user_1990 Napisano Październik 16, 2009 Zgłoszenie Share Napisano Październik 16, 2009 Witam. Mam 3 zewnętrzne adresy IP, serwer ma 10.0.0.1* i rozdaje internet przez dhcp na 10 innych kompów. Jednym z komputerów jest serwer inserta. Komp ten ma nadany adres 192.168.1.21 . I jak mam zrobić aby po wpisaniu w przeglądarce zewnętrznego adresu IP 10.0.0.2* przekierowało mnie na wewnętrzny 192.168.1.21? Proszę o pomoc. Męczę się z tym już od tygodnia. Pozdraiam, Dawid *- przykładowe adresy Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hello_world Napisano Październik 16, 2009 Zgłoszenie Share Napisano Październik 16, 2009 Po pierwsze notacja 10.0.0.1* to nie są adresy zewnetrzne (ja zrozumiałem publiczne) Po drugie abu komunikacja pomiedzy interfejsami mogła się odbywać musisz uaktywnić opcję przekazywania pakietów w pliku /etc/sysctl.conf net.ipv4.ip_forward=1 Po trzecie musisz ustawić odpowiednie trasy do tych sieci. Po czwarte aby móc się połączyć z serwerem http (chyba o niego ci chodziło) twoim sposobem to tylko w wewnętrznej sieci. Nic nie piszesz o publicznych adresach. Jeżeli chciałbyś aby ktoś się łączył z twoim serwerem musisz mieć chociaż jeden adres zewnętrzny stały lub wykorzystywać obejścia w postacji takich serwisów jak no-ip, dyndns. Twoj projekt nadaje się tylko do wewnetrznej sieci Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
user_1990 Napisano Październik 16, 2009 Autor Zgłoszenie Share Napisano Październik 16, 2009 Pisałem że mam 3 adresy zewnętrzne stałe z neostrady, nie chciałęm ich podawać dla tego urzyłem przykładu(10.0.0.1) . Jeden wykorzystuje serwer(83.5.76.1) , a dwa są wolne. I chciałem na tym drugim 83.5.76.2 zrobić że po wpisaniu tego adresu serwer zrobi przekierowanie na komputer z bazą subjekta, jego adres to 192.168.1.21. Ma to działać tak żebym mógł się dostać do bazy z zewnątrz. Jak to zrobić ?? Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hello_world Napisano Październik 16, 2009 Zgłoszenie Share Napisano Październik 16, 2009 Sorki ale taki sprytny to ja nie jestem aby czytać miedzy wierszami (oczywiście w takim przesłaniu). Dalej probujesz aż ktoś coś wymiśli i moze się uda. Po pierwsze jak chcesz się dostać Po drugie jaką usługę chcesz wykorzystać. Piszesz dostać się do bazy ale co chcesz robić , administrować tą bazą, jaka to baza. Sorki ale są to podstawowe informacje jakie musisz podać. Z pustego to nawet król Salomon.... Po trzecie nawet nie podajesz jaki masz serwer, czy jest firewall. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Xeno Napisano Październik 25, 2009 Zgłoszenie Share Napisano Październik 25, 2009 Pisałem że mam 3 adresy zewnętrzne stałe z neostrady, nie chciałęm ich podawać dla tego urzyłem przykładu(10.0.0.1) . Jeden wykorzystuje serwer(83.5.76.1) , a dwa są wolne. I chciałem na tym drugim 83.5.76.2 zrobić że po wpisaniu tego adresu serwer zrobi przekierowanie na komputer z bazą subjekta, jego adres to 192.168.1.21. Ma to działać tak żebym mógł się dostać do bazy z zewnątrz. Jak to zrobić ?? Pozdrawiam http://www.frozentux.net/iptables-tutorial...s-tutorial.html Myślę, że ten poradnik iptables powinien rozwiązać sprawę. Generelnie możesz przypisać publiczne IP jako virtualny interfejs do komputera wyjściowego (routera) i dalej przekierowac wszysrtkie połączenia na ten serwer Subiekta. Drugim rozwiązaniem jest NAT, trochę bardziej męczące, ale przynajmniej serwer subiekta jest oddzielony od internetu i potencjalny napastnik może atakowac tyklo przekierowane porty (MS Sql serwer w tym przypadku). Nie podoba mi się ten pomysł o tyle, że jak napastnik zorientuje się jakiego oprogamowania używasz to baza danych jest dla niego otwarta, bo z tego co pamiętam Subiekt hasła do serwera ma ustawione na sztywno, więc wystarczy pobrać sobie demo i wyciągnąć hasło narzędziami do odzyskiwania haseł do baz MSSql. Możesz ewentualnie wystawić zdalny pulpit/vnc, byle tylko oprogramowanie pozwalało na szyfrowanie sesji. Najlepszym pomysłem wg mnie byłby VPN, np OpenSSH czy OpenVPN. Do serwera dostajesz się jak z sieci lokalnej, będąc niewidocznym dla ew napastników. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
user_1990 Napisano Październik 29, 2009 Autor Zgłoszenie Share Napisano Październik 29, 2009 Witam ponownie. Już poradziłem sobie z przekierowaniem za pomocą: iptables -t nat -I POSTROUTING -s 192.168.1.30 -j SNAT --to ip_zewn iptables -t nat -I PREROUTING -d ip_zewn -j DNAT --to 192.168.1.30 Wszysko działa tak jak chciałęm, jednak na komputerze o adresie IP 192.168.1.30 przestał działać internet. Czym to może być spowodowane ?? Jak to naprawić?? Dodam że networkManager jest wyłączony. Serwer rozdaje internet za pomocą DHCP i na innych komputerach internet działa. Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
user_1990 Napisano Listopad 4, 2009 Autor Zgłoszenie Share Napisano Listopad 4, 2009 I jakieś sugestie? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Xeno Napisano Listopad 10, 2009 Zgłoszenie Share Napisano Listopad 10, 2009 I jakieś sugestie? Może zamiast całego ruchu spróbuj przekierowaćjedynie porty MsSql? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Mentat Napisano Listopad 16, 2009 Zgłoszenie Share Napisano Listopad 16, 2009 Witam ponownie. Już poradziłem sobie z przekierowaniem za pomocą: iptables -t nat -I POSTROUTING -s 192.168.1.30 -j SNAT --to ip_zewn iptables -t nat -I PREROUTING -d ip_zewn -j DNAT --to 192.168.1.30 Wszysko działa tak jak chciałęm, jednak na komputerze o adresie IP 192.168.1.30 przestał działać internet. Czym to może być spowodowane ?? Jak to naprawić?? Dodam że networkManager jest wyłączony. Serwer rozdaje internet za pomocą DHCP i na innych komputerach internet działa. Pozdrawiam Skoro działa jak chciałeś to komp pobiera IP jakie trzeba (192.168.1.30). IMHO problemem może być to ze nie podajesz w "iptables -t nat -I POSTROUTING" oprocz opcji -s rowniez opcji -d. Jeżeli np router jest jednocześnie serwerem DNS to komputer nie jest w stanie rozwiązywać adresów bo próbuje dostać się do usługi z zewnętrznego adresu dla którego zapewne DNS jest zablokowany. Według mnie powinno być tak : iptables -t nat -I POSTROUTING -s 192.168.1.30 -d !192.168.1.0/24 -j SNAT --to ip_zewn Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
user_1990 Napisano Listopad 26, 2009 Autor Zgłoszenie Share Napisano Listopad 26, 2009 Skoro działa jak chciałeś to komp pobiera IP jakie trzeba (192.168.1.30). IMHO problemem może być to ze nie podajesz w "iptables -t nat -I POSTROUTING" oprocz opcji -s rowniez opcji -d. Jeżeli np router jest jednocześnie serwerem DNS to komputer nie jest w stanie rozwiązywać adresów bo próbuje dostać się do usługi z zewnętrznego adresu dla którego zapewne DNS jest zablokowany. Według mnie powinno być tak : iptables -t nat -I POSTROUTING -s 192.168.1.30 -d !192.168.1.0/24 -j SNAT --to ip_zewn Zrobiłem tak jak kolega proponował, jednak nie działa. Jeśli zamiast -d dam -j wtedy przekierowanie działa jendak komputer z adresem 192.168.1.30 nie ma internetu. Macie jakieś inne propozycje?? Chciałem jeszcze zapytać jak usunąć ostatnio wprowadzone przekierowanie?? podanie komendy iptables -F nie działa. Pozdrawiam Dawid Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hUBI Napisano Listopad 26, 2009 Zgłoszenie Share Napisano Listopad 26, 2009 Zrobiłem tak jak kolega proponował, jednak nie działa. Jeśli zamiast -d dam -j wtedy przekierowanie działa jendak komputer z adresem 192.168.1.30 nie ma internetu. Macie jakieś inne propozycje?? Chciałem jeszcze zapytać jak usunąć ostatnio wprowadzone przekierowanie?? podanie komendy iptables -F nie działa. Pozdrawiam Dawid Internetu możesz nie mieć z wielu powodów. Pierwsza sprawa to aby z zewnątrz można się było połączyć do tego 192.168.1.30 wystarczy Ci jedna regułka: iptables -t nat -I PREROUTING -d ip_zewn -j DNAT --to 192.168.1.30 ta druga: iptables -t nat -I POSTROUTING -s 192.168.1.30 -j SNAT --to ip_zewn powoduje że natujesz cały ruch z 192.168.1.30 i może dlatego nie działa Ci "internet". Spróbuj tylko z tą jedną regułką... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
user_1990 Napisano Listopad 26, 2009 Autor Zgłoszenie Share Napisano Listopad 26, 2009 Ok , zaraz spróbuje tylko powiedz mi jeszcze jak mogę usunąć te regółgki które wpisałem wczesniej ?? Pozdr. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hUBI Napisano Listopad 26, 2009 Zgłoszenie Share Napisano Listopad 26, 2009 Ok , zaraz spróbuje tylko powiedz mi jeszcze jak mogę usunąć te regółgki które wpisałem wczesniej ?? Pozdr. Chcesz usunąć wszystkie ? iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -F -t mangle iptables -X -t mangle A jak jedną to możesz usunąć konkretną poprzez zmianę I na D np.: iptables -t nat -D POSTROUTING -s 192.168.1.30 -j SNAT --to zew_ip albo poprzez numer regułki (zwróć uwagę na tabele): iptables -L -t nat --line-numbers (pokazuje numery reguł) iptables -t nat -D POSTROUTING 1 (kasuje regułe nr. 1 w łańcuchu POSTROUTING) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
user_1990 Napisano Listopad 30, 2009 Autor Zgłoszenie Share Napisano Listopad 30, 2009 Ok, dzięki. iptables -t nat -I PREROUTING -d ip_zewn -j DNAT --to 192.168.1.30 Ale jest problem ponieważ po lanie ładnie to działa jednak jak chcę się dostać do bazy z domu to w ogóle nie widzi takiego adresu. Jak przerzucam cały ruch to wtedy działa, jednak komputer o adresie 192.168.1.30 nie ma internetu. Jakieś pomysły?? Pozdrawiam, Dawid Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
hUBI Napisano Listopad 30, 2009 Zgłoszenie Share Napisano Listopad 30, 2009 Ale jest problem ponieważ po lanie ładnie to działa jednak jak chcę się dostać do bazy z domu to w ogóle nie widzi takiego adresu. Jak przerzucam cały ruch to wtedy działa, jednak komputer o adresie 192.168.1.30 nie ma internetu. Jakieś pomysły?? Dla mnie to co napisałeś jest za ciężkie do strawienia Czyli to przekierowanie do lokalnego serwera z internetu nie działa mimo tej reguły ? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się