View previous topic :: View next topic |
Author |
Message |
dudek n00b
Joined: 09 Jun 2006 Posts: 9
|
Posted: Thu Aug 24, 2006 12:05 pm Post subject: DC - Przekierowanie portów z ip zew na kilka kompów |
|
|
Mam problem, nie wiem jak przekierować np. port 411 z ip zewnętrznego na kilka wewnętrznych lub całą sieć, posty zamieszczone tutaj pomogły mi w przypadku jednego komputeraz a co zrobić aby to zadziałało dla wszystkich. Problem dotyczy Direct Connec i uruchomienia trybu Active
od raku: ort. ! _________________ Think Linux - Gentoo rulz.. |
|
Back to top |
|
|
Raku Bodhisattva
Joined: 28 Feb 2004 Posts: 2374 Location: Poland
|
Posted: Thu Aug 24, 2006 12:16 pm Post subject: |
|
|
to co chcesz zrobić jest niemożliwe z czysto technicznego względu. Musisz przekierować kilka portów - każdemu inny. _________________ raku
Powered by Archlinux |
|
Back to top |
|
|
Polin Guru
Joined: 09 Oct 2004 Posts: 318
|
Posted: Thu Aug 24, 2006 12:19 pm Post subject: |
|
|
Dobrze rozumiem? Chcesz, żeby każdy pakiet adresowany na 411 serwera był kierowany równocześnie do kilku innych komputerów?
Tak sie nie da. |
|
Back to top |
|
|
Ph0eniX Guru
Joined: 24 Sep 2004 Posts: 502 Location: New York, U.S.
|
Posted: Thu Aug 24, 2006 2:25 pm Post subject: |
|
|
Jak Polin juz powiedizal, to nie jest mozliwe. A jaki by cel tego byl? |
|
Back to top |
|
|
dudek n00b
Joined: 09 Jun 2006 Posts: 9
|
Posted: Thu Aug 24, 2006 3:36 pm Post subject: |
|
|
więc potrzebuje udostępnić porty aby userzy w mojej małej sieci mieli dostęp do trybu Active w DC sek w tym iż jeźeli udostepnie każdemu inny port to tak czy siak nie działa, chodzi wyłącznie u jednego klienta, cała reszta nie ma pomimo iż konfiguracja jest identyczna a każdy ma inny port _________________ Think Linux - Gentoo rulz.. |
|
Back to top |
|
|
Ph0eniX Guru
Joined: 24 Sep 2004 Posts: 502 Location: New York, U.S.
|
Posted: Thu Aug 24, 2006 3:55 pm Post subject: |
|
|
dudek wrote: | wi�c potrzebuje udost�pni� porty aby userzy w mojej ma�ej sieci mieli dost�p do trybu Active w DC sek w tym i� je�eli udostepnie ka�demu inny port to tak czy siak nie dzia�a, chodzi wy��cznie u jednego klienta, ca�a reszta nie ma pomimo i� konfiguracja jest identyczna a ka�dy ma inny port |
jezeli DC nie moze byc na tej samej subnet co "userzy" to zainstaluj VPN - najlepiej site-to-site. |
|
Back to top |
|
|
Polin Guru
Joined: 09 Oct 2004 Posts: 318
|
Posted: Thu Aug 24, 2006 4:02 pm Post subject: |
|
|
dudek wrote: | więc potrzebuje udostępnić porty aby userzy w mojej małej sieci mieli dostęp do trybu Active w DC sek w tym iż jeźeli udostepnie każdemu inny port to tak czy siak nie działa, chodzi wyłącznie u jednego klienta, cała reszta nie ma pomimo iż konfiguracja jest identyczna a każdy ma inny port |
Poprzydzielaj każdemu inny zewnętrzny port, niech go sobie wpiszą w konfiguracji klienta (chyba każdy ma taką opcję) i przekieruj te porty.
