serwer linux - port forward

[CrazyLucas]

mam servka linuksowego i wlasnie odpalilem na nim NAT - www dziala, DC tez dziala ale niestety tylko w passive

problem - co dokladnie dopisac do IPtables zeby przekierowac port 1410 na IP lokalne (i miec tego DC active)
zalozny ze IP publiczne servka to 1.2.3.4 lokalne servka 192.168.30.1
moj komp 192.168.30.2

moj plik konfiguracyjny IPtables

Cytat:

#! /bin/sh

#odpalanie modulow iptables
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modproge ip_masq_portfw

# zezwol na forwardowanie pakietow
echo 1 > /proc/sys/net/ipv4/ip_forward

# zwieksz tablice ip_conntrack
echo "120000" > /proc/sys/net/ipv4/ip_conntrack_max

echo -n "Uruchamiam ruting i maskarad....."
#czyszczenie iptables
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

echo -n "iptables czyste....."

# domylsnie nie puszczac burakow
iptables -t nat -P POSTROUTING DROP

# przepuszczac ruch z lokalnych sieciowek
iptables -s 1.2.3.4 -t nat -I POSTROUTING -j ACCEPT
iptables -s localhost -t nat -I POSTROUTING -j ACCEPT
iptables -s 192.168.30.1 -t nat -I POSTROUTING -j ACCEPT

# przepusc maskarade do netu
iptables -t nat -I POSTROUTING -s 192.168.30.2 -j SNAT --to-source 1.2.3.4
iptables -t nat -I POSTROUTING -s 192.168.30.3 -j SNAT --to-source 1.2.3.4
iptables -t nat -I POSTROUTING -s 192.168.30.4 -j SNAT --to-source 1.2.3.4
echo -n "NAT odpalony....."

#port 1410 dla mnie na lokalna - to nie chce dzialac!!
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 1.2.3.4 --dport 1401 -j DNAT --to-destination 192.168.30.2:1401
iptables -I FORWARD -i eth0 -p tcp -d 192.168.30.2 --dport 1401 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -s 1.2.3.4 --dport 1401 -j DNAT --to-destination 192.168.30.2:1401
iptables -t nat -I FORWARD -i eth0 -p udp -d 192.168.30.2 --dport 1401 -j ACCEPT
echo -n "porty przekierowane....."

problem nr2 - czy win2k pozwala na jednoczesna prace na sieci z 2 roznych IP wyjsciowych - np jedno poprzez NAT a drugie publiczne od providera

[Salvad0r]

Obawiam sie, ze nie da sie tego zrobic. Uzyskanie active przy zalozeniu ze masz NAT jest trudne nawet dla ftp (a w zasadzie niemozliwe, chyba ze demon ftp bedzie wspolpracowal bardzo blisko z firewallem, potrafi to np. ftp-proxy w OpenBSD) nie mowiac juz o DC. Nie znam dokladnie protokolu DC ale jestem prawie pewien ze nie pozostaje Ci inny wybor niz passive jesli korzystasz z Linux'a oraz wystawiasz kompa do DC poprzez NAT.

[CrazyLucas]

wiem ze tryb active jest przez NAT jak najbardziej mozliwy - kumple z sieci tak maja ale ja nie moge od ich adminka wyciagnac konfiguracji

[Salvad0r]

Cytat:

CrazyLucas napisa***322;(a)
wiem ze tryb active jest przez NAT jak najbardziej mozliwy - kumple z sieci tak maja ale ja nie moge od ich adminka wyciagnac konfiguracji

Jak juz pisalem i powtarzam: z zalozenia NAT zmusza do stosowania passive. Ja *wiem* ze jest mozliwy active aczkolwiek o tym takze pisalem - nie da sie tego zrobic uniwersalnie dla wszystkich klientow za jednym zamachem, zwlaszcza z uzyciem prostego skryptu dla iptables i Linux'a. Sprobuj chocby zwykle ftp w ten sposob skonfigurowac... doprawdy ciezka sprawa, gwarantuje Ci. O wiele wieksze mozliwosci masz w tej materii w OpenBSD ale (i o tym tez pisalem) to nie jest tylko kwestia konfiguracji samego firewall'a, potrzebna jest integracja firewall'a *i* demona obslugujacego dany protokol. Innej mozliwosci nie ma.

[CrazyLucas]

mozemy sie klucic o to dalej ale sprawe zalatwily 2 linijki do iptables:

Cytat:

iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 1401 -j DNAT --to-destination 192.168.30.2:1401
iptables -t nat -A PREROUTING -p udp -d 1.2.3.4 --dport 1401 -j DNAT --to-destination 192.168.30.2:1401

dla direct connecta wystarczy - tylko w ustawieniach programu trzeba wpisac jako IP 1.2.3.4 a port 1401