Zavatra tena mahazatra rehefa mitantana ny lozisialy ny fitantanana ny fivezivezena.
Eritrereto hoe manana mpizara manana serivisy sasantsasany mihazakazaka isika, fa na inona na inona antony manova ny iray amin'ireo serivisy ireo (Tsy haiko, ohatra pop3 izay port 110) amin'ny mpizara hafa. Ny zavatra mahazatra sy matetika dia ny manova ny IP fotsiny ao amin'ny DNS record, na izany aza raha misy mampiasa IP fa tsy ilay subdomain dia ho voakasik'izany.
Ny hatao? ... tsotra, alefaso ny fivezivezena azon'ny mpizara amin'ny alàlan'io seranana io amin'ny serivera hafa miaraka amin'ilay seranana iray ihany.
Fanondroana
Ahoana no hanombohantsika mamily ny fifamoivoizana?
Ny zavatra voalohany dia tsy maintsy nampidirintsika ny nanatitra amin'ny mpizara, hametraka an'ity manaraka ity izahay:
echo "1" > /proc/sys/net/ipv4/ip_forward
Azonao atao koa ny mampiasa an'io baiko hafa io, raha toa ka tsy mandeha ho anao ilay teo aloha (nitranga tamiko toy izao ny tao amin'ny CentOS):
sysctl net.ipv4.ip_forward=1
Avy eo dia hamerina ny tambajotra izahay:
service networking restart
Ao amin'ny distros RPM toy ny CentOS sy ny hafa dia izao:
service nertwork restart
Handeha amin'ny zava-dehibe isika izao, lazao amin'ny alàlan'ny serivera iptables inona no haverina:
iptables -t nat -A PREROUTING -p tcp --dport <puerto receptor> -j DNAT --to-destination <ip final>:<puerto de ip final>
Raha lazaina amin'ny teny hafa, ary manaraka ny ohatra noresahiko, dia eritrereto fa te-hamindra ny fivezivezena rehetra azon'ny mpizara izahay amin'ny alàlan'ny port 110 mankany amin'ny mpizara hafa (ex: 10.10.0.2), izay mbola hahazo izany fifamoivoizana izany amin'ny alàlan'ny 110 (fanompoana mitovy io):
iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to-destination 10.10.0.2:110
Ny mpizara 10.10.0.2 dia hahita fa ny fonosana rehetra na ny fangatahana dia avy amin'ny IP an'ny mpanjifa, raha te-hilomano ireo fangatahana izy ireo, izany hoe mahita ny mpizara faha-2 fa tonga miaraka amin'ny IP an'ny mpizara 1st (ary ao amin'ny izay ampiharintsika ny redirection), io koa dia hametraka an'ity tsipika faharoa ity:
iptables -t nat -A POSTROUTING -j MASQUERADE
Fanontaniana sy valiny vitsivitsy
Amin'ny ohatra nampiasako ilay seranana iray mitovy indroa (110), na izany aza dia afaka mamindra ny fifamoivoizana avy amin'ny seranana iray mankany amin'ny iray hafa izy ireo nefa tsy misy olana. Ohatra, alaivo ohatra hoe te-hanitsy ny fifamoivoizana avy amin'ny seranan-tsambo 80 ka hatramin'ny 443 amin'ny mpizara hafa aho, satria izao dia:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.0.2:443
Izany dia iptables, azon'izy ireo ampiasaina ireo masontsivana hafa fantatsika, ohatra, raha tsy te-hamindra ny fifamoivoizana amin'ny IP manokana fotsiny isika, dia amin'ny fanampiana -s … Ohatra, ny fifamoivoizana izay avy amin'ny 10.10.0.51 ihany no haveriko:
iptables -t nat -A PREROUTING -p tcp -s 10.10.0.51 --dport 80 -j DNAT --to-destination 10.10.0.2:443
Na tambajotra iray manontolo (/ 24):
iptables -t nat -A PREROUTING -p tcp -s 10.10.0.0/24 --dport 80 -j DNAT --to-destination 10.10.0.2:443
Azontsika atao koa ny manondro ny interface network miaraka amin'ny -i :
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to-destination 10.10.0.2:443
Tapitra!
Io araka ny nolazaiko sahady, dia iptables, azonao ampiharina izay efa fantatra ka ny mpizara dia manao izay tianao tianao hatao 😉
Misaotra!
