Trácht a atreorú ó IP amháin agus ó chalafort go IP agus calafort eile

Rud an-choitianta agus freastalaithe á mbainistiú ná trácht a atreorú.

Cuir i gcás go bhfuil freastalaí againn le seirbhísí áirithe ag rith, ach ar chúis ar bith athraímid ceann de na seirbhísí sin (Níl a fhios agam, mar shampla pop3, port 110) chuig freastalaí eile. Is é an rud is gnách agus is minice ná an IP a athrú sa taifead DNS, ach má bhí duine ag úsáid an IP in ionad an fho-fearainn beidh tionchar air.

Cad atá le déanamh? ... simplí, atreorú an trácht a fhaigheann an freastalaí sin tríd an gcalafort sin chuig freastalaí eile a bhfuil an calafort céanna aige.

freastalaí-nód-lan-ethernet

Conas a thosóimid ag atreorú tráchta?

Is é an chéad rud ná go gcaithfimid an ar aghaidh cuirfimid an méid seo a leanas ar an bhfreastalaí:

echo "1" > /proc/sys/net/ipv4/ip_forward

Caithfear na horduithe uile a thaispeántar sa rang teagaisc seo a fhorghníomhú le pribhléidí riaracháin, molaim iad a fhorghníomhú go díreach leis an bhfréamh-úsáideoir.

Is féidir leat an t-ordú eile seo a úsáid freisin, ar eagla nach n-oibreodh an ceann roimhe seo duit (tharla sé dom mar seo ar CentOS):
sysctl net.ipv4.ip_forward=1
Ansin déanfaimid an líonra a atosú:

service networking restart

I distros RPM cosúil le CentOS agus eile, bheadh:

service nertwork restart

Anois bogfaimid ar aghaidh go dtí an rud tábhachtach, inis don fhreastalaí tríd iptables cad atá le atreorú:

iptables -t nat -A PREROUTING -p tcp --dport <puerto receptor> -j DNAT --to-destination <ip final>:<puerto de ip final>

Is é sin le rá, agus an sampla a luaigh mé a leanúint, is dócha go dteastaíonn uainn an trácht go léir a fhaigheann ár bhfreastalaí trí chalafort 110 a atreorú chuig freastalaí eile (ex: 10.10.0.2), a gheobhaidh an trácht sin fós trí 110 (is í an tseirbhís chéanna í):

iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to-destination 10.10.0.2:110

Feicfidh an freastalaí 10.10.0.2 go dtagann gach paicéad nó iarratas ó IP an chliaint, ar eagla go mbeadh sé ag iarraidh na hiarrataí a shnámh, is é sin, go bhfeiceann an 2ú freastalaí go dtagann na hiarrataí le IP an 1ú freastalaí (agus sa a gcuirimid an atreorú i bhfeidhm air), bheadh ​​sé chun an dara líne seo a chur:

iptables -t nat -A POSTROUTING -j MASQUERADE

Roinnt ceisteanna agus freagraí

Sa sampla d’úsáid mé an calafort céanna an dá ócáid ​​(110), áfach, is féidir leo trácht a atreorú ó chalafort amháin go calafort eile gan fadhbanna. Mar shampla, is dócha gur mhaith liom trácht a atreorú ó chalafort 80 go 443 ar fhreastalaí eile, chuige seo a bheadh:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.0.2:443

Tá sé seo iptables, is féidir leo na paraiméadair eile go léir atá ar eolas againn a úsáid, mar shampla, mura dteastaíonn uainn ach trácht a atreorú ó IP ar leith, bheadh ​​sé ag cur -s … Mar shampla, ní dhéanfaidh mé ach an trácht a thagann ó 10.10.0.51 a atreorú:

iptables -t nat -A PREROUTING -p tcp -s 10.10.0.51 --dport 80 -j DNAT --to-destination 10.10.0.2:443

Nó líonra iomlán (/ 24):

iptables -t nat -A PREROUTING -p tcp -s 10.10.0.0/24 --dport 80 -j DNAT --to-destination 10.10.0.2:443

Is féidir linn an comhéadan líonra le -i a shonrú freisin :

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to-destination 10.10.0.2:443

An deireadh!

Is iptables é seo, mar a dúirt mé cheana, is féidir leat an méid atá ar eolas cheana a chur i bhfeidhm ionas go ndéanann an freastalaí go díreach an rud atá tú ag iarraidh air a dhéanamh 😉

Beannachtaí!

