Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Рутер...
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Russian
View previous topic :: View next topic  
Author Message
Ernazar
n00b
n00b


Joined: 02 Feb 2007
Posts: 15

PostPosted: Fri Mar 02, 2007 11:29 am    Post subject: Рутер... Reply with quote

Здравствуйте ВСЕМ!
Мне нужно было сделать рутер, на нем стоит gentoo... т.е. хочу чтобы он переправлял с фиксированного ip и порта на фиксированный ip, другими словами: если к нему на порт 8080 идет запрос, то он должен перенаправить пакет на другой ip, который слушает этот порт... Схема: 192.168.0.3 дает запрос на 192.168.0.2 на порт 8080, 192.168.0.2 по предписанным правилам перенаправляет пакеты на 192.168.0.1 на порт 8080 и 192.168.0.1 обработав пакеты отвечает на 192.168.0.2 который опять же перенаправляет пакеты на 192.168.0.3
Я делал все это через iptables, но не работает :(

Code:
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.3 -d 192.168.0.2 --dport 8080 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -s 192.168.0.3 -j SNAT --to-source 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 -o eth0 -d 192.168.0.3 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.1 --sport 8080 -d 192.168.0.2 -j DNAT --to-destination 192.168.0.3
iptables -t nat -A POSTROUTING -s 192.168.0.1 -j SNAT --to-source 192.168.0.2
iptables -A FORWARD -p tcp -i eth0 -o eth0 -d 192.168.0.1 -j ACCEPT

получается что этот 192.168.0.2 никуда не перенаправляет пакеты... :(
Плз помогите с этими правилами...
Заранее Спасибо!
Back to top
View user's profile Send private message
but4er
n00b
n00b


Joined: 22 Sep 2006
Posts: 18

PostPosted: Fri Mar 02, 2007 12:38 pm    Post subject: Reply with quote

пакеты не будут попадать на роутер, потому как 192,168,0,1 192,168,0,2 192,168,0,3 connected сетки
Back to top
View user's profile Send private message
Ernazar
n00b
n00b


Joined: 02 Feb 2007
Posts: 15

PostPosted: Fri Mar 02, 2007 12:59 pm    Post subject: Reply with quote

but4er wrote:
пакеты не будут попадать на роутер, потому как 192,168,0,1 192,168,0,2 192,168,0,3 connected сетки

я что-то не очень понял что Вы имели ввиду... :(
Back to top
View user's profile Send private message
but4er
n00b
n00b


Joined: 22 Sep 2006
Posts: 18

PostPosted: Fri Mar 02, 2007 2:16 pm    Post subject: Reply with quote

ну айпишники у тебя находятся в одной подсети (connected).
соответственно с все пакеты с 192.168.0.1 будут идти не на 192.168.0.2, а сразу а 192.168.0.3.

попробуй с 192.168.0.1: mtr 192.168.0.3
Back to top
View user's profile Send private message
Ernazar
n00b
n00b


Joined: 02 Feb 2007
Posts: 15

PostPosted: Fri Mar 02, 2007 2:42 pm    Post subject: Reply with quote

but4er wrote:
ну айпишники у тебя находятся в одной подсети (connected).
соответственно с все пакеты с 192.168.0.1 будут идти не на 192.168.0.2, а сразу а 192.168.0.3.

попробуй с 192.168.0.1: mtr 192.168.0.3

Это как на 192.168.0.3? Я просто делал дамп (tcpdump host 192.168.0.1 и tcpdump host 192.168.0.3 тоже делал)... Когда с браузера на 192.168.0.3 давал запрос на 192.168.0.2:8080 то пакеты на 192.168.0.1 вообще не шли... т.е. рутинг не работал...
И еще по моему разницы же не должно быть находятся ли компы в одной локалке или нет... или я ошибаюсь? и что насчет mtr? это как?
Back to top
View user's profile Send private message
but4er
n00b
n00b


Joined: 22 Sep 2006
Posts: 18

PostPosted: Fri Mar 02, 2007 3:25 pm    Post subject: Reply with quote

Ernazar wrote:
Это как на 192.168.0.3? Я просто делал дамп (tcpdump host 192.168.0.1 и tcpdump host 192.168.0.3 тоже делал)... Когда с браузера на 192.168.0.3 давал запрос на 192.168.0.2:8080 то пакеты на 192.168.0.1 вообще не шли... т.е. рутинг не работал...
И еще по моему разницы же не должно быть находятся ли компы в одной локалке или нет... или я ошибаюсь? и что насчет mtr? это как?

