The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Тематический каталог: Проброс порта внутрь сети через NAT в Linux (nat iptables linux)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Проброс порта внутрь сети через NAT в Linux (nat iptables linux)"  +/
Сообщение от auto_topic (?), 26-Фев-06, 12:23 
Обсуждение статьи тематического каталога: Проброс порта внутрь сети через NAT в Linux (nat iptables linux)

Ссылка на текст статьи: https://www.opennet.ru/base/net/nat_redirect.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Irina V Smorodinaemail (?), 26-Фев-06, 12:23   +/
День добрый! у меня сложилась ситуация, когда мне нужно сделать доступ к локальной машине извне на порт 3389.
У меня стоит на роутере fedora core 2.
согласно вышеописанному, делаю
# iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport 3389 -j DNAT --to-destination $LOCAL_IP:3389
        # iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport 3389 -j ACCEPT

но к локальной машине по этому порту так и не пускает.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4

2. Сообщение от subemail (?), 07-Май-06, 03:55   +/
Linux & Windows
==
Проброс порта, в большенстве нужен для администрирования сервера в локальной сети.
Помимо UNIX серверов, частенько необходим доступ, напрмер к Домену, который само собой работает под управлением windows 2k, 2003. Но если администратор работает всю жизнь под unix, и пользуеться удалённым клиентом rdesktop (unix).... может возникнуть проблема, как один раз возникла у меня. Пробросил я порт 3389 на локальную машинку, под управлением windows 2003 server, но имя пользователя на ней на русском языке, пароль на английском. Стандартная комбинация Shift + Alt или Shift + Ctrl под rdesktop (unix) - НЕ РАБОТАЕТ, как же залогиниться????
Ответ прост - Экранная Клавиатура. Запускаеться она комбинацией клавиш
                 !!! windows + U !!!
собственно такой небольшой ньюанс, который не раз поможет Вам быстро и оперативно залогиниться удалённо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от subemail (?), 07-Май-06, 04:00   +/
1. Точно ли включен доступ на локальной машине RD
2. Не перебивает ли какоенибудь правило iptables твою цепочку проброса портов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от subemail (?), 07-Май-06, 04:02   +/
И ещё... какой у тебя ЯДРО на твоей FC2 ???????
в мануале сказано, цетирую:
"Сразу скажу, что на ядрах 2.2.x это нормально не получается,
только используя утилиты iproute2 Алексея Кузнецова(сам не пробовал,
но, говорят, получается). Так что я рассматриваю вариант kernel-2.4.x
+ iptables."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Dmitriy (??), 20-Май-06, 09:06   +/
>Пробросил я порт 3389
>на локальную машинку, под управлением windows 2003 server, но имя пользователя
>на ней на русском языке, пароль на английском. Стандартная комбинация Shift
>+ Alt или Shift + Ctrl под rdesktop (unix) - НЕ
>РАБОТАЕТ, как же залогиниться????

x11.conf отменили?
XkbOption и пр.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Илья (??), 20-Июл-07, 14:16   +/
>Стандартная комбинация Shift + Alt или Shift + Ctrl под rdesktop (unix) - НЕ РАБОТАЕТ

Это после каго перепугу? Все работает

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от initemail (?), 26-Апр-08, 17:11   +/
Сам только что пропарился с пробросом портов... Вот вычитал в инете
ptables -t nat -A PREROUTING -s $FROM -d $GATE_IP -i eth1 -p tcp -m tcp --sport 1024:65535 --dport 3389 -j DNAT --to-destination $W2K_SERVER

iptables -t nat -A POSTROUTING -d $W2K_SERVER -o eth0 -p tcp -m tcp --dport 3389 -j SNAT --to-source $GATE_INNER_IP

iptables -A INPUT -s $FROM -d $GATE_IP -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -s $FROM -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -s $W2K_SERVER -d $FROM -i eth0 -p tcp -m tcp --sport 3389 -j ACCEPT

где
$FROM - кому разрешено ломиться к внутреннему серверу
$GATE_IP - внешний ip-адрес шлюза
$GATE_INNER_IP - внутренний ip-адрес шлюза
$W2K_SERVER - ну это понятно :)


-------------
спасибки Xman'у

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от system (??), 25-Июн-08, 13:57   –1 +/
а в free можно шота подобное сделать???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

9. Сообщение от Ямбертemail (?), 21-Авг-08, 13:12   –1 +/
У меня другая задача, нужно пробросить порт но маршрутизация сделана на Win XP. Нужно чтоб апачь на одной из машин был через другую виден вовне.
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Dmitryemail (??), 18-Ноя-08, 08:59   –1 +/
Да конечно, а IPFW юзать rdr.
Например:
"rdr on $ExtIf proto tcp from any to $ExtIP port 33334 -> 10.х.х.х/32 port rdp"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11

11. Сообщение от Dmitryemail (??), 18-Ноя-08, 09:00   –1 +/
Ой, извиняюсь PF надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от ss1 (?), 04-Дек-08, 07:36   –1 +/
Спасибо большое статья работает))))
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от vasiaemail (??), 28-Май-09, 01:04   –1 +/
А как сделать что бы это работало когда внешний ип по дхцп и внутри сети всем по дхцп раздается и что б у всех во внутреней сети был виден этот порт?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

14. Сообщение от Агент павел... (?), 01-Июн-09, 01:24   –1 +/
Какой этот?
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от ImSolo (?), 01-Июн-09, 16:41   +/
Юзать DNS внутри сети и писать вместо IP DNS-имя. У меня так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от denisemail (??), 06-Июн-09, 00:38   +/
спасибо! помогло!

10 баллов по 10 бальной шкале автору! недавно сел за iptables, но поскольку проброс понадобился раньше чем прочитал про них, пришлось юзать скрипт. спасибо!!!

Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Decoyemail (?), 16-Июл-09, 16:35   +/
Почему же только '-p tcp'? Как на счет UDP, ICMP?.. Я бы убрал '-p tcp'.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Руслан (?), 17-Сен-09, 15:40   +/
У меня только при:
# iptables -t nat -A PREROUTING -p tcp -i $EXT_IFACE --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2
# iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT
заработало.
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Птр (?), 18-Ноя-09, 13:45   +/
Толково и без воды. На wl-500gP+ usb wimax YOTA c прошивкой от Олега нужно было пробросить порт с wimax. Много искал. Ничего путного не выходило. Данная статья помогла. АВТОРУ СПАСИБО ОГРОМНОЕ!!!!!!
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Донemail (?), 08-Фев-10, 14:20   +/
возможно ли сделать проброс портов через один интерфейс?
Имеем
1) fedora core 11 на "сервере"(поставлена в роутере  а  DMZ).
2) 3 машинки каждой нужен проброс на разные порты(от 2 до 5-ти).
3) роутер(из-за лимита количества правил 10-15 и резделении по протоколам)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

21. Сообщение от Дон (?), 08-Фев-10, 14:24   +/
Система висит(
1) на DMZ
3)(из-за лимита количества правил 10-15 и резделении по протоколам, такое количество правил не реализовать)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от Beavisemail (??), 12-Июн-10, 21:41   +/
Получаю $EXT_R_IP по средствам DHCP сервера провайдера. Каким образом следует изменить правило?
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Lorgusemail (?), 07-Июл-10, 13:14   +/
во во... меня тож DHCP интересует, от прова DHCP и ppp0
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Георгийemail (??), 09-Авг-10, 15:52   +/
iptables -F FORWARD
iptables -t nat -A PREROUTING -p tcp -d 192.168.56.11 --dport 2221 -j DNAT --to-destination 192.0.2.102:22
#iptables -A FORWARD -i eth0 -p tcp  --sport 2221 -d 192.0.2.102 --dport 22 -j ACCEPT

iptables -L

Для чего нужна вторая строчка, если у меня работает и без нее?
Суть: на локальном компе с 192.168.56.11 с помощью OpenVZ сделан контейнер без внешнего доступа. Вышеприведенным кодом делаю ssh доступ к нему по порту 2221 (стандартный 22 используется для доступа к самому компу).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

25. Сообщение от Sharpemail (?), 31-Авг-10, 09:55   +/
Скажите пожалуйста:
1) Те кто будет по проброшеному порту заходить на машину в локалке будут знать, что они зашли на локальную машину, а не на роутер?
2) Провайдер от которого у меня интернет может выяснить, что за роутером ещё машины есть, если локальным машинам устроить проброс портов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от Gotik (??), 16-Окт-10, 18:57   +/
1) - Нет небудут.
2) - При сильном желании может.Но только какая ему разница?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от madmasemail (?), 18-Окт-10, 20:48   +/
А какие еще нужно добавить правила (чтобы добраться до GATE_INNER_IP), если перед машиной GATE стоит железный файервол, который уже выбрасывает GATE наружу? Т.е. получается что у GATE оба IP адреса внутренние.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от доктор хата (?), 17-Фев-12, 02:28   +/
фууууу, сколько ламоты!
Я б таких не подпускал к компам без сдачи на права. Да!
И в инет бы не выпускал писать. Только читать.
Так-то.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Bobaemail (?), 21-Авг-12, 21:19   +/
Сделал все по описанию, два раза проверил, - не работает.
Linux - CentOS 6.3
Видимо, статья устарела.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от ArtMemail (?), 27-Авг-12, 23:00   +/
Господа, что же получается, что DMZ в каком-нибудь DLink-е, мулька для Юзверей?
кто-нубудь делал ли DMZ на неком Firehol (это такой farewall, достаточно интеллигентный)
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от mikis (?), 03-Май-15, 15:41   +/
Подскажите, как подключиться с этой же локальной сети где веб сервер по внешнему ІР?
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Rus (??), 16-Авг-17, 19:45   +/
У меня шлюз-комп. 2 сетевухи. 1-ая сетевуха 192.168.1.10 смотрит в инет на роутер 192.168.1.1
вторая сетевуха смотрит внутрь сети. у нее IP 10.10.2.1. А у компа что мне недо IP 10.10.2.200
Пробрасываю ssh и RDP так:
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.10 --dport 2222 -j DNAT --to-destination 10.10.2.200:22
iptables -A FORWARD -i eth0 -d 10.10.2.200 -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.10 --dport 33389 -j DNAT --to-destination 10.10.2.200:3389
iptables -A FORWARD -i eth0 -d 10.10.2.200 -p tcp --dport 3389 -j ACCEPT
Причем из вне на ssh я захожу по порту 2222 меня перебрасывает на комп на порт 22
а по удаленке захожу по порту 33389 меня перебрасывает на комп на порт 3389

p.s. Это так инфа для тех у кого не получается.. Смотрите примеры - пробуйте.
спасибо за спасибо )

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

33. Сообщение от Артём (?), 13-Ноя-19, 11:11   +/
Разрешает прохождение (форвардинг) пакетов. Понимаешь ли... У нормальных сисадминов стоит правило iptables -P FORWARD DROP, дабы всякие козявкины не ломали сетку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Гость (??), 22-Апр-20, 21:38   +/
eth0 смотрит наружу или внутрь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от arsenars (ok), 24-Окт-22, 20:38   +/
У меня андроид(rooted) и подключенный к нему по wifi hotspot девайс. хочу получить на девайс доступ из вне. Симка с стат. публичн. IP 46.x.x.x. Пробавал так -не получилось-
# iptables -t nat -A PREROUTING -p tcp -d 46.x.x.x --dport 4xxxx -j DNAT --to-destination 192.168.43.120:80
# iptables -A FORWARD -i ccmni0 -d 46.x.x.x -p tcp --dport 80 -j ACCEPT

[сообщение отредактировано модератором]

Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру