Проброс портов на шлюзе

0

1

Здравствуйте!

Нужна помощь, не могу справится с пробросом портов. На виртуальную машину которая находится внутри сети нужно пустить трафик напрямую мимо squid и пробросить порт для доступа по ssh.

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 172.16.0.0/12 -o p4p1 -j MASQUERADE
-A PREROUTING -i p3p1 -p tcp --dport 80 -j REDIRECT --to-port 3128
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -s 192.168.8.10 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport XXXX -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Проброс портов пыталась сделать добавлением следующих строчек в секцию nat:

-A PREROUTING -p tcp -m tcp -d $EXT_IP --dport YYYYY -j DNAT --to-destination 172.16.8.10:XXXX
-A POSTROUTING -p tcp -m tcp -s 172.16.8.10 --sport XXXX -j SNAT --to-source $EXT_IP:YYYYY

Порты ssh на шлюзе и на виртуальной машине одинаковые.

Ссылка

←	Снова LTSP. Печать.

zabbix наблюдения

→

# Перенаправить запросы к 5.5.5.13:80 на 1.1.0.219:80 (FlightAware FlightFeeder) | (-d, --dst, --destination) пункт назначения
$IPT -t nat -A PREROUTING --dst 5.5.5.13 -p TCP --dport 80 -j DNAT --to-destination 1.1.0.8

Всё что выше, я не разбирал, потому как вношу не так.

sin-ok ★
(17.09.18 12:29:49 MSK)

Ссылка

-A PREROUTING -p tcp -m tcp -d $EXT_IP --dport YYYYY -j DNAT --to-destination 172.16.8.10:XXXX

Верно, плюс

-A FORWARD -p tcp -d 172.16.8.10 -j ACCEPT
-A FORWARD -p tcp -s 172.16.8.10 -j ACCEPT

Только они должны быть выше

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

И не забыть включить форвардинг

echo 1 > /proc/sys/net/ipv4/ip_forward

а как фэншуйно это в вашем дистре делаеться найдете сами.

anc ★★★★★
(17.09.18 17:27:35 MSK)

Ответ на: комментарий от anc 17.09.18 17:27:35 MSK

Форвардинг я сделала изначально:

[root@80 aleksa]# sysctl -p
net.ipv4.ip_forward = 1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

Aleksandra ★
(17.09.18 19:03:36 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 17.09.18 17:27:35 MSK

Вот так не хочет работать.

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

-A POSTROUTING -s 172.16.0.0/12 -o p4p1 -j MASQUERADE
-A PREROUTING -i p3p1 -p tcp --dport 80 -j REDIRECT --to-port 3128

-A PREROUTING -p tcp -m tcp -d $EXT_IP --dport YYYYY -j DNAT --to-destination 172.16.8.10:XXXX
-A POSTROUTING -p tcp -m tcp -s 172.16.8.10 --sport XXXX -j SNAT --to-source $EXT_IP:YYYYY

COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p tcp -d 172.16.8.10 -j ACCEPT
-A FORWARD -p tcp -s 172.16.8.10 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport XXXX -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Aleksandra ★
(17.09.18 19:11:39 MSK) автор топика

Ответ на: комментарий от Aleksandra 17.09.18 19:11:39 MSK

Сосредоточимся пока на форвардинге портов:

1. По-моему, SNAT в таком виде лишний (ответные пакеты на за-DNAT-ченное соединение и так перепишутся), впрочем, влиять-мешать он не должен, поэтому это ничего не объясняет.

2. А вот насчёт «не работает» — вы случайно не из внутренней сети пробуете доступ к $EXTIP? чтобы это работало, нужен дополнительный SNAT, но не такой как у вас. А вот *извне* к $EXTIP должно уже работать, если я ничего не упустил.

