Sziasztok!
Nem nagyon találtam rá megoldást, de lehet azt is, hogy rosszul kerestem :)
A feladat:
van egy debianos gép, 2 hálókártyával, átjárónak kinevezve.
eth1 a WAN láb, ide ktv-s vonal, DHCP-vel szépen okosan megy, van rajta egy dyndns domain is, hogy el lehessen kintről érni;
eth0 LAN láb, 192.168.1.0/24 tartománnyal.
A belső LAN-on van egy fejlesztői szerver, amin egy apacs szaladgál (php-val), és azt szeretném megoldani, hogy a LAN oldalról is a külső IPcímmel lehessen elérni a belső fejlesztői szervert.
Ami eddig bennevan iptables-be (a felesleges kiszedve):
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -m tcp -p tcp --dport 80 -j DNAT --to 192.168.1.99:80
iptables -t filter -A FORWARD -m state --state NEW -m tcp -p tcp -d 192.168.1.99 --dport 80 -j ACCEPT
Kintről elérhető a belső fejlesztői szerver, de bentről csak a belső IPcímmel hajlandó kapcsolódni.
Van valami ötlet, hogy merre keresgéljek?
Köszi mindenkinek
- 1201 megtekintés
Hozzászólások
A fejlesztői szervernek belső címe van és csak portot forwardolsz, vagy külső címe van és routeolsz?
Gyanítom az első eset áll fenn. Ez esetben felejtős a "visszaforward" koncepciód. Ha név alapú elérés is elég hogy azonos legyen, és nem kell IP alapú, akkor a belső DNS-be belső címmel vedd fel a szervered, a külsőben meg a külsővel van. Így ha belülről mész, a belső cím lesz feloldva.
- A hozzászóláshoz be kell jelentkezni
Magyarul a forward szabály rendben, kivülről elérhető
Bentre meg mondjam azt neki, hogy a kutykurutty.dyndns.org az a 192.168.1.n ?
- A hozzászóláshoz be kell jelentkezni
iptables -t nat -A PREROUTING -i eth1 -m tcp -p tcp --dport 80 -j DNAT --to 192.168.1.99:80
ezzel csak a netrol jovo 80-as port forgalmat dobod tovabb. mivel a lan az eth0-rol jon nemfog csinalni azzal semmit. tipp: vedd ki a -i eth1-et:
iptables -t nat -A PREROUTING -p tcp -d kulsoipd --dport 80 -j DNAT --to 192.168.1.99:80
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
En igy oldottam meg: http://bud-it.blogspot.com/2009/06/accessing-services-behind-nat-on-pub…
- A hozzászóláshoz be kell jelentkezni
Kintről elérhető a belső fejlesztői szerver, de bentről csak a belső IPcímmel hajlandó kapcsolódni.
Van valami ötlet, hogy merre keresgéljek?
a) megoldás: elfelejted
b) megoldás: másik subnetre rakod bent a szervert, mint a klienseket, azaz megoldod, hogy a NAT-oló gateway-en menjen oda-vissaz a forgalom (ugyanabból az IP subnetből, mint ahol bent üzemel a szerver, sosem fogod tudni elérni a kinti címével)
c) megoldás: (ez nálad nem fog menni, mert nincs a szervernek dedikált fix kinti IP címe) a gépnek saját, fix kinti IP címet szerzel, és ezt a címet a gép dummy0 interfészére veszed fel, a gateway-nek ez az IP cím nem lesz címe, viszont proxy ARP-vel válaszol a kintről jövő kérésekre, majd a tűzfalon NAT nélkül továbbengedi
- A hozzászóláshoz be kell jelentkezni