20 hevitra, avelao ny anao
Afaka manao an'io koa isika amin'ny firewall mamela ny fampitana seranan-tsambo, sa tsy izany? (fampiharana ny lalàna mifandraika amin'izany).
Eny mazava ho azy, amin'ny farany ny firewall toa an'i Pfsense na hafa, dia ampiasao iptables avy ao aoriana.
Raha ny tena marina dia tsy mampiasa iptables ny pfsense fa pf, tadidio fa bsd ao anatiny io.
Marina izany, ny ratsy!
Misaotra betsaka amin'ny tendrony 🙂
Manana fisalasalana roa aho:
1 - maharitra ve ny fanovana? sa ve very rehefa mamerina ny serivera?
2 - Manana tranga maromaro aho (milaza A, B ary C) amin'ny subnet iray ihany. Ohatra A dia ampihariko ny làlana handehanana ny fifamoivoizana mankany amin'ny IP ivelany, ary raha manandrana amin'ny curl avy amin'ny tranga B sy C aho, dia mahagaga daholo ny zava-drehetra. Ny olana dia raha ohatra A dia tsy mandeha izy. Nanandrana nampiasa ny ip sy ny interface loopback aho, ary samy tsy mandeha:
$ iptables -t nat -A PREROUTING -p tcp –dport 8080 -j DNAT –to ho any xxxx: 8080
$ iptables -t nat -A PREROUTING -p tcp -i lo –dport 8080 -j DNAT –to ho any xxxx: 8080
$ curl ip-yyyy: 8080 / hello_world
curl: (7) Tsy nety nifandray tamin'ny ip-yyyy port 8080: Nolavina ny fifandraisana
$ curl localhost: 8080 / hello_world
curl: (7) Tsy nety nifandray tamin'ny port localhost 8080: Nolavina ny fifandraisana
Misy hevitra inona ny olana?
Eny, very ny fiovana amin'ny famerenana amin'ny laoniny, tsy mila mampiasa iptables-save & iptables-restore ianao na zavatra toy izany hisorohana izany.
Tsy azoko loatra izay tianao hatao, ohatra A?
Manana mpizara izay tsy manohana afa-tsy fifandraisana amin'ny ip manokana (mpizara A's) aho, tsy afaka na te hanampy ips bebe kokoa amin'ny whitelist (ho an'ny olana momba ny fanitsiana), noho izany dia tiako ny handalovan'ny fivezivezena rehetra amin'ny mpizara ivelany hoy ny mpizara (A).
Ho an'ny maha-azo ampiharina dia manana fikirakira eran-tany aho izay mamaritra ny IP hampiasana isaky ny serivisy, ka amin'ity tranga ity dia toy ny "izay rehetra te hampiasa ny serivisy ivelany dia tokony hampiasa IP A"
Vitako tsara ity tamin'ny fampiasana ny fomba ato amin'ity lahatsoratra ity, saingy manana olana aho fa rehefa mampihatra azy dia tsy afaka miditra amin'ny serivisy mampiasa server azy manokana ny server A (fa ny server hafa rehetra kosa).
Hatreto ny tsara indrindra hitako dia ny manampy ny sarintany amin'ny rakitra A / etc / host an'ny server A, manondro ny ip ivelany, mihoatra ny sehatra manerantany.
Tena tsara, raha manana mpizara mailaka hafa aho dia azoko atao ny mandroso ny fifamoivoizana avy amin'ny port 143 manomboka amin'ny server1 ka hatramin'ny server2 ary hahatratra ny server2 ny mailaka, sa tsy izany?
Reply with quote
Raha ny teôria dia miasa toa izao. Azo antoka fa tsy maintsy apetrakao amin'ny server2 🙂 ny mpizara mailaka
Ireo karazana lahatsoratra tianay vakiana, misaotra!
Lahatsoratra tena tsara, manana tetik'asa iasako aho ary te hanontany anao fanontaniana iray, misy jiro indostrialy misy fiasan'ny NAT (heveriko fa mampiasa IPTables etsy ambany izy ireo), handikana adiresy IP nefa tsy manisy fanovana ny fitaovana, ohatra, manana Server aho 10.10.2.1 izay mifandray amin'ny solosaina 10.10.2.X ary amin'ny alàlan'ny switch dia voalamina mba hahafahan'ny solosaina manana adiresy 192.168.2.4 hita avy amin'ny mpizara ho 10.10.2.5, nandika izany adiresy IP izany izy Avy amin'ireo solosaina hafa misy an'io adiresy io dia tiako atao amin'ny mpizara amin'ny Ubuntu na fizarana hafa izany, inona no ho fitsipika iptables?
