tunel pomocí iptables

Zdravím, mám linuxový router (iptables, maškaráda) s verejnou IP a za ním ve vnitřní síti WWW server s adresou vnitrni_IP. Chtěl bych aby WWW server byl dostupný z venku. Myslel jsem, že budu převádět verejnou_IP:2222 na vnitrni_IP:80. Zkusil jsem toto:

iptables -t nat -A PREROUTING -p tcp --dport 2222 -d vnejsi_IP -j DNAT --to-destination vnitrni_IP:80
iptables -A INPUT -i inet_karta -p tcp --dport 2222 -j ACCEPT

ale to mi nefunguje. Může mi někdo poradit, co dělám špatně?

Odpovědi

9.1.2010 18:28 vlasta | skóre: 10 | Brno
Rozbalit Rozbalit vše Re: tunel pomocí iptables

problem je v tom druhem pravidle, ty pri preroutingu reknes, ze se to nema smerovat na lokal, ale ze to pujde jinam, a pak povolis port na retezci INPUT a nikoli na FOWRARD.

Nekde na strankach netfilteru je krasne schema workflow zpracovani pakutu netfilterem, zkus najit, mrknout a bude ti jasny, proc tomu tak je.

9.1.2010 18:36 petka | skóre: 25 | blog: heydax | Klasterec N/O
Rozbalit Rozbalit vše Re: tunel pomocí iptables

Takhle to resim ja

WAN sitovka
WAN_IP verejna ip adresa
wan_port cislo portu kam chceme sluzbu smerovat "vrejna adresa"
lan_ip ip adresa pocitace na lokalce
lan_port port na kterem bezi sluzba v lokalni siti 


$IPTABLES -A INPUT -i $WAN -p TCP -s 0/0 -d $WAN_IP --dport $wan_port -j ACCEPT;
$IPTABLES -t nat -A PREROUTING -i $WAN -p TCP --dport $wan_port -j DNAT --to $lan_ip:$lan_port;
$IPTABLES -A FORWARD -p TCP -i $WAN -d $lan_ip --dport $lan_port -j ACCEPT;

Ubuntu server - Asus E35M1-M - AMD Hudson M1 , 2x Technisat Skystar2 , 2x 1GB Lan , WiFi mod AP ,vdr,mysql,apache2...

Tak jsem to rozchodil. Možná to není úplně správně, ale chodí to.

iptables -t nat -A PREROUTING -p tcp --dport 2222 -d vnejsi_IP -j DNAT --to-destination vnitrni_IP:80
iptables -A FORWARD -i inet_karta -o vnitrni_karta -p tcp -d vnitrni_IP --dport 2222 -j ACCEPT
iptables -A FORWARD -i inet_karta -o vnitrni_karta -p tcp -d vnitrni_IP --dport 80 -j ACCEPT

Dotaz: tunel pomocí iptables

Odpovědi