есть шлюз на шлюзе 8 сетевых адаптеров из которых задействовано 4
eth0 - один внешний айпишник 1.1.1.1
eth1 - второй внешний айпиншик от того же провайдера но из другой подсети 2.2.2.2
eth4 - внутренняя сеть 192.168.0.1
eth5 - внутренняя сеть 192.168.1.1
Инет раздается следующим образом
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
И вроди даже все работает но
на шлюзе стоит апач на котором крутится веб интерфейс на этот веб интерфейс снаружи я могу попасть как по http://1.1.1.1 так и по http://2.2.2.2 изнутри по http://192.168.0.1 и http://192.168.1.1 и по http://1.1.1.1 но по http://2.2.2.2 не пускает - Время ожидания ответа от сервера 2.2.2.2 истекло. Почему так? чего нехватает? Есть подозрения что это связано с маскарадингом. Буду благодарен если кто сталкивался.
>[оверквотинг удален]
> eth5 - внутренняя сеть 192.168.1.1
> Инет раздается следующим образом
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> И вроди даже все работает но
> на шлюзе стоит апач на котором крутится веб интерфейс на этот веб
> интерфейс снаружи я могу попасть как по http://1.1.1.1 так и по
> http://2.2.2.2 изнутри по http://192.168.0.1 и http://192.168.1.1 и по http://1.1.1.1
> но по http://2.2.2.2 не пускает - Время ожидания ответа от сервера
> 2.2.2.2 истекло. Почему так? чего нехватает? Есть подозрения что это связано
> с маскарадингом. Буду благодарен если кто сталкивался.вы серьезно полагаете что ответы в локалку идут через eth1?
tcpdump на этом интерфейсе смотрели?
может iptables-save покажите?
>[оверквотинг удален]
>> И вроди даже все работает но
>> на шлюзе стоит апач на котором крутится веб интерфейс на этот веб
>> интерфейс снаружи я могу попасть как по http://1.1.1.1 так и по
>> http://2.2.2.2 изнутри по http://192.168.0.1 и http://192.168.1.1 и по http://1.1.1.1
>> но по http://2.2.2.2 не пускает - Время ожидания ответа от сервера
>> 2.2.2.2 истекло. Почему так? чего нехватает? Есть подозрения что это связано
>> с маскарадингом. Буду благодарен если кто сталкивался.
> вы серьезно полагаете что ответы в локалку идут через eth1?
> tcpdump на этом интерфейсе смотрели?
> может iptables-save покажите?Покажем
/root$ cat /etc/iptables.up.rules
# Generated by iptables-save v1.3.5 on Wed Aug 17 00:13:54 2011
*mangle
:PREROUTING ACCEPT [448782291:294068638284]
:INPUT ACCEPT [27751857:4157749799]
:FORWARD ACCEPT [420785869:289888755187]
:OUTPUT ACCEPT [49849918:12531612006]
:POSTROUTING ACCEPT [470635661:302420353882]
COMMIT
# Completed on Wed Aug 17 00:13:54 2011
# Generated by iptables-save v1.3.5 on Wed Aug 17 00:13:54 2011
*filter
:INPUT ACCEPT [27751863:4157750063]
:FORWARD ACCEPT [420785869:289888755187]
:OUTPUT ACCEPT [49853454:12531944901]
COMMIT
# Completed on Wed Aug 17 00:13:54 2011
# Generated by iptables-save v1.3.5 on Wed Aug 17 00:13:54 2011
*nat
:PREROUTING ACCEPT [13942707:1032726655]
:POSTROUTING ACCEPT [8718049:392315288]
:OUTPUT ACCEPT [291200:17955240]
-A PREROUTING -s 212.109.50.226 -d 91.197.49.170 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
-A PREROUTING -s 95.133.47.76 -d 91.197.49.170 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.6:3389
-A PREROUTING -s 80.91.187.254 -d 91.197.48.90 -p tcp -m tcp --dport 232 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 80.91.187.254 -d 91.197.48.90 -p tcp -m tcp --dport 233 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 207.232.22.13 -d 91.197.48.90 -p tcp -m tcp --dport 232 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 207.232.22.13 -d 91.197.48.90 -p tcp -m tcp --dport 233 -j DNAT --to-destination 192.168.0.10:232
-A PREROUTING -s 81.23.20.2 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.22.244 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.65 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.66 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.67 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.68 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.69 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -s 81.23.24.70 -d 91.197.48.90 -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.0.10:6600
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.0.11:5000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.0.11:5001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5200 -j DNAT --to-destination 192.168.0.11:5200
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6000 -j DNAT --to-destination 192.168.0.11:6000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6001 -j DNAT --to-destination 192.168.0.11:6001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 3388 -j DNAT --to-destination 192.168.0.11:3389
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.11:80
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.0.11:81
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7000 -j DNAT --to-destination 192.168.0.14:5000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7001 -j DNAT --to-destination 192.168.0.14:5001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7080 -j DNAT --to-destination 192.168.0.14:80
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 7081 -j DNAT --to-destination 192.168.0.14:81
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 192.168.0.14:6000
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 9001 -j DNAT --to-destination 192.168.0.14:6001
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 1010 -j DNAT --to-destination 192.168.1.238:1010
-A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT --to-destination 192.168.1.81:80
-A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT --to-destination 91.197.49.171:3389
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Aug 17 00:13:54 2011В нулевую сеть я так понимаю пакеты идут с eth4 а в первую с eth5 , да и с чего вы это взяли?)