Fampahalalana tena tsara misaotra ^ _ ^
Good afternoon
Manana olana aho manandrana manao redirect. Azavaiko:
Manana mpizara proxy ao amin'ny Ubuntu aho, miaraka amina karatra tambajotra 2:
eth0 = 192.168.1.1 dia mifandray amin'ny sisa amin'ny tambajotra eo an-toerana.
eth1 = 192.168.2.2 dia mifandray amin'ny router.
Mila ny zavatra rehetra tonga amin'ny alàlan'ny eth0 aho handalo et1, ary koa amin'ny alàlan'ny proxy (mampiasa Squid aho, izay misy port default dia 3128), ary tsy hitako ny lakileny amin'ny fikirakirana IPTABLES.
Tsy mila fameperana na inona na inona karazana aho fa ny firaketana an-tsoratra dia mijanona ao anaty lohan'ireo adiresy tranonkala izay notsidihina.
Manantena aho fa afaka manampy ahy ianao satria asa manahirana be io izay nampanahy ahy nandritra ny roa andro.
Misaotra anao.
Ry namako, tena vaovao amin'ny mpizara hafa aho, tsy manam-kevitra aho fa azoko tsara ilay izy ary mianatra haingana aho, ny fanontaniako dia izao manaraka izao: manana seriver 2 serv_1 sy serv_2 aho izay nifandray tamina intranet iray ihany, amin'ireto serivera ireto dia manana ny fananganana azy manokana aho. Izao no tiako hatao:
fa misy karazana ips ohatra, ohatra rangeip_1 rehefa mametraka ip fidirana ho an'ny owncloud (ipowncloud) dia mankany amin'ny serv_1 ary raha rangeip_2 iray hafa napetraka ilay ipowncloud dia itodihana any amin'ny serv_2, izany mba hahitana ireo mpizara 2 any amin'ny tanàna roa samy hafa ary samy hafa ny laharan'ny IP fa samy ao anaty tambajotra iray ihany izy ireo, izany no ho tapany voalohany, ny faharoa kosa ho mazava dia ny fampifanarahana ireo mpizara 2 ireo mba ho fitaratra na koa anoroany ahy izany mba hanatsara ny sakany azafady, azafady, raha hanazava amiko ny fomba anaovanao azy tsikelikely ianao fa aza atao maody programmer = (
Salama, azafady, manana switch aho hiandraikitra ny fifandraisana amin'ireo fitaovana rehetra mandrafitra ny tambajotranoko, ary aorian'izany dia rindrina firewall ary farany ny fivoahan'ny Internet, ny zava-mitranga dia tiako ny hanomezana izany fanovana izany ao amin'ny mifamadika ary tsy mila mahatratra ny firewall raha tsy internet no serivisy nangatahina.
Amin'ny fampiasana an'ity fomba ity dia azonao atao ve ny mamindra HTTPS mankany HTTP?
Salama, somary tara ihany angamba, fa te hanontany anao aho, ahoana no tokony hataoko mba tsy hanovana ny IP an'ny mpanjifa rehefa te hifandray amin'ny mpizara tranonkala amin'ny tambajotra iray ihany aho?
Aza mitondra ahy ratsy amin'ny fangatahana. Afaka atao amin'ny Windows ve izany?
Nahasoa ahy io fampahalalana io. Toy ny mahazatra, azo atokisana ianareo ry zalahy, rehefa tsy mahita zavatra amin'ny teny Anglisy aho matetika dia mijery amin'ny teny Espaniôla, amin'ireo fotoana izay saika tonga eto amin'ity tranonkala ity foana aho. Misaotra.
Manana router 4G aho izay mpanjifan'ny tambajotra iray izay tsy tantaniko (mazava ho azy fa mpanjifa aho)… ity router ity dia vavahady mankany amin'io tambajotra lavitra io amin'ny alàlan'ny OpenVPN. Ankoatr'izay, ny router dia manatanteraka ny asan'ny portforwarding mba hidirana amin'ny seranan-tsambo 80 an'ny mpizara iray amin'ireo subnets eny an-tsaha.
Ity no fanambarana tsy maintsy napetrako tao amin'ny router ho fitsipika fanao amin'ny firewall "-t nat -A POSTROUTING -j MASQUERADE"
Misaotra amin'ny fanampiana!