Code: | iptables -t nat -A PREROUTING -p tcp --dport zewnetrzny_port -j DNAT --to-destination wewnetrzny_ip |
|
|
Back to top |
|
|
dudek n00b
Joined: 09 Jun 2006 Posts: 9
|
Posted: Fri Aug 25, 2006 7:22 am Post subject: |
|
|
DALEJ NIE DZIAŁĄ
w dc wpisane IP zew. port no i firewall wygenerowany
mój iptables.rules:
Code: | # Generated by iptables-save v1.3.1 on Thu Aug 24 17:32:15 2006
*filter
:INPUT DROP [1:40]
:FORWARD DROP [16:4051]
:OUTPUT ACCEPT [1:272]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 135,445 -j DROP
-A INPUT -i eth0 -p tcp -m multiport --dports 18120,18121,18122,18123,18124 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport --dports 18120,18122,18123,18124,18121 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -s 10.0.0.2 -i ! eth0 -j ACCEPT
-A INPUT -s 10.0.0.3 -i ! eth0 -j ACCEPT
-A INPUT -s 10.0.0.5 -i ! eth0 -j ACCEPT
-A INPUT -s 10.0.0.6 -i ! eth0 -j ACCEPT
-A INPUT -s 10.0.0.10 -i ! eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o lo -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 135,445 -j DROP
-A FORWARD -d 10.0.0.2 -p tcp -m tcp --dport 18120 -j ACCEPT
-A FORWARD -s 10.0.0.2 -p tcp -m tcp --sport 18120 -j ACCEPT
-A FORWARD -d 10.0.0.2 -p udp -m udp --dport 18120 -j ACCEPT
-A FORWARD -s 10.0.0.2 -p udp -m udp --sport 18120 -j ACCEPT
-A FORWARD -d 10.0.0.2 -p tcp -m tcp --dport 19120 -j ACCEPT
-A FORWARD -s 10.0.0.2 -p tcp -m tcp --sport 19120 -j ACCEPT
-A FORWARD -d 10.0.0.2 -p udp -m udp --dport 19120 -j ACCEPT
-A FORWARD -s 10.0.0.2 -p udp -m udp --sport 19120 -j ACCEPT
-A FORWARD -d 10.0.0.3 -p tcp -m tcp --dport 18121 -j ACCEPT
-A FORWARD -s 10.0.0.3 -p tcp -m tcp --sport 18121 -j ACCEPT
-A FORWARD -d 10.0.0.3 -p udp -m udp --dport 18121 -j ACCEPT
-A FORWARD -s 10.0.0.3 -p udp -m udp --sport 18121 -j ACCEPT
-A FORWARD -d 10.0.0.3 -p tcp -m tcp --dport 19121 -j ACCEPT
-A FORWARD -s 10.0.0.3 -p tcp -m tcp --sport 19121 -j ACCEPT
-A FORWARD -d 10.0.0.3 -p udp -m udp --dport 19121 -j ACCEPT
-A FORWARD -s 10.0.0.3 -p udp -m udp --sport 19121 -j ACCEPT
-A FORWARD -d 10.0.0.5 -p tcp -m tcp --dport 18122 -j ACCEPT
-A FORWARD -s 10.0.0.5 -p tcp -m tcp --sport 18122 -j ACCEPT
-A FORWARD -d 10.0.0.5 -p udp -m udp --dport 18122 -j ACCEPT
-A FORWARD -s 10.0.0.5 -p udp -m udp --sport 18122 -j ACCEPT
-A FORWARD -d 10.0.0.5 -p tcp -m tcp --dport 19122 -j ACCEPT
-A FORWARD -s 10.0.0.5 -p tcp -m tcp --sport 19122 -j ACCEPT
-A FORWARD -d 10.0.0.5 -p udp -m udp --dport 19122 -j ACCEPT
-A FORWARD -s 10.0.0.5 -p udp -m udp --sport 19122 -j ACCEPT
-A FORWARD -d 10.0.0.6 -p tcp -m tcp --dport 18123 -j ACCEPT
-A FORWARD -s 10.0.0.6 -p tcp -m tcp --sport 18123 -j ACCEPT
-A FORWARD -d 10.0.0.6 -p udp -m udp --dport 18123 -j ACCEPT
-A FORWARD -s 10.0.0.6 -p udp -m udp --sport 18123 -j ACCEPT
-A FORWARD -d 10.0.0.6 -p tcp -m tcp --dport 19123 -j ACCEPT
-A FORWARD -s 10.0.0.6 -p tcp -m tcp --sport 19123 -j ACCEPT
-A FORWARD -d 10.0.0.6 -p udp -m udp --dport 19123 -j ACCEPT
-A FORWARD -s 10.0.0.6 -p udp -m udp --sport 19123 -j ACCEPT
-A FORWARD -d 10.0.0.10 -p tcp -m tcp --dport 18124 -j ACCEPT
-A FORWARD -s 10.0.0.10 -p tcp -m tcp --sport 18124 -j ACCEPT
-A FORWARD -d 10.0.0.10 -p udp -m udp --dport 18124 -j ACCEPT
-A FORWARD -s 10.0.0.10 -p udp -m udp --sport 18124 -j ACCEPT
-A FORWARD -d 10.0.0.10 -p tcp -m tcp --dport 19124 -j ACCEPT
-A FORWARD -s 10.0.0.10 -p tcp -m tcp --sport 19124 -j ACCEPT
-A FORWARD -d 10.0.0.10 -p udp -m udp --dport 19124 -j ACCEPT
-A FORWARD -s 10.0.0.10 -p udp -m udp --sport 19124 -j ACCEPT