tcpdumр не делал
>[оверквотинг удален]
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 5200 -j DNAT
> --to-destination 192.168.0.11:5200
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6000 -j DNAT
> --to-destination 192.168.0.11:6000
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 6001 -j DNAT
> --to-destination 192.168.0.11:6001
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 3388 -j DNAT
> --to-destination 192.168.0.11:3389
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 80 -j DNAT
> --to-destination 192.168.0.11:802.2.2.2 - это наверно 91.197.48.90, а проверяете из 192.168.0.0 подсети
>[оверквотинг удален]
> --to-destination 192.168.1.238:1010
> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT
> --to-destination 192.168.1.81:80
> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
> --to-destination 91.197.49.171:3389
> -A POSTROUTING -o eth1 -j MASQUERADE
> COMMIT
> # Completed on Wed Aug 17 00:13:54 2011
> В нулевую сеть я так понимаю пакеты идут с eth4 а в
> первую с eth5 , да и с чего вы это взяли?)
>[оверквотинг удален]
>> --to-destination 192.168.1.238:1010
>> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT
>> --to-destination 192.168.1.81:80
>> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
>> --to-destination 91.197.49.171:3389
>> -A POSTROUTING -o eth1 -j MASQUERADE
>> COMMIT
>> # Completed on Wed Aug 17 00:13:54 2011
>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>> первую с eth5 , да и с чего вы это взяли?)так и делаю, ибо из первой все работает
>[оверквотинг удален]
>>> -A PREROUTING -d 91.197.48.90 -p tcp -m tcp --dport 8808 -j DNAT
>>> --to-destination 192.168.1.81:80
>>> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
>>> --to-destination 91.197.49.171:3389
>>> -A POSTROUTING -o eth1 -j MASQUERADE
>>> COMMIT
>>> # Completed on Wed Aug 17 00:13:54 2011
>>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>>> первую с eth5 , да и с чего вы это взяли?)
> так и делаю, ибо из первой все работаеттогда в этот раз читаете внимательней то что под табличкой
http://www.opennet.me/docs/RUS/iptables/#DNATTARGET
>[оверквотинг удален]
>>>> -A PREROUTING -d 192.168.1.1 -p tcp -m tcp --dport 8933 -j DNAT
>>>> --to-destination 91.197.49.171:3389
>>>> -A POSTROUTING -o eth1 -j MASQUERADE
>>>> COMMIT
>>>> # Completed on Wed Aug 17 00:13:54 2011
>>>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>>>> первую с eth5 , да и с чего вы это взяли?)
>> так и делаю, ибо из первой все работает
> тогда в этот раз читаете внимательней то что под табличкой
> http://www.opennet.me/docs/RUS/iptables/#DNATTARGETПойду почитаю
>[оверквотинг удален]
>>>>> --to-destination 91.197.49.171:3389
>>>>> -A POSTROUTING -o eth1 -j MASQUERADE
>>>>> COMMIT
>>>>> # Completed on Wed Aug 17 00:13:54 2011
>>>>> В нулевую сеть я так понимаю пакеты идут с eth4 а в
>>>>> первую с eth5 , да и с чего вы это взяли?)
>>> так и делаю, ибо из первой все работает
>> тогда в этот раз читаете внимательней то что под табличкой
>> http://www.opennet.me/docs/RUS/iptables/#DNATTARGET
> Пойду почитаюСпасибо помогло.