[Sysadmins] *****SPAM***** Re: Проброс портов с тарелки в локалку
Вадим Илларионов
=?iso-8859-1?q?master_=CE=C1_usib=2Eirkps=2Eru?=
Вт Апр 18 12:23:01 MSD 2006
Andrii Dobrovol`s`kii wrote:
> И всё-таки, попробуйте ещё раз без жаргона последовательно изложить
> проблему. Пока она не понятна. Чего хотите, что есть и что не так.
OK
Суть проблемы:
К интернету подключены через шлюз с ДВБ-платой и с АДСЛ через
эфирнет-карточку.
Со шлюза всё подаётся на сервер с ещё 2 сетками - радио и проводной.
На самом шлюзе всё работает как надо, пакетики бегают туда-сюда, на всяк
запрос имеем отклик.
Не работает с сервера. Ни пинг, ни телнет на нужные порты не идут, хотя
индикаторы АДСЛ-модема моргают, когда чего-то засылаем из сети вовне. Нет
возврата с ДВБ, хоть убейся...
При этом через шлюзовой прокси проходит всё, что умеет ходить через прокси
(в т.ч. с подсеток). Оно же и редиректится для вящей прозрачности.
А вот с такими сервисами, как почта, новости, джаббер и т.п. - облом-с.
Джаббер-то хоть при явном указании прокси работает, остальное - по нулям.
Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, а
как отдать - не понимаю...
Интерфейсы шлюза:
lan: 192.168.2.254/24
adsl: 192.168.1.254/24
dvb0_0: 192.168.0.254/24
tun0: 82.211.160.243 peer 192.168.80.70/32
adsl смотрит на модем с адресом 192.168.1.1/24
С сервера на шлюз смотрит интерфейс gateway с адресом 192.168.2.253/24
Пинг с сервера на все интерфейсы шлюза проходит, дальше - фигушки.
На шлюзе:
# iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
BLOCK all -- 0.0.0.0/0 0.0.0.0/0
# iptables -nL BLOCK
Chain BLOCK (2 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x16/0x02 limit: avg 1/sec burst 5
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x17/0x04 limit: avg 1/sec burst 5
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
limit: avg 1/sec burst 5
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
# iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
redir ports 2121
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 80,8080,8081 redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.1.1 192.168.1.1
SNAT all -- 192.168.1.1 0.0.0.0/0
to:82.211.160.243
SNAT all -- 0.0.0.0/0 0.0.0.0/0
to:192.168.1.254
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
На сервере:
# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
pkts bytes target prot opt in out source
destination
Chain POSTROUTING (policy ACCEPT)
pkts bytes target prot opt in out source
destination
7636 593K SNAT all -- * * 0.0.0.0/0
0.0.0.0/0 to:192.168.2.253
Chain OUTPUT (policy ACCEPT)
pkts bytes target prot opt in out source
destination
Сделал на шлюзе по чьей-то рекомендации следующее:
echo "90 lan" >> /etc/iproute2/rt_tables
ip rule add from 192.168.2.0/24 table lan
ip route add default dev tun0 table lan
Не помогло. Правда, на попытки пинга и телнета прежде по тайм-ауту выпадал,
а теперь говорит:
$ telnet usib.irkps.ru jabber
Trying 195.46.96.107...
telnet: connect to address 195.46.96.107: No route to host
$ ping usib.irkps.ru
PING usib.irkps.ru (195.46.96.107) 56(84) bytes of data.
From 192.168.2.254: icmp_seq=2 Redirect Host(New nexthop: 195.46.96.107)
From 192.168.2.254: icmp_seq=3 Redirect Host(New nexthop: 195.46.96.107)
From 192.168.2.254 icmp_seq=1 Destination Host Unreachable
From 192.168.2.254 icmp_seq=2 Destination Host Unreachable
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
Подробная информация о списке рассылки Sysadmins