Настройки iptables для транзита на другой сервер?

Question

Сергей @kRosis

Настройки iptables для транзита на другой сервер?

Доброго времени суток.
Есть две тачки с debian и WS. На WS стоит IIS с кучей сайтов, все они сейчас смотрят в интернет, нужно спрятать их за тачку с debian.
Debian тачка имеет два сетевых интерфейса:
eth0 22.22.22.22 - интернет
eth1 192.168.1.100 - локалка
WS:
eth0 33.33.33.33
eth1 192.168.1.200
Локалка общая, тачки друг друга пингуют по локалке.

Я делаю так:

iptables -F
iptables -t nat -F
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 9090 -j ACCEPT # хочу через этот порт пустить трафик

#Пакеты с нужного адреса заворачиваем на компьютер
iptables -t nat -A PREROUTING -s 22.22.22.22 --sport 8172 -i eth0 -j DNAT --to-destination 196.168.1.200 --dport 9090
#Разрешаем эти пакеты
iptables -t filter -A FORWARD -s 22.22.22.22 -d 192.168.1.200 -j ACCEPT
#Получаем интернет в локалке
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 22.22.22.22
#Прописываем путь пакета с debian до WS
iptables -t nat -A POSTROUTING -d 192.168.1.200 --sport 9090 -s 192.168.1.0/24 -j SNAT --to-source  192.168.1.100 --dport 9090
#Меняем адрес источника на поддельный
iptables -t nat -A POSTROUTING -s 22.22.22.22 -j SNAT --to-source 192.168.1.150
#Добавляем новый адрес роутеру XX - любое незанятое в локалке число
ip addr add 192.168.1.150/24 dev eth1
#где .150 - не занятый локальный адрес

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Но что-то идёт не так.
Если что текст перепечатывал, чтоб ещё раз продумать, могут быть очепятки, но при выполнении скрипта ошибок не выдаёт.

Вопрос задан более трёх лет назад
1431 просмотр

6 комментариев

Подписаться 1 Средний 6 комментариев

krosh @krosh

Когда Вы прячете WS внутрь локальной сети, внешний интерфейс 33.33.33.33 остается активным?
Какой маршрут по умолчанию на WS?
Какой смысл подменять адрес на 192.168.1.150?
Покажите полностью цепочку FORWARD.

Написано более трёх лет назад
Виктор Бельский @Belyj

Вы тут что-то совсем непонятное написали. Если вы хотите чтобы сайты были доступны по адресу 22.22.22.22, то зачем форвардите только порт 9090, да еще указываете порт источника 8172. Зачем вам какой-то адрес 192.168.1.150? Или у сервера с Debian просто нет адреса на интерфейсе eth1?

Написано более трёх лет назад
Сергей @kRosis Автор вопроса

krosh, 1. да
2. network 00.00.00.00 netmask 00.00.00.00 gateway 33.33.33.1
3. Чтоб пакет с WS вернулся на сервак с Debian, а не напрямую в интернет ушёл.
4. Форвард вся.

Виктор Бельский, 8172 - опечатка, там 9090, извиняюсь.
Я хочу чтобы две тачки связывались через назначенный порт, если для множества портов, то порты я так понимаю указывать не нужно?
Адрес есть, .150 дополнительный, чтобы пакет вернулся с WS на debian, а не напрямую ушёл к пользователю.

Добавлю, что на debian сервере стоит nginx, который исполняет роль реверс прокси, но с настройками iptables по умолчанию, не работает, возвращает ошибку.

Написано более трёх лет назад
krosh @krosh

Сергей, и еще с WS проверьте, чтобы был пинг и трейс до 192.168.1.100. Если нет, то нужно добавить статический маршрут.

Написано более трёх лет назад
Сергей @kRosis Автор вопроса

krosh, Трейс и пинг с WS работает, с debian только ping идёт.
А по какой схеме идёт пакет:
internet > server debian (iptables > nginx) > ws?
Или nginx внутри правил iptables проходит, т.е. prerouting > input > nginx > output > postrouting?
Не знаете?

Написано более трёх лет назад
krosh @krosh

Сергей, важно, чтобы пакеты с Дебиана возвращались на него же, иначе схема с пробросом работать не будет. Пакеты могут уходить на шлюз по умолчанию, там и теряться.

Путь прохождения пакета зависит от конечной цели: локальный процесс (nginx) или удаленный хост (iptables-NAT). Но цепочки PREROUTING и POSTROUTING пакет проходит в лбом случае. Только разница в том что, когда пакет идет к ngix, то преобразования в этих цепочках не нужны, и мы их не используем, а когда пакет маршрутизируется дальше в сеть - вносим изменения.

Разница между nginx и iptables-NAT еще и в том, что первый работает как прокси, пакет не пересылает, а сам генерирует новый с запросом уже к WS. Второй - пакет остается, только меняются адреса в заголовке.

Используя nginx пишем правила для цепочек: INPUT. iptables-NAT - PREROUTING, POSTROUTING и FORWARD.

Если Вам нужно организовать доступ только веб-сервера (хоть и на нестандартном порту), то лучше все же изучить proxy_pass nginx'a. Тут есть бонус, можно в заголовке передавать реальный адрес источника, так что в логах вы будете видеть не просто ип-адрес роутера, а именно клиента, сделавшего запрос.

Кстати, надеюсь
cat /proc/sys/net/ipv4/ip_forward
показывает 1?

И проверьте файерволл на WS, чтобы он разрешал debian запросы на 9090.

Написано более трёх лет назад

Решения вопроса 1

3 комментария

Сергей @kRosis Автор вопроса

krosh, В общем через 443 порт всё работает, нужный сайт на iis спрятался за nginx (правда не пингуется теперь). Пришлось психануть и разрешить цепочке форвард 80,443 порты, потом выясню методом тыка какой оставить..
На WS в фаерволле поставил ещё один порт с разрешением на всё что можно, nginx перенастроил на этот порт и почему-то всё равно не хочет.. буду играть с настройками.

Кстати раз цепочка форвард влияет, то получается nginx идёт после правил iptables.
И ещё, спасибо, что откликнулись.

Написано более трёх лет назад
krosh @krosh

Сергей, если пришлось добавлять правила в цепочку FORWARD, то Вы пользуетесь пробросом портов, а не nginx. Проверьте настройки.

Вот схема про порядок прохождения трафика: https://commons.wikimedia.org/wiki/File:Netfilter-...

Nginx - локальный процесс и он не может "идти в обход". Весь сетевой трафик в linux проходит путь описанный на схеме.

Написано более трёх лет назад
Сергей @kRosis Автор вопроса

krosh, Да, я уже разобрался, что да как.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+1 ещё

Простой
Что делать, если пишет «error: unknown filesystem Enering rescue mode... grub rescue>»?
- 1 подписчик
- вчера
- 108 просмотров
2

ответа
Windows

+2 ещё

Простой
Как решить обрывы RDP сесиии при подключении из другого VLNа?
- 2 подписчика
- вчера
- 227 просмотров
0

ответов
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- 17 апр.
- 143 просмотра
0

ответов
Windows Server

+2 ещё

Средний
Как запретить смену пароля на определенных учетных записях в AD?
- 1 подписчик
- 17 апр.
- 74 просмотра
1

ответ
Debian

Простой
Почему не работает выделение мышкой в nano?
- 1 подписчик
- 17 апр.
- 32 просмотра
0

ответов
Windows Server

+2 ещё

Средний
Как восстановить работу Active Directory в связке Mikrotik + Windows Server?
- 2 подписчика
- 17 апр.
- 201 просмотр
1

ответ
Debian

+1 ещё

Простой
Как установить debian 12 без флешки usb?
- 1 подписчик
- 16 апр.
- 76 просмотров
1

ответ
Windows Server

+3 ещё

Простой
Почему теряется владелец файла при создании копии?
- 1 подписчик
- 16 апр.
- 80 просмотров
2

ответа
Linux

+1 ещё

Простой
Как отправить письмо через mutt из терминала одной строкой?
- 1 подписчик
- 16 апр.
- 71 просмотр
1

ответ
Windows Server

+2 ещё

Простой
Почему не работает проброс портов на SMB?
- 2 подписчика
- 16 апр.
- 119 просмотров
0

ответов
Показать ещё Загружается…

Ведущий системный администратор

Москворечье Трейдинг • Москва

от 170 000 ₽

Младший системный администратор

LuckyDucky • Москва

от 50 000 до 70 000 ₽

Ведущий системный администратор

U-System • Воронеж

от 120 000 ₽

[python,go] Залить ВИДЕО в тикток

19 апр. 2024, в 23:00

5000 руб./за проект

Разработка VST-плагина

19 апр. 2024, в 20:43

20000 руб./за проект

Нарисовать баннер для интернет-магазина

19 апр. 2024, в 20:35

500 руб./в час

Когда Вы прячете WS внутрь локальной сети, внешний интерфейс 33.33.33.33 остается активным?
Какой маршрут по умолчанию на WS?
Какой смысл подменять адрес на 192.168.1.150?
Покажите полностью цепочку FORWARD.
Вы тут что-то совсем непонятное написали. Если вы хотите чтобы сайты были доступны по адресу 22.22.22.22, то зачем форвардите только порт 9090, да еще указываете порт источника 8172. Зачем вам какой-то адрес 192.168.1.150? Или у сервера с Debian просто нет адреса на интерфейсе eth1?
krosh, 1. да
2. network 00.00.00.00 netmask 00.00.00.00 gateway 33.33.33.1
3. Чтоб пакет с WS вернулся на сервак с Debian, а не напрямую в интернет ушёл.
4. Форвард вся.

Виктор Бельский, 8172 - опечатка, там 9090, извиняюсь.
Я хочу чтобы две тачки связывались через назначенный порт, если для множества портов, то порты я так понимаю указывать не нужно?
Адрес есть, .150 дополнительный, чтобы пакет вернулся с WS на debian, а не напрямую ушёл к пользователю.

Добавлю, что на debian сервере стоит nginx, который исполняет роль реверс прокси, но с настройками iptables по умолчанию, не работает, возвращает ошибку.
Сергей, и еще с WS проверьте, чтобы был пинг и трейс до 192.168.1.100. Если нет, то нужно добавить статический маршрут.
krosh, Трейс и пинг с WS работает, с debian только ping идёт.
А по какой схеме идёт пакет:
internet > server debian (iptables > nginx) > ws?
Или nginx внутри правил iptables проходит, т.е. prerouting > input > nginx > output > postrouting?
Не знаете?

Answer 1 · 2017-11-03 10:32:23

Что-то у Вас каша с правилами. Чтобы порт пробросить в локальную сеть нужно три правила в цепочках: PREROUTING, POSTROUTING и FORWARD.

Попробуйте почистить все и использовать такие:

#Пакеты с нужного адреса заворачиваем на компьютер
iptables -t nat -A PREROUTING -d 22.22.22.22 --dport 9090 -i eth0 -j DNAT --to-destination 196.168.1.200:9090

#Получаем интернет в локалке - это не обязательно, если инет через другой шлюз
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 22.22.22.22

#Меняем адрес источника на локальный
iptables -t nat -A POSTROUTING -d 196.168.1.200 -p tcp -m tcp --dport 9090 -j SNAT --to-source 196.168.1.100

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m comment --comment "ALLOW Установленные соединения" -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 9090 -m comment --comment "ALLOW LAN all 9090" -j ACCEPT

Цепочка INPUT не влияет на проходящий трафик, можете правило для 9090 от туда удалять.

Если у Debian есть .100, то не вижу смысла ему еще выдавать какой-то.

Answer 2 · 2017-11-08 11:18:36

Кому интересно конечный конфиг у меня такой:

# Пакеты с нужного адреса заворачиваем на компьютер
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 9090 -d $ip-deb -i eth0 \
-j DNAT --to-destination $local-ip-ws:9090

# Меняем адрес источника на локальный, не использую т.к. я так понял это надо для общения компьютеров внутри сети через внешний сервер, а оно мне не надо.
#/sbin/iptables -t nat -A POSTROUTING -d $local-ip-ws -p tcp \
#-m tcp  -j SNAT --to-source $local-ip-deb

# Разрешаем соединение для новых, прошедших проверку, пакетов
/sbin/iptables -A FORWARD -p tcp -m conntrack --ctstate NEW \
-m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# Разрешаем прохождение пакетов для порта через FORWARD
/sbin/iptables -A FORWARD -p tcp -m tcp --dport 9090 -j ACCEPT

nginx почему-то не хотел работать, если прописывать просто listen 80; или listen 443 ssl;
зато заработало listen ip-deb:80; и listen ip-deb:443 ssl;

Настройки iptables для транзита на другой сервер?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт