LINUX.ORG.RU
ФорумAdmin

сервер в DMZ, не доступен


0

1

Привет. Настраиваю DMZ для домашнего сервера через роутер TL-MR3420. Симптомы вроде бы классические - не работает. Тоесть из LAN подсоединиться можно, а с наружи - никак. Однако, проблема, похоже, не в роутере:

Вот что выдает tcpdump, запущенный на сервере (192.168.1.20) и настроенный на порт 2112 (на нем у меня фтп крутится) при попытке приконнектиться из интернета:

ierton@floppylord ~ $ sudo /usr/sbin/tcpdump -i eth2  'port 2112'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes

10:46:52.843607 IP 69.163.149.200.44458 > 192.168.1.20.2112: S 1465476029:1465476029(0) win 14600 <mss 1440,nop,nop,sackOK,nop,wscale 7>
10:46:53.843448 IP 69.163.149.200.44458 > 192.168.1.20.2112: S 1465476029:1465476029(0) win 14600 <mss 1440,nop,nop,sackOK,nop,wscale 7>
10:46:53.847339 IP 69.163.149.200.44491 > 192.168.1.20.2112: S 1231454537:1231454537(0) win 14600 <mss 1440,nop,nop,sackOK,nop,wscale 7>
10:46:54.847884 IP 69.163.149.200.44491 > 192.168.1.20.2112: S 1231454537:1231454537(0) win 14600 <mss 1440,nop,nop,sackOK,nop,wscale 7>

Видно, что пакеты до сервера доходят, но почему-то им игнорируются.

При подсоединении из LAN к томуже адресу (ftp на 192.168.1.20 порт 2112), сервак начинает диалог и всё работает как надо:

ierton@floppylord ~ $ sudo /usr/sbin/tcpdump -i eth2  'port 2112'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes

10:43:06.690230 IP 192.168.1.201.49851 > 192.168.1.20.2112: S 1080342550:1080342550(0) win 14600 <mss 1460,sackOK,timestamp 373053039 0,nop,wscale 4>
10:43:06.690854 IP 192.168.1.20.2112 > 192.168.1.201.49851: S 1677912817:1677912817(0) ack 1080342551 win 5712 <mss 1440,sackOK,timestamp 1283854049 373053039,nop,wscale 6>
10:43:06.691561 IP 192.168.1.201.49851 > 192.168.1.20.2112: . ack 1 win 913 <nop,nop,timestamp 373053041 1283854049>
10:43:06.734706 IP 192.168.1.20.2112 > 192.168.1.201.49851: P 1:36(35) ack 1 win 90 <nop,nop,timestamp 1283854093 373053041>
...
и т.д.

Кто знает, в чем может быть дело? Может быть посоветуете, что нужно включить, чтобы увидеть в логах «судьбу» игнорируемых пакетов от роутера?

★★

-i eth2

очевидно, ответ уходит через др. интерфейс. Вывод: неправильный раутинг.

sdio ★★★★★
()
Ответ на: комментарий от sdio

Спасибо!

Действительно кривой роутинг. Было так: 

ierton@floppylord ~ $ /sbin/route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
169.254.0.0     0.0.0.0         255.255.0.0     U     5      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     6      0        0 eth1
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo

а после добавления в /etc/conf.d/net строчки routes_eth2=(«default via 192.168.1.1») (сервер под генту)

стало так:

ierton@floppylord ~ $ /sbin/route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
169.254.0.0     0.0.0.0         255.255.0.0     U     5      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     6      0        0 eth1
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
0.0.0.0         192.168.1.1     0.0.0.0         UG    7      0        0 eth2

и все <happy> заработало! </happy>

ierton ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin