Wax aad u badan markii la maareeyo server-yada ayaa wareejinaya taraafikada.
Ka soo qaad inaanu leenahay server leh adeegyo gaar ah oo socda, laakiin sabab kastoo aynu u badalno mid ka mid ah adeegyadaas (Ma garanayo, tusaale ahaan pop3 oo ah dekedda 110) server kale. Waxyaabaha caadiga ah iyo kuwa soo noqnoqda waxay noqon doonaan in si fudud loo beddelo IP-ga ku jira diiwaanka DNS, hase yeeshe haddii qof uu adeegsanayay IP-ga halkii uu ka isticmaali lahaa subdomain-ka waa la saameyn doonaa.
Maxaa la sameeyaa ... fudud, u wareeji taraafikada uu serverku ka helo dekeddaas una wareejiyo server kale oo isla dekedda ah.
Sideen ku bilaabi karnaa wareejinta taraafikada?
Waxa ugu horeeya waa inaan awoodno gudbinta serverka, tan waxaan u dhigeynaa waxyaabaha soo socda:
echo "1" > /proc/sys/net/ipv4/ip_forward
Waxaad sidoo kale adeegsan kartaa amarkan kale, haddiiba kii hore uusan kuu shaqeynaynin (sidan oo kale ayey igu dhacday CentOS):
sysctl net.ipv4.ip_forward=1
Kadib waxaan dib u bilaabi doonaa shabakada:
service networking restart
Gudaha 'RPM distros' sida CentOS iyo kuwa kale, waxay noqon laheyd:
service nertwork restart
Hadda waxaan u gudbi doonnaa waxa muhiimka ah, usheeg serverka Iptables maxaa loo weeciyaa:
iptables -t nat -A PREROUTING -p tcp --dport <puerto receptor> -j DNAT --to-destination <ip final>:<puerto de ip final>
Taasi waa, oo raacaysa tusaalihii aan soo sheegay, ka soo qaad in aan dooneyno in aan u rogno dhammaan taraafikada uu adeegeena ka helo dekedda 110 ee server kale (tusaale: 10.10.0.2), oo wali heli doonta taraafikadaas illaa 110 (waa isku adeeg):
iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to-destination 10.10.0.2:110
Adeegga 10.10.0.2 wuxuu arki doonaa in dhammaan baakadaha ama codsiyada ay ka yimaadeen IP-ga macmiilka, haddii ay doonayaan inay dabaashaan codsiyada, taas oo ah, in adeegga 2aad uu arko in codsiyada ay la yimaadeen IP-ka adeegga 1aad (iyo taas oo aan ku dabaqno dib u habeyn), sidoo kale waxay noqon laheyd xariiqdan labaad:
iptables -t nat -A POSTROUTING -j MASQUERADE
Su'aalaha iyo jawaabaha qaarkood
Tusaalaha waxaan u isticmaalay isla dekedda labada jeerba (110), sikastaba ha noqotee waxay dib udajin karaan taraafikada hal deked midna dhibaato la'aan. Tusaale ahaan, ka soo qaad inaan doonayo inaan taraafikada ka wareejiyo dekedda 80 illaa 443 ee server kale, tan waxay noqoneysaa:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.0.2:443
Tani waa IptablesWaxay isticmaali karaan dhammaan cabirrada kale ee aan ognahay, tusaale ahaan, haddii aan dooneyno oo keliya inaan dib uga wareejinno taraafikada IP gaar ah, waxay ku dari doontaa -s Example Tusaale ahaan waxaan dib u celin doonaa oo keliya taraafikada ka timaada 10.10.0.51:
iptables -t nat -A PREROUTING -p tcp -s 10.10.0.51 --dport 80 -j DNAT --to-destination 10.10.0.2:443
Ama shabakad dhan (/ 24):
iptables -t nat -A PREROUTING -p tcp -s 10.10.0.0/24 --dport 80 -j DNAT --to-destination 10.10.0.2:443
Waxaan sidoo kale qeexi karnaa iskuxirka shabakada oo leh -i :
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to-destination 10.10.0.2:443
Dhamaadka!
Tani sidaan horeyba u idhi, waa wax layaab leh, waad dalban kartaa wixii hore loo yiqiin si adeeguhu u sameeyo sida saxda ah ee aad rabto inuu sameeyo 😉
Waad ku mahadsan tahay!
Waxaan sidoo kale tan ka samayn karnaa gidaar-biyoodka u oggolaanaya gudbinta dekedda, sax? (adoo adeegsanaya xeerarka u dhigma).
Haa dabcan, aakhirka gidaar-gacmeedka sida Pfsense ama kuwa kale, ku isticmaal iptables gadaasha dambe.
Si aad u noqoto mid sax ah, pfsense ma isticmaalo iptables laakiin pf, xusuusnow inay tahay bsd gudaha ah.
Oh sax, aniga xun!
Aad baad ugu mahadsantahay tilmaanta 🙂
Waxaan qabaa laba shaki:
1 - Isbeddelku ma yahay mid joogto ah? mise wuu lumay markii dib loo bilaabayay serverka?
2 - Waxaan haystaa dhacdooyin badan (dheh A, B, iyo C) isla subnetka. Tusaale ahaan A waxaan ku dabaqayaa qaanuunka si loo mariyo taraafikada IP dibedda ah, iskuna dayo curls laga soo qaado dhacdooyinka B iyo C, wax walba waxay ku shaqeeyaan yaabab. Dhibaatadu waxay tahay tusaale ahaan A ma shaqeyso. Waxaan isku dayay anigoo isticmaalaya ip-gaaga iyo interface loopback labadaba, midkoodna ma shaqeynayo:
$ iptables -t nat -A PREROUTING -p tcp –dport 8080 -j DNAT –in loo socdo xxxx: 8080
$ iptables -t nat -A PREROUTING -p tcp -i lo –dport 8080 -j DNAT –to-caga xxxx: 8080
$ curl ip-yyyy: 8080 / hello_world
curl: (7) Ku guuldareystay inuu ku xirmo ip-yyyy dekedda 8080: Xiriirinta waa la diiday
$ curl localhost: 8080 / hello_world
curl: (7) Ku guuldaraystay inuu ku xidho dekedda localhost 8080: Xiriirinta waa la diiday
Wax fikrad ah maxay dhibaatadu noqon kartaa?
Haa, isbeddelka ayaa lagu lumiyay dib-u-soo-kabashada, waxaad u baahan doontaa inaad isticmaasho iptables-keydin & iptables-soo celin ama wax la mid ah si looga fogaado taas.
Ma fahmin waxa aad rabto inaad sameyso, tusaale A?
Waxaan hayaa adeege kaliya taageeraya isku xirnaanshaha ip (server A's) qaas ah, ma awoodo ama ma doonayo inaan kudar ips dheeraad ah ku daro whitelist-ka (arrimaha isku dheelitirka), sidaa darteed waxaan rabaa dhamaan taraafikada serverka dibada inay maraan wuxuu yiri server (A).
Arrin la taaban karo, waxaan hayaa qaabeyn caalami ah oo qeexeysa IP-ga loo adeegsanaayo adeeg kasta, marka kiiskan waa wax la mid ah "qof kasta oo doonaya inuu isticmaalo adeegga dibedda waa inuu adeegsadaa IP A"
Waxaan si guul leh ugu guuleystey tan anigoo adeegsanaya habka maqaalkan, laakiin waxaan ku dhacayaa dhibaatada markii la codsanayo, server A ma heli karo adeegga adoo adeegsanaya ip-kiisa gaarka ah (laakiin dhammaan server-yada kale ayaa sameeya).
Ilaa hadda sida ugu fiican ee aan helay waxay ahayd in lagu daro khariidadeynta faylka A's / iwm / faylasha martida, oo tilmaamaya ip-ga dibedda ah, kana sarreysa habka caalamiga ah.
Aad u wanaagsan, haddii aan haysto server kale oo boosteejo ah waxaan u gudbin karaa taraafikada dekedda 143 ee server1 illaa server2 iyo emayllada ayaa igu soo gaari doona server2, sax?
Salaan
Aragti ahaan haa, waxay u shaqeysaa sidan. Hubaal, waa inaad haysataa server-ka boostada oo si sax ah ugu rakiban server2 🙂
Noocyada qoraallada ah ee aan jecel nahay inaan aqrinno, mahadsanid!
Maqaal aad u fiican, waxaan hayaa mashruuc aan ku shaqeynayo oo aan doonayay inaan ku weydiiyo su'aal, waxaa jira shidmayaal warshadeed oo leh howlaha NAT (waxaan u maleynayaa inay isticmaalaan IPTables hoosta), si loo turjumo cinwaanka IP-ga iyadoon wax laga badalin qalabka, tusaale, waxaan leeyahay Server 10.10.2.1 oo la xiriirta 10.10.2.X kombiyuutarada iyo iyada oo loo marayo badhanka ayaa la qorsheeyay si markaa kombiyuutar cinwaankiisu yahay 192.168.2.4 dhab ahaan looga arko server ka 10.10.2.5, wuxuu u tarjumay cinwaanka IP-ga in la arko Laga soo bilaabo kombiyuutarada kale ee cinwaankaas leh, waxaan rabaa inaan ka sameeyo server leh Ubuntu ama qaybinta kale, maxay noqon laheyd xeerarka iptables?
