Карта сайта

Это автоматически сохраненная страница от 04.02.2015. Оригинал был здесь: http://2ch.hk/b/res/85514401.html
Сайт a2ch.ru не связан с авторами и содержимым страницы
жалоба / abuse: admin@a2ch.ru

Срд 04 Фев 2015 14:50:35
Проблема с Centos нет путей, не получается сделать элементарную переадрессацию.
Есть спец прога, которая выкладывает свои обновления и к ней по порту 2221, остальные ПК к ней цеплялись на ip как локалка так и внешка. Раньше на одном серваке был и АД и Хостинг и еще гора всякого. Было решено выделить новый сервер под хостинг отдать ip под хостинг. Про программу забыли и теперь у меня трабла настроить проброс порта на линуксе через iptables.

Схема соответсвует правому изображению оба айпишника белые. Нужно сделать чтобы при запросе на 1.2.3.4:2221 перенаправлялся на 1.2.3.5:2221.

Перед тем как гугл меня официально забанил
-A PREROUTING -p tcp -d 1.2.3.4/32 --dport 2221 -j DNAT --to-destination 1.2.3.5:2221
-A FORWARD -d 1.2.3.5/32 -p tcp -m tcp --dport 2221 -j ACCEPT

И везде пишут, что всё работает.
У меня, на практике, сентос не переадрессовывает никуда. Очень нид хелпе.



Срд 04 Фев 2015 14:52:20
Generated by iptables-save v1.4.7 on Wed Feb 4 13:06:28 2015
nat
:PREROUTING ACCEPT [445:35874]
:POSTROUTING ACCEPT [201:12052]
:OUTPUT ACCEPT [201:12052]
-A PREROUTING -d 1.2.3.4/32 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 1.2.3.5:2221
iptables


COMMIT
# Completed on Wed Feb 4 13:06:28 2015
# Generated by iptables-save v1.4.7 on Wed Feb 4 13:06:28 2015
filter
:INPUT DROP [70:5549]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1859:1537954]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:vesta - [0:0]
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,995 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 143,993 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 1.2.3.5/32 -j ACCEPT
-A INPUT -s 192.168.0.5/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -s 188.234.250.167/32 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
COMMIT

Срд 04 Фев 2015 14:53:28

eth0 Link encap:Ethernet HWaddr 00:15:17:53:DB:90
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::215:17ff:fe53:db90/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:405335 errors:0 dropped:0 overruns:0 frame:0
TX packets:168104 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:40001441 (38.1 MiB) TX bytes:44595393 (42.5 MiB)
Interrupt:18 Memory:78820000-78840000

eth1 Link encap:Ethernet HWaddr 00:15:17:53:DB:91
inet addr:1.2.3.4 Bcast:1.2.3.255 Mask:255.255.255.0
inet6 addr: fe80::215:17ff:fe53:db91/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3022790 errors:0 dropped:0 overruns:0 frame:0
TX packets:4474972 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:464511566 (442.9 MiB) TX bytes:5637706969 (5.2 GiB)
Interrupt:19 Memory:78800000-78820000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:7155004 errors:0 dropped:0 overruns:0 frame:0
TX packets:7155004 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:10714272576 (9.9 GiB) TX bytes:10714272576 (9.9 GiB)

Срд 04 Фев 2015 14:55:17
Я хз)

Срд 04 Фев 2015 14:55:25
бумп

Срд 04 Фев 2015 14:56:38
бамп


Срд 04 Фев 2015 14:57:35



Срд 04 Фев 2015 14:58:51
2


Срд 04 Фев 2015 14:59:39
3


Срд 04 Фев 2015 15:00:46
4


Срд 04 Фев 2015 15:01:30
5


Срд 04 Фев 2015 15:02:06



Срд 04 Фев 2015 15:02:36



Срд 04 Фев 2015 15:03:08
,Бамп

Срд 04 Фев 2015 15:03:52
бумп


Срд 04 Фев 2015 15:04:30
Помогите блджат


Срд 04 Фев 2015 15:05:15
Антоны


Срд 04 Фев 2015 15:06:29



Срд 04 Фев 2015 15:06:59
Да блядь кто-нибудь, я же знаю что тут есть линуксойды

Срд 04 Фев 2015 15:07:40
бамп11

Срд 04 Фев 2015 15:08:22
бамп надежды

Срд 04 Фев 2015 15:08:43
123

Срд 04 Фев 2015 15:09:58
[email: sage]

>>85515151
>линуксойды
Иди на хуй, червь-пидор.

Срд 04 Фев 2015 15:11:23
>>85514401
> Нужно сделать чтобы при запросе на 1.2.3.4:2221 перенаправлялся на 1.2.3.5:2221.


> -A PREROUTING -p tcp -d 1.2.3.4/32 --dport 2221 -j DNAT --to-destination 1.2.3.5:2221
-A FORWARD -d 1.2.3.5/32 -p tcp -m tcp --dport 2221 -j ACCEPT

Всё вроде как должно работать. Может где-то по пути режется?