TiomnaitheServer_SubImage


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

19 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   Fer a dúirt

    Is féidir linn é seo a dhéanamh freisin ó bhalla dóiteáin a cheadaíonn calafoirt a chur ar aghaidh, ceart? (na rialacha comhfhreagracha a chur i bhfeidhm).

    1.    KZKG ^ Gaara a dúirt

      Sea, ar ndóigh, sa deireadh balla dóiteáin mar Pfsense nó daoine eile, bain úsáid as iptables ón gcúl.

      1.    dhunter a dúirt

        Le bheith cruinn, ní úsáideann pfsense iptables ach pf, cuimhnigh gur bsd atá ann.

        1.    KZKG ^ Gaara a dúirt

          Ó ceart, mo olc!

  2.   Nicolas a dúirt

    Go raibh míle maith agat as an leid 🙂

    Tá cúpla amhras orm:
    1 - An bhfuil an t-athrú buan? nó an gcailltear é agus an freastalaí á atosú?
    2 - Tá iliomad cásanna agam (abair A, B, agus C) ar an bhfo-ghréasán céanna. I gcás A cuirim an riail i bhfeidhm maidir le trácht a chur chuig IP seachtrach, agus tástáil le gcuacha ó chásanna B agus C, oibríonn gach rud iontais. Is í an fhadhb ná nach n-oibríonn sé ó shampla A. Rinne mé iarracht do ip agus an comhéadan loopback araon a úsáid, agus ní oibríonn ceachtar acu:
    $ iptables -t nat -A PREROUTING -p tcp –dport 8080 -j DNAT –to-gceann scríbe xxxx: 8080
    $ iptables -t nat -A PREROUTING -p tcp -i lo –dport 8080 -j DNAT –to-gceann scríbe xxxx: 8080

    $ curl ip-yyyy: 8080 / hello_world
    curl: (7) Theip ar nascadh le calafort ip-yyyy 8080: Diúltaíodh an nasc
    $ curl localhost: 8080 / hello_world
    curl: (7) Theip ar nascadh le calafort localhost 8080: Diúltaíodh an nasc

    Aon smaoineamh cén fhadhb a d’fhéadfadh a bheith ann?

    1.    KZKG ^ Gaara a dúirt

      Sea, cailltear an t-athrú ar atosaigh, beidh ort iptables-save & iptables-adfer nó rud éigin mar sin a úsáid chun é sin a sheachaint.
      Níor thuig mé go maith cad ba mhaith leat a dhéanamh, mar shampla A?

      1.    Nicolas a dúirt

        Tá freastalaí agam nach dtacaíonn ach le naisc ó ip áirithe (freastalaí A), ní féidir liom nó ba mhaith liom níos mó ips a chur leis an liostálaí (le haghaidh saincheisteanna scalability), mar sin ba mhaith liom go rachadh an trácht go léir chuig an bhfreastalaí seachtrach tríd. arsa freastalaí (A).
        Ar mhaithe le praiticiúlacht, tá cumraíochtaí domhanda agam a shainíonn cén IP atá le húsáid do gach seirbhís, mar sin sa chás seo tá sé cosúil le "caithfidh gach duine atá ag iarraidh an tseirbhís sheachtrach IP A a úsáid"
        D'éirigh liom é seo a bhaint amach ag baint úsáide as an modh san alt seo, ach tá fadhb agam nach féidir le freastalaí A rochtain a fháil ar an tseirbhís trí úsáid a bhaint as a ip féin (ach déanann gach freastalaí eile é).
        Go dtí seo b’fhearr liom an mhapáil a chur i gcomhad freastalaí A / etc / hóstach, ag tagairt don ip seachtrach, ag sárú an tsuímh dhomhanda.

  3.   braybaut a dúirt

    An-mhaith, má tá freastalaí ríomhphoist eile agam, d’fhéadfainn an trácht a chur ar aghaidh ó chalafort 143 ó fhreastalaí1 go freastalaí2 agus sroichfidh na ríomhphoist mé ar server2, ceart?

    Maidir is

    1.    KZKG ^ Gaara a dúirt

      Go teoiriciúil sea, oibríonn sé mar seo. Cinnte, ní mór duit an freastalaí ríomhphoist a bheith suiteáilte i gceart ar server2 🙂

  4.   msx a dúirt

    An cineál post is maith linn a léamh, go raibh maith agat!