да, че то я просмотрел что ты на прямую не обращаешься к 192.168.0.1.

у меня получилось так:
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 192.168.0.3 -d 192.168.0.2 --dport 8080 -j DNAT --to-destination 192.168.0.1:8080

ПС: во всех цепочках политика ACCEPT
Back to top
View user's profile Send private message
Ernazar
n00b
n00b


Joined: 02 Feb 2007
Posts: 15

PostPosted: Sat Mar 03, 2007 9:13 am    Post subject: Reply with quote

but4er wrote:
да, че то я просмотрел что ты на прямую не обращаешься к 192.168.0.1.

у меня получилось так:
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 192.168.0.3 -d 192.168.0.2 --dport 8080 -j DNAT --to-destination 192.168.0.1:8080

ПС: во всех цепочках политика ACCEPT

у меня на 192.168.0.2 есть внешний ip, вот мне надо чтобы запрос на порт 8080 с интернета перенаправлялся на 192.168.0.1... я просто хотел протестировать на локалке, пройдут ли пакеты... Как получается они не проходят... :(
Ну я попробовал поставить так же как и Вы:
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 192.168.0.3 -d 192.168.0.2 --dport 8080 -j DNAT --to-destination 192.168.0.1:8080
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 192.168.0.1 -d 192.168.0.2 --sport 8080 -j DNAT --to-destination 192.168.0.3
и все политики поставил ACCEPT... но все равно не перенаправляются :( tcpdump не поймал ни одного пакета перенаправленного на 192.168.0.1 :(
Back to top
View user's profile Send private message
but4er
n00b
n00b


Joined: 22 Sep 2006
Posts: 18

PostPosted: Mon Mar 05, 2007 7:55 am    Post subject: Reply with quote

Ernazar wrote:
у меня на 192.168.0.2 есть внешний ip, вот мне надо чтобы запрос на порт 8080 с интернета перенаправлялся на 192.168.0.1... я просто хотел протестировать на локалке, пройдут ли пакеты... Как получается они не проходят... :(
Ну я попробовал поставить так же как и Вы:
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 192.168.0.3 -d 192.168.0.2 --dport 8080 -j DNAT --to-destination 192.168.0.1:8080
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 192.168.0.1 -d 192.168.0.2 --sport 8080 -j DNAT --to-destination 192.168.0.3
и все политики поставил ACCEPT... но все равно не перенаправляются :( tcpdump не поймал ни одного пакета перенаправленного на 192.168.0.1 :(


наверно так:
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 0/0 -d <REAIL_IP> --dport 8080 -j DNAT --to-destination <хост в локалке>:<порт сервиса который слушается>

ПС. второе правило, которое ты указал, не нужно, пакеты будут возвращаться и по первому.
Back to top
View user's profile Send private message
Ernazar
n00b
n00b


Joined: 02 Feb 2007
Posts: 15

PostPosted: Mon Mar 05, 2007 2:06 pm    Post subject: Reply with quote

but4er wrote:
наверно так:
iptables -t nat -I PREROUTING 1 -p tcp -m tcp -s 0/0 -d <REAIL_IP> --dport 8080 -j DNAT --to-destination <хост в локалке>:<порт сервиса который слушается>

ПС. второе правило, которое ты указал, не нужно, пакеты будут возвращаться и по первому.

Я прописал там все как Вы говорили... но все равно ничего не работает :(
На интерфейсе который слушает порт 8080 не ловится ни один пакет когда отдается запрос с браузера...