Срд 04 Фев 2015 15:12:03
Как раз работаю над похожими переадресациями
Попробуй вот так, например

# iptables -A PREROUTING -p tcp -m tcp --dport 2221 -j MARK --set-mark 0x2
# ip route add default via 1.2.3.5 dev eth0 table 102
# ip rule add fwmark 0x2/0x2 lookup 102

Срд 04 Фев 2015 15:13:29
>>85515410
так сейчас попробую, фейкоасечку или мыльце оставишь?

Срд 04 Фев 2015 15:14:02
[email: sage]

>>85515312
Ах да, ты net.inet.ip.forwarding включил, мудило?

Срд 04 Фев 2015 15:14:56
>>85515508
если речь про это

/etc/sysctl.conf:
net.ipv4.ip_forward = 1

Срд 04 Фев 2015 15:15:15
>>85515473
пиши здесь, отвечу

Суть в том, что пакетики с портом 2221 помечаютс 0х2 а потом шлются на 1.2.3.5

Срд 04 Фев 2015 15:15:24
Я нихуя не понял, что было и что ты хочешь.
Добавь в конец всех цепочек действие -j LOG и наблюдай в логах все дропнутые пакеты.

Срд 04 Фев 2015 15:15:38
>>85515572
спс пробую

Срд 04 Фев 2015 15:17:42
[email: sage]

В гугле всё есть: iptables port forwarding

Срд 04 Фев 2015 15:17:47
>>85515572
iptables -A PREROUTING -p tcp -m tcp --dport 2221 -j MARK --set-mark 0x2
iptables: No chain/target/match by that name.


Срд 04 Фев 2015 15:19:49
>>85515687
по гуглу делал, не понимаю почему не работает.

Срд 04 Фев 2015 15:21:40
бамп

Срд 04 Фев 2015 15:22:52
>>85515811
Как проверял, что не работает? В логах смотрел, что дропает пакеты или что? Если по работе твоей программы, то может там не только 2221 порт нужен.

Срд 04 Фев 2015 15:24:45
>>85515991
Сейчас пока не понимаю как логгирование включить, программа не обновляется. Если просто прописать 1.2.3.5:2221 все обновляется, но как решение не подходит, везде разом переписать не получится.

Срд 04 Фев 2015 15:26:52
>>85515694
>>85515694
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 2221 -j MARK --set-mark 0x2

Срд 04 Фев 2015 15:28:57
Ну какого это ощущать, что ты ущербная прыщеблядь?

Срд 04 Фев 2015 15:30:49
[email: sage]

>>85516110
Попробуй сделать маскарадинг:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
eth0 - интерфейс с адресом 1.2.3.4
Или сделай PREROUTING на локальный адрес 192.168.0.2 вместо 1.2.3.5.

Срд 04 Фев 2015 15:31:59
>>85516110
>>85516110
>>85515991
проще сниффернуть
tcpdump -i any port 2221 -w /tmp/cap.cap
а потом в вайршарке открыть(оп, не пугайся, там все понятно и просто)
а дял проверки tcpdump -i any -w /tmp/cap.cap
посмотреть нет ли по другим портам инфы

Срд 04 Фев 2015 15:32:43
>>85516237

ip route add default via 1.2.3.5 dev eth0 table 102

RTNETLINK answers: No such process


Срд 04 Фев 2015 15:35:11
>>85516453
попробовал и так и так, нет результата.

>>85516512
Сейчас попробую

Срд 04 Фев 2015 15:36:34
>>85516565
попробуй ip route add via 1.2.3.5 dev eth0 table 102

Срд 04 Фев 2015 15:37:08
>>85515552
Рестартовался после?

Срд 04 Фев 2015 15:37:15
>>85516811
обшибся ip route add 1.2.3.5 dev eth0 table 102

Срд 04 Фев 2015 15:37:51
>>85516860
каждый раз

Срд 04 Фев 2015 15:40:57
Добавь:
iptables -I FORWARD 1 -j LOG --log-prefix "FORWARD:" --log-level 7
iptables -t nat -I PREROUTING 1 -j LOG --log-prefix "PREROUTING:" --log-level 7
И смотри логи в момент подключения.

Срд 04 Фев 2015 15:46:32
>>85517155 путь к нему
/var/log/iptables.log ?

Срд 04 Фев 2015 15:48:22
Если как-то поможет программа Nod32 с обновлениями.

Срд 04 Фев 2015 15:51:03
>>85517578
В syslog.

Срд 04 Фев 2015 15:58:56
>>85517932
на centos есть /etc/rsyslog.conf
который пуст

Срд 04 Фев 2015 16:07:57
>>85518552
http://www.tokiwinter.com/adding-logging-to-iptables-under-centos/

Срд 04 Фев 2015 16:41:02
Всё попробовал результата нет


← К списку тредов