URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70220
[ Назад ]

Исходное сообщение
"Проблемы с DNAT"
Отправлено Semjon , 13-Ноя-06 22:19

Здравствуйте, Всем!
Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
портов на компьтеры в локальной сети для работы с directconnect`ом
(конкретно StrongDC), делаю это следующим образом:
IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j /
DNAT --to-destination $comp1_IP
IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j /
DNAT --to-destination $comp2_IP
IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j /
DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
FORWARD тоже разрешен.
Проблема в том, что работает это все только на одной машине в сети (и только
на ней, даже если менять айпишники и порты на других тачках на айпи и порт
той, которая работает, все равно не пашет). В ip_conntrack пишет, что
соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
Что посоветуют уважаемые Гуру?
-----
With Best Regards!

Содержание

Проблемы с DNAT,Semjon, 10:38 , 15-Ноя-06
Проблемы с DNAT,vozd, 16:35 , 17-Ноя-06
- Проблемы с DNAT,perece, 18:12 , 17-Ноя-06
  - Проблемы с DNAT,Semjon, 01:48 , 13-Дек-06
    - Проблемы с DNAT,Bogus, 23:53 , 23-Янв-08

Сообщения в этом обсуждении

"Проблемы с DNAT"
Отправлено Semjon , 15-Ноя-06 10:38

>Здравствуйте, Всем!
>
>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>
>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>портов на компьтеры в локальной сети для работы с directconnect`ом
>(конкретно StrongDC), делаю это следующим образом:
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>/
>DNAT --to-destination $comp1_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>/
>DNAT --to-destination $comp2_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>/
>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>
>FORWARD тоже разрешен.
>
>Проблема в том, что работает это все только на одной машине в
>сети (и только
>на ней, даже если менять айпишники и порты на других тачках на
>айпи и порт
>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>
>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>
>Что посоветуют уважаемые Гуру?
>
>-----
>
>With Best Regards!

Ну что, никто не может помочь мне, в какую сторону хоть копать-то???

"Проблемы с DNAT"
Отправлено vozd , 17-Ноя-06 16:35

>Здравствуйте, Всем!
>
>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>
>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>портов на компьтеры в локальной сети для работы с directconnect`ом
>(конкретно StrongDC), делаю это следующим образом:
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>/
>DNAT --to-destination $comp1_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>/
>DNAT --to-destination $comp2_IP
>
>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>/
>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>
>FORWARD тоже разрешен.
>
>Проблема в том, что работает это все только на одной машине в
>сети (и только
>на ней, даже если менять айпишники и порты на других тачках на
>айпи и порт
>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>
>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>
>Что посоветуют уважаемые Гуру?
>
>-----
>
>With Best Regards!

Ну впустил ты их, а кто выпускать то будет? DNAT к тебе, а от тебя SNAT --sport 1100 и так же другие считаешь не нужно прописать?

"Проблемы с DNAT"
Отправлено perece , 17-Ноя-06 18:12

>>Здравствуйте, Всем!
>>
>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>>
>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>>портов на компьтеры в локальной сети для работы с directconnect`ом
>>(конкретно StrongDC), делаю это следующим образом:
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>>/
>>DNAT --to-destination $comp1_IP
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>>/
>>DNAT --to-destination $comp2_IP
>>
>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>>/
>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>>
>>FORWARD тоже разрешен.
>>
>>Проблема в том, что работает это все только на одной машине в
>>сети (и только
>>на ней, даже если менять айпишники и порты на других тачках на
>>айпи и порт
>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>>
>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>>
>>Что посоветуют уважаемые Гуру?
>>
>>-----
>>
>>With Best Regards!
>
>
>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе,
>а от тебя SNAT --sport 1100 и так же другие считаешь
>не нужно прописать?
ну что за чушь однако... во первых, а надо ли этому протоколу вообще встречные соединения устанавливать? или вы не в курсе, что для таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно /proc/net/ip_conntrack)?
во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle as little as possible". это значит, что если для "исходящих" прописан хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять же если src port важен протоколу) src port будет сохраняться у всех исходящих. а значит должны работать все.
кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований
\^P^/

"Проблемы с DNAT"
Отправлено Semjon , 13-Дек-06 01:48

>>>Здравствуйте, Всем!
>>>
>>>Есть сервак, eth0 смотрит в локалку, eth1 смотрит в интернет.
>>>
>>>Подскажите, в чем может быть проблема - настраиваию DNAT для переброски
>>>портов на компьтеры в локальной сети для работы с directconnect`ом
>>>(конкретно StrongDC), делаю это следующим образом:
>>>
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1100 -j
>>>/
>>>DNAT --to-destination $comp1_IP
>>>
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1200 -j
>>>/
>>>DNAT --to-destination $comp2_IP
>>>
>>>IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1300 -j
>>>/
>>>DNAT --to-destination $comp3_IP .. и так далее, всего 5 машин.
>>>
>>>FORWARD тоже разрешен.
>>>
>>>Проблема в том, что работает это все только на одной машине в
>>>сети (и только
>>>на ней, даже если менять айпишники и порты на других тачках на
>>>айпи и порт
>>>той, которая работает, все равно не пашет). В ip_conntrack пишет, что
>>>соединение установлено (ASSURED) и идет закрытие (TIME_WAIT).
>>>
>>>Может вопрос ламерский, но с Linux работаю недавно. Использую Slackware
>>>10.2, kernel-2.6.18 с пропатченным Patch-o-matic (Iptables соответственно тоже пропатчен).
>>>
>>>Что посоветуют уважаемые Гуру?
>>>
>>>-----
>>>
>>>With Best Regards!
>>
>>
>>Ну впустил ты их, а кто выпускать то будет? DNAT к тебе,
>>а от тебя SNAT --sport 1100 и так же другие считаешь
>>не нужно прописать?
>ну что за чушь однако... во первых, а надо ли этому протоколу
>вообще встречные соединения устанавливать? или вы не в курсе, что для
>таблицы nat только _первый_пакет_соединения_ проходит через соотв. цепочки, а остальные обрабатываются
>автоматически, в т.ч. и "встречные", при помощи таблицы соединений (посмотреть можно
>/proc/net/ip_conntrack)?
>во вторых, netfilter в 2.4 и 2.6 ядрах имеет основной парадигмой "mangle
>as little as possible". это значит, что если для "исходящих" прописан
>хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять
>же если src port важен протоколу) src port будет сохраняться у
>всех исходящих. а значит должны работать все.
>кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень
>сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований
>
>\^P^/
Может уважаемый Гуру подскажет как это можно исправить?
Есть ли другие способы для форвардинга соединений, кроме DNAT`а?

"Проблемы с DNAT"
Отправлено Bogus , 23-Янв-08 23:53

>[оверквотинг удален]
>>хотябы маскарадинг, то при разных _внешних_ портах для разных машин (опять
>>же если src port важен протоколу) src port будет сохраняться у
>>всех исходящих. а значит должны работать все.
>>кстати, картина "у перврго, кто попробовал, работает, а у остальных нет" очень
>>сильно смахивает как раз на артефакт этой парадигмы минимальности преобразований
>>
>>\^P^/
>
>Может уважаемый Гуру подскажет как это можно исправить?
>Есть ли другие способы для форвардинга соединений, кроме DNAT`а?
на сколько мне известно для StrongDC нужно еще и udp порты(основой протокол передачи данных)
Если получилось скиньте конфиг )))