LeninGad ★
(17.09.18 19:49:46 MSK)

Ответ на: комментарий от Aleksandra 17.09.18 19:11:39 MSK

-A PREROUTING -p tcp -m tcp -d $EXT_IP --dport YYYYY -j DNAT --to-destination 172.16.8.10:XXXX

Чуть выше

-A POSTROUTING -p tcp -m tcp -s 172.16.8.10 --sport XXXX -j SNAT --to-source $EXT_IP:YYYYY

Возможно не надо, у вас и так стоит
-A POSTROUTING -s 172.16.0.0/12 -o p4p1 -j MASQUERADE

anc ★★★★★
(17.09.18 19:52:03 MSK)

Ссылка

Ответ на: комментарий от LeninGad 17.09.18 19:49:46 MSK

Для доступа к $EXTIP:YYYYY изнутри сети:

-t nat -A POSTROUTING -p tcp -m tcp -s 172.16.0.0/12 -d 172.16.8.10 --dport XXXX -j SNAT --to-source $EXT_IP (или $INT_IP, whatever, главное, локальный на вашем чудо-роутере)

LeninGad ★
(17.09.18 20:06:36 MSK)

Ссылка

Ответ на: комментарий от LeninGad 17.09.18 19:49:46 MSK

Я идиотка. Форвардинг портов заработал. У нас в сети два канала интернета и два шлюза. На виртуалке был прописан другой шлюз.

Сейчас вот такие правила:

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

-A POSTROUTING -s 172.16.0.0/12 -o p4p1 -j MASQUERADE
-A PREROUTING -i p3p1 -p tcp --dport 80 -j REDIRECT --to-port 3128

-A PREROUTING -p tcp -m tcp -d $EXT_IP --dport YYYYY -j DNAT --to-destination 172.16.8.10:XXXX

COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p tcp -d 172.16.8.10 -j ACCEPT
-A FORWARD -p tcp -s 172.16.8.10 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport XXXX -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Теперь надо заставить обновлять пакеты на виртуалке 172.16.8.10 напрямую в обход прокси. Подскажите пожалуйста где у меня и что не так.

Aleksandra ★
(17.09.18 20:53:04 MSK) автор топика

Ответ на: комментарий от Aleksandra 17.09.18 20:53:04 MSK

-t nat -I PREROUTING -i p3p1 -p tcp --dport 80 -s 172.16.8.10 -j ACCEPT

-I в том смысле, что правило должно быть перед правилом для прокси (-jREDIRECT).

LeninGad ★
(17.09.18 21:05:32 MSK)

Ответ на: комментарий от LeninGad 17.09.18 21:05:32 MSK

Не поняла куда это правило вставлять, и еще получается

-A FORWARD -p tcp -d 172.16.8.10 -j ACCEPT
-A FORWARD -p tcp -s 172.16.8.10 -j ACCEPT

не нужно?

Aleksandra ★
(17.09.18 21:18:09 MSK) автор топика

Ответ на: комментарий от Aleksandra 17.09.18 21:18:09 MSK

Правило вставлять в таблицу nat, цепочку PREROUTING, перед редиректом на прокси. Например, просто выполнить

iptables -t nat -I PREROUTING -i p3p1 -p tcp --dport 80 -s 172.16.8.10 -j ACCEPT

Из-за -I оно встанет в нужное место, и тогда можно делать iptables-save.

-A FORWARD ... -jACCEPT

в таблице filter — нужны, иначе никакого «мимо прокси» и никакого проброса портов не будет.

LeninGad ★
(17.09.18 21:26:54 MSK)

Ответ на: комментарий от Aleksandra 17.09.18 21:18:09 MSK

Правило выше ставиться перед заворачиванием трафика в прокси. Если нет обращений к этому адресу из других подсетей то можно убрать. Может для тебя будет проще видеть правила командой iptables -nvL -t nat --line-numbers

avb
(17.09.18 21:29:22 MSK)

Ответ на: комментарий от LeninGad 17.09.18 21:26:54 MSK

Что-то не хочет работать с такими правилами.

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

-A POSTROUTING -s 172.16.0.0/12 -o p4p1 -j MASQUERADE
-I PREROUTING -i p3p1 -p tcp --dport 80 -s 172.16.8.10 -j ACCEPT
-A PREROUTING -i p3p1 -p tcp --dport 80 -j REDIRECT --to-port 3128

-A PREROUTING -p tcp -m tcp -d $EXT_IP --dport YYYYY -j DNAT --to-destination 172.16.8.10:XXXX

COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p tcp -d 172.16.8.10 -j ACCEPT
-A FORWARD -p tcp -s 172.16.8.10 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport XXXX -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Aleksandra ★
(17.09.18 21:46:14 MSK) автор топика

Ссылка

Ответ на: комментарий от avb 17.09.18 21:29:22 MSK

[root@80 sysconfig]# iptables -nvL -t nat --line-numbers
Chain PREROUTING (policy ACCEPT 2 packets, 465 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     tcp  --  p3p1   *       172.16.8.10          0.0.0.0/0            tcp dpt:80
2        0     0 REDIRECT   tcp  --  p3p1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 redir ports 3128
3        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.xxx.xxx        tcp dpt:YYYYY to:172.16.8.10:XXXX

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1 packets, 152 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 1 packets, 152 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 MASQUERADE  all  --  *      p4p1    172.16.0.0/12        0.0.0.0/0

Aleksandra ★
(17.09.18 21:50:25 MSK) автор топика

Ответ на: комментарий от Aleksandra 17.09.18 21:50:25 MSK

У тебя обращение по 80 порту происходят, просто сейчас модно везде 443 порт использовать. Для проверки можно весь трафик разрешить с этого хоста, а потому уже урезать до порта.

avb
(17.09.18 21:55:53 MSK)

Ссылка

Ответ на: комментарий от LeninGad 17.09.18 21:26:54 MSK

Не работает ping, а вот yum check-update заработал.

Aleksandra ★
(17.09.18 21:56:07 MSK) автор топика

Ответ на: комментарий от Aleksandra 17.09.18 21:56:07 MSK

-A FORWARD -p tcp -d 172.16.8.10 -j ACCEPT
-A FORWARD -p tcp -s 172.16.8.10 -j ACCEPT

Пинг заработает, если такое же для -p icmp добавить (ну или из этих -p tcp убрать).

LeninGad ★
(17.09.18 22:00:42 MSK)

Ответ на: комментарий от LeninGad 17.09.18 22:00:42 MSK

Супер! Все работает. И еще последнее хотела спросить, если у меня на стойке с десяток виртуальных машин как эстетичнее сделать?

-A FORWARD -d 172.16.0.0/12 -j ACCEPT
-A FORWARD -s 172.16.0.0/12 -j ACCEPT

А вверху перечислять:

-I PREROUTING -i p3p1 -p tcp --dport 80 -s $INT_IP -j ACCEPT

Или есть еще варианты?

Aleksandra ★
(17.09.18 22:17:19 MSK) автор топика

Ответ на: комментарий от Aleksandra 17.09.18 22:17:19 MSK

Адреса виртуалок вразброс идут и на это нельзя повлиять? Если можно их собрать, скажем в 172.16.8.0/24, будет эстетичнее.

Есть ipset (тулза и match extension) для работы с «коллекциями адресов», но для редко меняющегося набора из десяти штук я бы не стал её задействовать.

LeninGad ★
(17.09.18 22:26:30 MSK)

Ответ на: комментарий от LeninGad 17.09.18 22:26:30 MSK

Адреса виртуалок вразброс идут и на это нельзя повлиять? Если можно их собрать, скажем в 172.16.8.0/24, будет эстетичнее.

Как раз в этой подсети.

Мужчины! Спасибо Вам всем большое за помощь. Тему можно пометить как решенную.

Aleksandra ★
(17.09.18 22:38:58 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Снова LTSP. Печать.

Admin

zabbix наблюдения

→

Похожие темы