Я тут на самом будущем роутере :) сделал дамп и этот роутер отвечает так же как будто и правил нет... :( т.е. браузер пытается подключиться через разные порты но не получается... Вот дамп:
Code:
20:01:02.184889 IP 192.168.0.100.4862 > 192.168.1.2.http-alt: S 389220647:389220647(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:03.501038 IP 192.168.1.2.http-alt > 192.168.0.100.4862: R 0:0(0) ack 389220648 win 0
20:01:02.607690 IP 192.168.0.100.4862 > 192.168.1.2.http-alt: S 389220647:389220647(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:02.607746 IP 192.168.1.2.http-alt > 192.168.0.100.4862: R 0:0(0) ack 1 win 0
20:01:03.110614 IP 192.168.0.100.4862 > 192.168.1.2.http-alt: S 389220647:389220647(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:03.110665 IP 192.168.1.2.http-alt > 192.168.0.100.4862: R 0:0(0) ack 1 win 0
20:01:08.102148 IP 192.168.0.100.4863 > 192.168.1.2.http-alt: S 3586879160:3586879160(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:08.102218 IP 192.168.1.2.http-alt > 192.168.0.100.4863: R 0:0(0) ack 3586879161 win 0
20:01:08.542363 IP 192.168.0.100.4863 > 192.168.1.2.http-alt: S 3586879160:3586879160(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:08.542441 IP 192.168.1.2.http-alt > 192.168.0.100.4863: R 0:0(0) ack 1 win 0
20:01:09.045320 IP 192.168.0.100.4863 > 192.168.1.2.http-alt: S 3586879160:3586879160(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:09.045352 IP 192.168.1.2.http-alt > 192.168.0.100.4863: R 0:0(0) ack 1 win 0
20:01:09.061674 IP 192.168.0.100.4864 > 192.168.1.2.http-alt: S 1761922131:1761922131(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:09.061704 IP 192.168.1.2.http-alt > 192.168.0.100.4864: R 0:0(0) ack 1761922132 win 0
20:01:09.548247 IP 192.168.0.100.4864 > 192.168.1.2.http-alt: S 1761922131:1761922131(0) win 65535 <mss 1460,nop,nop,sackOK>
20:01:09.548326 IP 192.168.1.2.http-alt > 192.168.0.100.4864: R 0:0(0) ack 1 win 0


т.е. получается что роутер вообще не передает пакеты... :(
Back to top
View user's profile Send private message
but4er
n00b
n00b


Joined: 22 Sep 2006
Posts: 18

PostPosted: Mon Mar 05, 2007 8:59 pm    Post subject: Reply with quote

Ernazar wrote:

Я прописал там все как Вы говорили... но все равно ничего не работает :(
На интерфейсе который слушает порт 8080 не ловится ни один пакет когда отдается запрос с браузера...

Я тут на самом будущем роутере :) сделал дамп и этот роутер отвечает так же как будто и правил нет... :( т.е. браузер пытается подключиться через разные порты но не получается... Вот дамп:
...
т.е. получается что роутер вообще не передает пакеты... :(


Code:
cat /proc/sys/net/ipv4/ip_forward


и ip ты видимо поменял? 192.168.1.2 - это айпишник роутера? 192.168.0.100 - это клиент? на какой айпишник DNAT-ишь?
Back to top
View user's profile Send private message
but4er
n00b
n00b


Joined: 22 Sep 2006
Posts: 18

PostPosted: Mon Mar 05, 2007 9:06 pm    Post subject: Reply with quote

http://www.gentoo.org/doc/en/home-router-howto.xml

http://ru.gentoo-wiki.com/Настройка_iptables_для_начинающих

http://ru.gentoo-wiki.com/Подробная_настройка_iptables
Back to top
View user's profile Send private message
Ernazar
n00b
n00b


Joined: 02 Feb 2007
Posts: 15

PostPosted: Tue Mar 06, 2007 3:14 pm    Post subject: Reply with quote

but4er wrote:
http://www.gentoo.org/doc/en/home-router-howto.xml

http://ru.gentoo-wiki.com/Настройка_iptables_для_начинающих

http://ru.gentoo-wiki.com/Подробная_настройка_iptables

Все решено!!!
Оказывается:
/proc/sys/net/ipv4/ip_forward был равен 0
потом поставил просто:
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 --dport 8080 -j DNAT --to-destination 192.168.0.1:8080
и все работает!!! :)
Спасибо but4er!!!
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Russian All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum