LINUX.ORG.RU
ФорумAdmin

DNAT iptables


0

0

Через iptables нужно поставить DNAT во внутренюю сеть по порту 1521 <a><p><li> iptables -t nat -A PREROUTING -p tcp -d ###.###.###.### --dport 1521 -j DNAT --to-destination ###.###.###.###:1521 <a><p><li> При подключении выдает connection timeout. Что ему нужно?

anonymous

Re: DNAT iptables

по подробнее опиши что Тебе нужно и что у Тебя есть...
Судя по написаному.

iptables -t nat -A PREROUTING -i {EXT_IF} -p tcp --dport 1521 -j DNAT --to-destination {LOCAL_IP}:1521

Вроде так.

hogus ()
Ответ на: Re: DNAT iptables от hogus

Re: Re: DNAT iptables

Два интерфейса eth0:1(###.###.###.###) eth1(***.***.***.***) необходимо перенаправить подключение к порту 1521 с интерфейса eth0:1 во внутреннюю сеть через eth1.

anonymous ()
Ответ на: Re: Re: DNAT iptables от anonymous

Re: Re: Re: DNAT iptables

а если так...

iptables -t nat -A PREROUTING -i eth0 -d ###.###.###.### -p tcp --dport 1521 -j DNAT --to-destination {LOCAL_IP}:1521

должно работать.

hogus ()
Ответ на: Re: Re: Re: DNAT iptables от hogus

Re: Re: Re: Re: DNAT iptables

Неа не работает

ip_forward=1

iptables -t nat -L -v

Chain PREROUTING (policy ACCEPT 13622 packets, 1538K bytes)

pkts bytes target prot opt in out source destination

3 144 DNAT tcp -- eth0 any anywhere kis-server.local tcp dpt:ncube-lm to:192.168.73.12:1521

Chain POSTROUTING (policy ACCEPT 9029 packets, 376K bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 9145 packets, 383K bytes)

pkts bytes target prot opt in out source destination

anonymous ()
Ответ на: Re: Re: Re: Re: DNAT iptables от anonymous

Re: Re: Re: Re: Re: DNAT iptables

О обратно, как оно вернется. Маскарада нет, значит нежен SNAT еще.

lvi ★★★★ ()

Re: DNAT iptables

Блин, ну почему никто не пользуется поиском, подобный вопрос 100 раз задавался.
Для нормального расшаривания внутреннего сервиса в inet нужно:
0) сделать DNAT:
iptables -t nat -A PREROUTING -p tcp -d x.x.x.x --dport 1521 -j DNAT --to-destination y.y.y.y

1) если локальная тачка не имеет внешнего адреса, то сделать еще и SNAT:
iptables -t nat -A POSTROUTING -s y.y.y.y -p tcp --sport 1521 [-o $inet_interface] [-d ! 192.168.0.0/16] -j SNAT --to-source x.x.x.x

2) разрешить прохождение пакетов через маршрутизатор (цепочка FORWARD), если они запрещены политикой по умолчанию или существующими правилами:
iptables -A FORWARD [-i $inet_interface] -d y.y.y.y -p tcp --dport 1521 -j ACCEPT
iptables -A FORWARD [-o $inet_interface] -s y.y.y.y -p tcp --sport 1521 -j ACCEPT

где x.x.x.x - внешний адрес, y.y.y.y - внутренний

spirit ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.