713 192.168.123.123.10084 > 192.168.123.216.32781: S 2473984628:2473984628(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

15:39:33.295713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:40:11.725713 192.168.123.216.32781 > 192.168.123.123.10084: S 1658715606:1658715606(0) win 32767 <mss 16396,sackOK,timestamp 335269 0,nop,wscale 0> (DF)

15:40:11.725713 192.168.123.123.10084 > 192.168.123.216.32781: S 2486301768:2486301768(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK> 15:40:11.725713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:40:14.865713 192.168.123.123.10084 > 192.168.123.216.32781: S 2486301768:2486301768(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK> 15:40:14.865713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

15:40:21.425713 192.168.123.123.10084 > 192.168.123.216.32781: S 2486301768:2486301768(0) ack 1658715607 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

15:40:21.425713 192.168.123.216.1024 > 192.168.123.123.10084: R 1658715607:1658715607(0) win 0 (DF)

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.