-A FORWARD -s 10.0.0.2 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.0.0.3 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.0.0.5 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.0.0.6 -i ! eth0 -j ACCEPT
-A FORWARD -s 10.0.0.10 -i ! eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Aug 24 17:32:15 2006
# Generated by iptables-save v1.3.1 on Thu Aug 24 17:32:15 2006
*mangle
:PREROUTING ACCEPT [57933:38192506]
:INPUT ACCEPT [5114:750635]
:FORWARD ACCEPT [52008:37332326]
:OUTPUT ACCEPT [3717:1133484]
:POSTROUTING ACCEPT [55709:38461759]
COMMIT
# Completed on Thu Aug 24 17:32:15 2006
# Generated by iptables-save v1.3.1 on Thu Aug 24 17:32:15 2006
*nat
:PREROUTING ACCEPT [1702:215358]
:POSTROUTING ACCEPT [260:45820]
:OUTPUT ACCEPT [3:502]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18120 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i eth0 -p udp -m udp --dport 18120 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 19120 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i eth0 -p udp -m udp --dport 19120 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18121 -j DNAT --to-destination 10.0.0.3
-A PREROUTING -i eth0 -p udp -m udp --dport 18121 -j DNAT --to-destination 10.0.0.3
-A PREROUTING -i eth0 -p tcp -m tcp --dport 19121 -j DNAT --to-destination 10.0.0.3
-A PREROUTING -i eth0 -p udp -m udp --dport 19121 -j DNAT --to-destination 10.0.0.3
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18122 -j DNAT --to-destination 10.0.0.5
-A PREROUTING -i eth0 -p udp -m udp --dport 18122 -j DNAT --to-destination 10.0.0.5
-A PREROUTING -i eth0 -p tcp -m tcp --dport 19122 -j DNAT --to-destination 10.0.0.5
-A PREROUTING -i eth0 -p udp -m udp --dport 19122 -j DNAT --to-destination 10.0.0.5
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18123 -j DNAT --to-destination 10.0.0.6
-A PREROUTING -i eth0 -p udp -m udp --dport 18123 -j DNAT --to-destination 10.0.0.6
-A PREROUTING -i eth0 -p tcp -m tcp --dport 19123 -j DNAT --to-destination 10.0.0.6
-A PREROUTING -i eth0 -p udp -m udp --dport 19123 -j DNAT --to-destination 10.0.0.6
-A PREROUTING -i eth0 -p tcp -m tcp --dport 18124 -j DNAT --to-destination 10.0.0.10
-A PREROUTING -i eth0 -p udp -m udp --dport 18124 -j DNAT --to-destination 10.0.0.10
-A PREROUTING -i eth0 -p tcp -m tcp --dport 19124 -j DNAT --to-destination 10.0.0.10
-A PREROUTING -i eth0 -p udp -m udp --dport 19124 -j DNAT --to-destination 10.0.0.10
-A POSTROUTING -s 10.0.0.2 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.3 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.5 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.6 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.10 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Aug 24 17:32:15 2006 |
Dodam że łącze się z netem przez eth0 natomiast sieć wewnątrz mam na eth1
od raku: używaj znaczników [code] _________________ Think Linux - Gentoo rulz.. |
|
Back to top |
|
|
mbar Veteran
Joined: 19 Jan 2005 Posts: 1990 Location: Poland
|
Posted: Fri Aug 25, 2006 7:40 am Post subject: |
|
|
Ok, to ja narysuję jak masz to zrobić. Zewnętrzne porty (dowolne) przekierowujesz na wewnętrzne 411, ale każdy do innego IP:
RUTER:PORT_10001 --> IP_01:411
RUTER:PORT_10002 --> IP_06:411
RUTER:PORT_10003 --> IP_02:411
RUTER:PORT_10004 --> IP_05:411
RUTER:PORT_10005 --> IP_99:411
...
W chwili obecnej masz tak:
RUTER:PORT_10001 --> IP_01:10001
RUTER:PORT_10002 --> IP_06:10002
RUTER:PORT_10003 --> IP_02:10003
RUTER:PORT_10004 --> IP_05:10004
RUTER:PORT_10005 --> IP_99:10005
Jak to zmienisz, to u użytkowników wewnątrz sieci będzie gites, bo pewnie nie umieją skonfigurować klientów. Odpowiednią regułę iptables to już wymyśl sobie sam, nie jest trudna. |
|
Back to top |
|
|
|