![]() |
Radmin из интернета через Red Hat Linux (роутер) в локальную сеть
Добрый День!
вот столкнулся с такой задачей, help плиз: есть локальная сеть 192.168.1.1-255, в ней машины Windows 2000 Pro и Windows XP Pro с установленными Remote Administrator v.2.2 сеть одноранговая, так как машин с десяток будет только. Установлен Windows 2003 Server SP1 с Radmin в качестве файл-сервера для внутренних машин (его IP 192.168.1.5) в качестве роутера установлен пень-1 с Red Hat Linux (соотв. с двумя сетевухами): eth0 - смотрит в локалку как 192.168.1.1 eth1 - смотрит в инет как 222.222.222.222 (для примера такой адрес) подскажите пожалуйста как сделать зайти по Radmin из дома(с работы, с друзей ...т.е. с адреса не постоянного) на 192.168.1.5 т.е. я посылаю запрос на машину 222.222.222.222:4899 и она пробрасывает его на конкретный адрес - 192.168.1.5:4899. имея такое соединение я уже смогу достучаться и до других в локалке. Спасибо! ЗЫ ответ на комаду "iptables -L" [root@localhost root]# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.1.0/24 anywhere drop-and-log-it all -- 192.168.1.0/24 anywhere ACCEPT icmp -- anywhere 222.222.222.222 ACCEPT tcp -- anywhere 222.222.222.222tcp dpt:ssh ACCEPT all -- anywhere 222.222.222.222state RELATED,ESTABLISHED drop-and-log-it all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere drop-and-log-it all -- anywhere anywhere Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- 222.222.222.222 192.168.1.0/24 ACCEPT all -- 192.168.1.0/24 192.168.1.0/24 drop-and-log-it all -- anywhere 192.168.1.0/24 ACCEPT all -- 222.222.222.222 anywhere ACCEPT tcp -- 192.168.1.0/24 255.255.255.255 tcp spt:bootps dpt:bootpc ACCEPT udp -- 192.168.1.0/24 255.255.255.255 udp spt:bootps dpt:bootpc drop-and-log-it all -- anywhere anywhere Chain drop-and-log-it (5 references) target prot opt source destination DROP all -- anywhere anywhere |
Darza
А почему бы не поднять vpn сервер на роутере и уже напрямую цепляться к каждой машине в сети. |
Добрый День!
must die да машина очень слабая ;) pentium-I 166MHz, 64MBRAM, HDD 1Gb - настроена только как шлюз в интернет, ни DNS ни DHCP на ней не установлено, просто перенаправляет запросы в инте, да и стенкой из вне служит для сети локальной. вот прошу команду которую нужно ввести и она добавиться к существующим правилам iptables спасибо |
Вот перевод документации по IPtables, прочитайте раз Вы администрируете этот сервер.
http://gazette.linux.ru.net/rus/arti...-tutorial.html |
Я делал вот так:
root@TOWER:/home/n# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere 222.222.222.222 tcp dpt:garcon to:10.167.1.200:4899 Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT tcp -- 10.167.1.200 anywhere to:222.222.222.222:999 SNAT all -- localnet/24 anywhere to:222.222.222.222 Chain OUTPUT (policy ACCEPT) target prot opt source destination Конекчусь на 222.222.222.222:999 и попадаю на 10.167.1.200:4899. Если необходимо попасть на 10.167.1.ХХХ, то конекчусь на 10.167.1.ХХХ:4899 через 222.222.222.222:999 (это в настройках Radmin сессии или как там она называется) |
Nigon а что значит у тебя "garcon" ? - понял это ты так номер порта прописал, имя дал ему.