Faahfaahin aad u wanaagsan mahadsanid you _ ^
Habeen wanaagsan.
Waxaan dhibaato ku qabaa isku day ah inaan sameeyo dib u jeedin. Waan sharxayaa:
Waxaan ku leeyahay wakiil wakiil Ubuntu, oo leh kaararka shabakadda 2:
eth0 = 192.168.1.1 waxay kuxirantahay inta kale ee shabakada deegaanka.
eth1 = 192.168.2.2 waxay kuxirantahay routerka.
Waxaan ubaahanahay wax kasta oo ka yimaada eth0 si aan u maro eth1, iyo waliba wakiil (waxaan isticmaalaa Squid, oo dekeddiisu tahay 3128), mana heli karo furaha qaabeynta IPTABLES.
Uma baahni xannibaad noocuu doono ha ahaadee, kaliya in diiwaanka uu kujiro qoraalka cinwaanada websaydhada la booqday.
Waxaan rajeynayaa inaad i caawin karto maxaa yeelay waa howl culus oo culeys igu haysay dhowr maalmood.
Waad ku mahadsan tahay.
Saaxiib, aad ayaan ugu cusbahay server-yada kale, wax fikrad ah kama haysto laakin waan fahamsanahay mawduuca si dhaqsi ahna wax baan u bartay, su'aashaydu waxay tahay tan soo socota waxaan haystaa 2 server serv_1 iyo serv_2 oo aan ku xidhay isla isla intraet-ka, adeegeyaashan waxaan ku leeyahay cod kor loo qaaday Waxaan jeclaan lahaa inaan sameeyo waxyaabaha soo socda:
in noocyo ka mid ah ips tusaale ahaan rangeip_1 marka la dhigayo ip-ka loo yaqaan 'ipcccloud' loo jiheysto dhinaca loo yaqaan 'serv_1' haddii ay tahay nooc kale 'waxaa la dhigayaa isla ipowncloud-ka loo yaqaan' serv_2 ', sidaas si ay 2da server u yaalliin laba magaalo oo kaladuwan iyo IP IP-gu way kala duwan yihiin laakiin dhamaantood waxay kuwada jiraan shabakad isku mid ah, taasi waxay noqoneysaa qaybta hore, tan labaadna waxay cadeyneysaa inay tahay in la iswaafajiyo labadan adeege si ay u noqdaan muraayadaha ama inay ila tashadaan si loo wanaajiyo ballaca band, fadlan, haddii aad dooneyso inaad ii sharaxdo sida loo sameeyo talaabo talaabo ah si aan u aheyn super programmer mode = (
Waad salaaman tahay, iga raali noqo, waxaan hayaa mas'uul ka ah isgaarsiinta dhamaan aaladaha ka kooban shabakadeyda, intaas ka dibna waxaa loo sameeyaa dab-damis iyo ugu dambeyn bixitaanka internetka, waxa dhacaya ayaa ah waxaan jeclaan lahaa in dib u wareejinta lagu siiyo beddel oo qasab ma aha inuu gaaro darbiga haddii adeegga la codsaday uusan ahayn internetka.
Adoo adeegsanaya qaabkan miyaad HTTPS u gudbin kartaa HTTP?
Waa salaaman tahay, laga yaabee inay inyar soo daahday, laakiin waxaan doonayay inaan ku weydiiyo, sidee baan u sameeyaa isxigxiga oo aanan wax uga beddelayn IP-ga macmiilka markaan rabo inaan ku xirnaado server-ka websaydhka isla shabakadda?
Ha iila dhaqmin si xun markaan weydiiyo. Tan ma lagu sameyn karaa Windows?
Macluumaadkani wax buu ii taray. Sida had iyo jeer ah, nimanyahow waa la aamini karaa, markaan wax ku heli waayo af-ingiriisiga waxaan aakhirka dhameeyaa isbaanishka, munaasabadahaas marwalba waxaan u imid boggan Mahadsanid.
Waxaan haystaa 4G router kaasoo macmiil u ah shabakad aanan maamulin (sida cad, waxaan ahay macmiil)… Intaa waxaa dheer, wuxuu sheegay in router uu buuxiyo shaqada gudbinta si uu u galo dekedda 80 ee server-ka mid ka mid ah subnets-yada berrinka.
Tani waxay ahayd caddayntii ay ahayd inaan ku dhejiyo router-ka sida xeerka caadiga ah ee firewall «-t nat -A POSTROUTING -j MASQUERADE»
Waad ku mahadsantahay caawimada!