  5.   abraham ibarra a dúirt

    Alt den scoth, tá tionscadal agam ina bhfuilim ag obair agus theastaigh uaim ceist a chur ort, tá lasca tionsclaíocha le feidhm NAT (is dóigh liom go n-úsáideann siad IPTables thíos), chun seoladh IP a aistriú gan athruithe a dhéanamh ar an trealamh, mar shampla, tá Freastalaí agam. 10.10.2.1 a dhéanann cumarsáid le ríomhairí 10.10.2.X agus tríd an lasc cláraithe ionas go bhfeictear ríomhaire ag a bhfuil seoladh 192.168.2.4 ón bhfreastalaí i ndáiríre mar 10.10.2.5, d’aistrigh sé an seoladh IP sin atá le feiceáil Ó na ríomhairí eile leis an seoladh sin, ba mhaith liom é a dhéanamh ó fhreastalaí le Ubuntu nó dáileadh eile, cad iad na rialacha iptables?

  6.   Kuk a dúirt

    Eolas an-mhaith go raibh maith agat ^ _ ^

  7.   Yisus a dúirt

    Dea-tráthnóna.
    Tá fadhb agam ag iarraidh atreorú a dhéanamh. Míneoidh mé:
    Tá seachfhreastalaí agam in Ubuntu, le 2 chárta líonra:
    tá eth0 = 192.168.1.1 ceangailte leis an gcuid eile den líonra áitiúil.
    tá eth1 = 192.168.2.2 ceangailte leis an ródaire.
    Teastaíonn gach rud a thagann trí eth0 chun dul trí eth1, agus tríd an seachfhreastalaí freisin (úsáidim Squid, arb é a phort réamhshocraithe 3128), agus ní féidir liom an eochair i gcumraíocht IPTABLES a fháil.
    Ní theastaíonn srian de chineál ar bith orm, ach go bhfanann taifead i log na seoltaí gréasáin a dtugtar cuairt orthu.

    Tá súil agam gur féidir leat cabhrú liom mar is tasc an-deacair é atá ag déanamh imní dom le cúpla lá.

    Go raibh maith agat.

  8.   Gabriel a dúirt

    A chara, táim an-nua le freastalaithe eile, níl aon smaoineamh agam ach tuigim an t-ábhar agus foghlaimím go gasta, is í an cheist atá agam ná 2 fhreastalaí serv_1 agus serv_2 atá ceangailte agam leis an inlíon céanna, sna freastalaithe seo tá setcloud curtha ar bun agam, Ba mhaith liom na rudaí seo a leanas a dhéanamh:

    go bhfuil raon áirithe ips mar shampla rangeip_1 agus ip rochtana á chur ar an owncloud (ipowncloud) dírithe i dtreo an serv_1 agus más raonip_2 eile é a chuirtear an ipowncloud céanna chuig an serv_2, déantar é seo ionas go mbeidh an 2 fhreastalaí lonnaithe in dhá chathair dhifriúla agus tá na raonta ip difriúil ach tá siad uile ar an líonra céanna, sin an chéad chuid, bheadh ​​an dara ceann soiléir ná an 2 fhreastalaí seo a shioncronú ionas gur scátháin iad nó go dtugann siad comhairle dom chun an leithead a bharrfheabhsú banda, le do thoil, má tá tú chun míniú a thabhairt dom conas é a dhéanamh céim ar chéim gan mód sárchláraitheora a dhéanamh = (

  9.   Antonio Carrizosa a dúirt

    Dia duit, gabh mo leithscéal, tá lasc agam atá i gceannas ar chumarsáid na bhfeistí go léir atá mar chuid de mo líonra, agus tar éis seo balla dóiteáin agus an bealach amach ar an Idirlíon sa deireadh, is é an rud a tharlóidh ná gur mhaith liom go dtabharfaí an atreorú sa aistrigh agus ní gá di an balla dóiteáin a bhaint amach mura bhfuil an tseirbhís iarrtha ar an idirlíon.

  10.   John a dúirt

    Agus an modh seo á úsáid agat an bhféadfá HTTPS a atreorú chuig HTTP?

  11.   mati a dúirt

    Dia duit, b’fhéidir go bhfuil sé rud beag déanach, ach theastaigh uaim ceist a chur ort, cén chaoi ar cheart dom scuid a dhéanamh gan IP an chliaint a mhodhnú nuair is mian liom ceangal le freastalaí gréasáin ar an líonra céanna?

  12.   Lafat32 a dúirt

    Ná caith go dona liom ceist a chur. An féidir é seo a dhéanamh i Windows?

  13.   Martin a dúirt

    Bhí an fhaisnéis seo úsáideach dom. Mar is gnáth, is féidir muinín a bheith agat as daoine, nuair nach féidir liom rud éigin a fháil i mBéarla is gnách liom breathnú i Spáinnis, ar na hócáidí sin tagaim ar an suíomh seo beagnach i gcónaí.