разобрался, вот что я сделал: iptables -t nat -A PREROUTING --dst 222.222.222.222 -p tcp --dport 11899 -j DNAT --to-destination 192.168.1.5:4899 и iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.5 --dport 4899 -j SNAT --to-source 192.168.1.1 iptables -t nat -L мой новый: [root@localhost root]# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere 222.222.222.222tcp dpt:11899 to:192.168.1.5:4899 Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- anywhere anywhere to:222.222.222.222 SNAT tcp -- anywhere 192.168.1.5 tcp dpt:4899 to:192.168.1.1 Chain OUTPUT (policy ACCEPT) target prot opt source destination и чего -то не пошло :( |
Darza
это 999 порт... зыбыл -n сделать.... вот так вот будет яснее: root@TOWER:/home/n# iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0 222.222.222.222 tcp dpt:999 to:10.167.1.200:4899 Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT tcp -- 10.167.1.200 0.0.0.0/0 to:222.222.222.222:999 SNAT all -- 10.167.1.0/24 0.0.0.0/0 to:222.222.222.222 Chain OUTPUT (policy ACCEPT) target prot opt source destination |
вот что у меня сейчас выдает по команде iptables -t nat -L -n:
[root@localhost root]# iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0 222.222.222.222 tcp dpt:11899 to:192.168.1.5:4899 Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- 0.0.0.0/0 0.0.0.0/0 to:222.222.222.222 SNAT tcp -- 0.0.0.0/0 192.168.1.5 tcp dpt:4899 to:192.168.1.1 Chain OUTPUT (policy ACCEPT) target prot opt source destination что-то в SNAT я перепутал - из-за этого может не коннектиться или эта запись влияет тока на соединение по Радмину изнутри внутрь локалки? |
Вот мои правила на НАТ и мутку с радмином:
-A PREROUTING -d 222.222.222.222 -p tcp --dport 999 -j DNAT --to-destination 10.167.1.200:4899 -A POSTROUTING -s 10.167.1.200 -o eth1 -p tcp -j SNAT --to-source 222.222.222.222:999 -A POSTROUTING -s 10.167.1.0/24 --out-interface eth1 -j SNAT --to-source 222.222.222.222 |
Добрый день!
сорри, уезжал. приехал снова решил взяться - удалил старые правила и обновил на новые вот команды которые ввожу: iptables -t nat -A PREROUTING --dst 222.222.222.222 -p tcp --dport 4899 -j DNAT --to-destination 192.168.1.5:4899 iptables -t nat -A POSTROUTING -s 192.168.1.5 -o eth1 -p tcp -j SNAT --to-source 222.222.222.222:4899 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 --out-interface eth1 -j SNAT --to-source 222.222.222.222 после перегружаю Linux машину проверяю ответ на команду iptables -t nat -L -n: [root@srv]# iptables -t nat -L -nвроде всё правлильно сделал в итоге - пытаюсь подключиться к внешнему адресу 222.222.222.222:4899 (который по идее должен перебросить меня на внутренний 192.168.1.5:4899) Radmin задумывается и дает отбой: Connecting to 222.222.222.222 Cannot connect to the server какие есть мысли? где и как мне еще проверить? Благодарствую. |
Darza, вот Вы написали 3 строчки, которые добавляют 2 правила в POSTROUTING и 1 в PREROUTING.
В ответе же на команду iptables -t nat -L -n я вижу только одно из этих правил. Т.е. после перезагрузки они у вас не восстанавливаются. Вообще, чтобы проверить работу правил перезагрузка компьютера не требуется. З.Ы. 2-строчку я бы убрал, она дублируется 3-й. Да, и еще: помимо этих правил у вас так же должны быть правила в FORWARD, разрешающие проброс пакетов. |
Цитата:
пришлось их заново написать. тут след. вопрос - а как сделать так чтобы мои нововведенные правила сохранялись? так вот после тока как я их снова ввел(теперь уже не перегружаясь ;) ) - результат тот же отрицательный, т.е. не пускает меня с интернета на внутреннюю машину. привожу часть(для FORWARD) результата команды iptables -L -n: Chain FORWARD (policy DROP)тут всё нормально? я так понимаю он всё что пришло пробрасывает вот в другом ввиде этаже часть iptables -L -n --line-numbers -v: Chain FORWARD (policy DROP 0 packets, 0 bytes)думаю что развязка где-то близка ;) помогите плиз |
Чтобы правила сохранились нужно выполнить
Код:
#/etc/init.d/iptables save |
У RH и FC правила iptables хранятся в файле - /etc/sysconfig/iptables
При добавлении правил Вы должны учитывать что правила хранятся в нем в виде: -t nat -A PREROUTING --dst 222.222.222.222 -p tcp --dport 4899 -j DNAT --to-destination 192.168.1.5:4899 без указания комманды iptables и при перезагрузке итд загружаются именно из него. Если вам необходимо указывать именно в виде iptables -t nat -A PREROUTING --dst 222.222.222.222 -p tcp --dport 4899 -j DNAT --to-destination 192.168.1.5:4899 используйте rc.local или свой rc скрипт или руками с консоли как Вам видется продуктивнее :) . В качестве примера скриптов выполните поиск по форуму - этот момент уже обсуждался, и возможно именно в этом проблема. Для проверки внесенных изменений в правила iptables используйте /etc/rc.d/init.d/iptables restart или /sbin/services iptables restart, а не перезагрузку... :) |
Время: 00:07. |
Время: 00:07.
© OSzone.net 2001-