சேவையகங்களை நிர்வகிக்கும் போது மிகவும் பொதுவான ஒன்று போக்குவரத்தை திருப்பி விடுகிறது.
சில சேவைகள் இயங்கும் ஒரு சேவையகம் எங்களிடம் உள்ளது என்று வைத்துக்கொள்வோம், ஆனால் எந்த காரணத்திற்காகவும் அந்த சேவைகளில் ஒன்றை மாற்றுவோம் (எனக்குத் தெரியாது, எடுத்துக்காட்டாக பாப் 3 இது போர்ட் 110 ஆகும்) மற்றொரு சேவையகத்திற்கு. டி.என்.எஸ் பதிவில் ஐ.பியை மாற்றுவதே இயல்பான மற்றும் அடிக்கடி நிகழும் விஷயம், இருப்பினும் யாரோ சப்டொமைனுக்கு பதிலாக ஐ.பியைப் பயன்படுத்தினால் அது பாதிக்கப்படும்.
என்ன செய்ய? ... எளிமையானது, அந்த துறைமுகத்தின் மூலம் சேவையகம் பெறும் போக்குவரத்தை அதே துறைமுகத்துடன் மற்றொரு சேவையகத்திற்கு திருப்பி விடுங்கள்.
போக்குவரத்தை திருப்பிவிட எப்படி தொடங்குவது?
முதல் விஷயம் என்னவென்றால், நாம் அதை இயக்கியிருக்க வேண்டும் பகிர்தல் சேவையகத்தில், இதற்காக நாம் பின்வருவனவற்றை வைப்போம்:
echo "1" > /proc/sys/net/ipv4/ip_forward
முந்தைய கட்டளை உங்களுக்கு வேலை செய்யாவிட்டால், இந்த மற்ற கட்டளையையும் நீங்கள் பயன்படுத்தலாம் (இது ஒரு CentOS இல் எனக்கு ஏற்பட்டது):
sysctl net.ipv4.ip_forward=1
பிணையத்தை மறுதொடக்கம் செய்வோம்:
service networking restart
சென்டோஸ் மற்றும் பிற போன்ற ஆர்.பி.எம் டிஸ்ட்ரோக்களில், இது பின்வருமாறு:
service nertwork restart
இப்போது நாம் முக்கியமான விஷயத்திற்கு செல்வோம், சேவையகத்தின் மூலம் சொல்லுங்கள் இப்போது iptables திருப்பிவிட என்ன:
iptables -t nat -A PREROUTING -p tcp --dport <puerto receptor> -j DNAT --to-destination <ip final>:<puerto de ip final>
அதாவது, நான் குறிப்பிட்ட உதாரணத்தைப் பின்பற்றி, போர்ட் 110 வழியாக எங்கள் சேவையகம் பெறும் அனைத்து போக்குவரத்தையும் மற்றொரு சேவையகத்திற்கு திருப்பிவிட விரும்புகிறோம் என்று வைத்துக்கொள்வோம் (எ.கா: 10.10.0.2), இது 110 (அந்த போக்குவரத்தை இன்னும் பெறும்அது அதே சேவை):
iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to-destination 10.10.0.2:110
10.10.0.2 சேவையகம் வாடிக்கையாளரின் ஐபியிலிருந்து அனைத்து பாக்கெட்டுகள் அல்லது கோரிக்கைகள் வந்திருப்பதைக் காண்பார்கள், அவர்கள் கோரிக்கைகளை நீந்த விரும்பினால், அதாவது, 2 வது சேவையகம் கோரிக்கைகள் 1 வது சேவையகத்தின் ஐபி உடன் வருவதைக் காண்கிறது (மற்றும் இதை நாங்கள் திசைதிருப்பலைப் பயன்படுத்துகிறோம்), இந்த இரண்டாவது வரியையும் வைக்க வேண்டும்:
iptables -t nat -A POSTROUTING -j MASQUERADE
சில கேள்விகள் மற்றும் பதில்கள்
எடுத்துக்காட்டில் நான் இரண்டு சந்தர்ப்பங்களிலும் ஒரே துறைமுகத்தைப் பயன்படுத்தினேன் (110), இருப்பினும் அவை போக்குவரத்தை ஒரு துறைமுகத்திலிருந்து இன்னொரு துறைமுகத்திற்கு பிரச்சினைகள் இல்லாமல் திருப்பி விடலாம். எடுத்துக்காட்டாக, மற்றொரு சேவையகத்தில் போக்குவரத்தை 80 முதல் 443 வரை திருப்பிவிட விரும்புகிறேன் என்று வைத்துக்கொள்வோம், இதற்காக இது இருக்கும்:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.0.2:443
இதுதான் இப்போது iptables, எங்களுக்குத் தெரிந்த மற்ற எல்லா அளவுருக்களையும் அவர்கள் பயன்படுத்தலாம், எடுத்துக்காட்டாக, ஒரு குறிப்பிட்ட ஐபியிலிருந்து போக்குவரத்தை திருப்பி விட விரும்பினால், அது -s ஐ சேர்க்கும் … எடுத்துக்காட்டாக, 10.10.0.51 இலிருந்து வரும் போக்குவரத்தை மட்டுமே நான் திருப்பி விடுகிறேன்:
iptables -t nat -A PREROUTING -p tcp -s 10.10.0.51 --dport 80 -j DNAT --to-destination 10.10.0.2:443
அல்லது முழு நெட்வொர்க் (/ 24):
iptables -t nat -A PREROUTING -p tcp -s 10.10.0.0/24 --dport 80 -j DNAT --to-destination 10.10.0.2:443
நாம் -i உடன் பிணைய இடைமுகத்தையும் குறிப்பிடலாம் :
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to-destination 10.10.0.2:443
முற்றும்!
இது நான் ஏற்கனவே கூறியது போல், ஐப்டேபிள்ஸ், ஏற்கனவே தெரிந்ததை நீங்கள் பயன்படுத்தலாம், இதனால் சேவையகம் நீங்கள் செய்ய விரும்புவதைச் சரியாகச் செய்கிறது
நன்றி!
துறைமுக பகிர்தலை அனுமதிக்கும் ஃபயர்வாலில் இருந்தும் இதைச் செய்யலாம், இல்லையா? (தொடர்புடைய விதிகளைப் பயன்படுத்துதல்).
ஆம், நிச்சயமாக, Pfsense அல்லது பிற போன்ற ஃபயர்வால், பின்னால் இருந்து iptables ஐப் பயன்படுத்துங்கள்.
சரியாகச் சொல்வதானால், pfsense iptables ஐப் பயன்படுத்தாது, ஆனால் pf, இது உள்ளே ஒரு bsd என்பதை நினைவில் கொள்ளுங்கள்.
ஓ, என் கெட்டது!
உதவிக்குறிப்புக்கு மிக்க நன்றி
எனக்கு இரண்டு சந்தேகங்கள் உள்ளன:
1 - மாற்றம் நிரந்தரமா? அல்லது சேவையகத்தை மறுதொடக்கம் செய்யும் போது அது இழக்கப்படுகிறதா?
2 - ஒரே சப்நெட்டில் எனக்கு பல நிகழ்வுகள் (A, B மற்றும் C என்று சொல்லுங்கள்) உள்ளன. உதாரணமாக, வெளிப்புற ஐபிக்கு போக்குவரத்தை வழிநடத்துவதற்கான விதிமுறையை நான் பயன்படுத்துகிறேன், மேலும் பி மற்றும் சி நிகழ்வுகளிலிருந்து சுருட்டைகளுடன் சோதனை செய்கிறேன், எல்லாம் அதிசயங்களைச் செய்கிறது. பிரச்சனை என்னவென்றால், உதாரணமாக இது வேலை செய்யாது. உங்கள் ஐபி மற்றும் லூப் பேக் இடைமுகம் இரண்டையும் பயன்படுத்த முயற்சித்தேன், ஆனால் எதுவும் செயல்படவில்லை:
$ iptables -t nat -A PREROUTING -p tcp –dport 8080 -j DNAT - இலக்குக்கு xxxx: 8080
$ iptables -t nat -A PREROUTING -p tcp -i lo –dport 8080 -j DNAT - இலக்குக்கு xxxx: 8080
$ curl ip-yyyy: 8080 / hello_world
சுருட்டை: (7) ip-yyyy port 8080 உடன் இணைப்பதில் தோல்வி: இணைப்பு மறுக்கப்பட்டது
local லோக்கல் ஹோஸ்டை சுருட்டுங்கள்: 8080 / ஹலோ_வொர்ல்ட்
சுருட்டை: (7) லோக்கல் ஹோஸ்ட் போர்ட் 8080 உடன் இணைப்பதில் தோல்வி: இணைப்பு மறுக்கப்பட்டது
பிரச்சனை என்னவாக இருக்கும் என்று ஏதாவது யோசனை?
ஆமாம், மறுதொடக்கத்தில் மாற்றம் தொலைந்துவிட்டது, அதைத் தவிர்க்க நீங்கள் iptables-save & iptables-restore அல்லது அது போன்ற ஒன்றைப் பயன்படுத்த வேண்டும்.
நீங்கள் என்ன செய்ய விரும்புகிறீர்கள் என்பது எனக்குப் புரியவில்லை, உதாரணமாக A?
ஒரு குறிப்பிட்ட ஐபி (சேவையகம் A இன்) இணைப்புகளை மட்டுமே ஆதரிக்கும் ஒரு சேவையகம் என்னிடம் உள்ளது, அனுமதிப்பட்டியலில் (அளவிடக்கூடிய சிக்கல்களுக்கு) கூடுதல் ஐப்களைச் சேர்க்க என்னால் முடியாது அல்லது விரும்பவில்லை, எனவே வெளிப்புற சேவையகத்திற்கான அனைத்து போக்குவரத்தும் செல்ல விரும்புகிறேன் சேவையகம் (A) என்றார்.
நடைமுறைக்கு ஒரு விஷயமாக, ஒவ்வொரு சேவைக்கும் எந்த ஐபி பயன்படுத்த வேண்டும் என்பதை வரையறுக்கும் உலகளாவிய உள்ளமைவுகள் என்னிடம் உள்ளன, எனவே இந்த விஷயத்தில் இது "வெளிப்புற சேவையைப் பயன்படுத்த விரும்பும் அனைவரும் ஐபி ஏ பயன்படுத்த வேண்டும்"
இந்த கட்டுரையில் உள்ள முறையைப் பயன்படுத்தி இதை வெற்றிகரமாக அடைந்தேன், ஆனால் அதைப் பயன்படுத்தும்போது, சேவையகம் A தனது சொந்த ஐபியைப் பயன்படுத்தி சேவையை அணுக முடியாது (ஆனால் மற்ற எல்லா சேவையகங்களும் செய்கின்றன).
சர்வர் A இன் / etc / host கோப்பில் மேப்பிங்கைச் சேர்ப்பது, வெளிப்புற ஐபியை சுட்டிக்காட்டி, உலகளாவிய அமைப்பை மீறுவதே இதுவரை நான் கண்டறிந்தேன்.
மிகவும் நல்லது, எனக்கு இன்னொரு மெயில் சர்வர் இருந்தால், போர்ட் 143 இலிருந்து சர்வர் 1 இலிருந்து சர்வர் 2 க்கு போக்குவரத்தை அனுப்ப முடியும், மேலும் மின்னஞ்சல்கள் சர்வர் 2 ஐ எட்டும், இல்லையா?
மேற்கோளிடு
கோட்பாட்டில் ஆம், இது இப்படி செயல்படுகிறது. நிச்சயமாக, நீங்கள் அஞ்சல் சேவையகத்தை சேவையகம் 2 இல் சரியாக நிறுவியிருக்க வேண்டும்
நாங்கள் படிக்க விரும்பும் பதிவுகள், நன்றி!
சிறந்த கட்டுரை, நான் பணிபுரியும் ஒரு திட்டம் உள்ளது, நான் உங்களிடம் ஒரு கேள்வியைக் கேட்க விரும்பினேன், NAT செயல்பாட்டுடன் தொழில்துறை சுவிட்சுகள் உள்ளன (அவை கீழே ஐபி டேபிள்களைப் பயன்படுத்துகின்றன என்று நினைக்கிறேன்), சாதனங்களில் மாற்றங்களைச் செய்யாமல் ஒரு ஐபி முகவரியை மொழிபெயர்க்க, ஒரு எடுத்துக்காட்டு, எனக்கு ஒரு சேவையகம் உள்ளது 10.10.2.1 கணினிகளுடன் தொடர்பு கொள்ளும் 10.10.2 மற்றும் சுவிட்ச் மூலம் திட்டமிடப்பட்டுள்ளது, இதனால் 192.168.2.4 முகவரியைக் கொண்ட கணினி உண்மையில் சேவையகத்திலிருந்து 10.10.2.5 ஆகக் காணப்படுகிறது, இது ஐபி முகவரியைக் காண வேண்டும் என்று மொழிபெயர்த்தது அந்த முகவரியுடன் கூடிய பிற கணினிகளிலிருந்து, உபுண்டு அல்லது மற்றொரு விநியோகத்துடன் கூடிய சேவையகத்திலிருந்து இதைச் செய்ய விரும்புகிறேன், iptables விதிகள் என்னவாக இருக்கும்?
நல்ல தகவல் நன்றி ^ _ ^
நல்ல மதியம்
திருப்பி விட முயற்சிப்பதில் எனக்கு சிக்கல் உள்ளது. நான் விளக்குகிறேன்:
எனக்கு உபுண்டுவில் 2 பிணைய அட்டைகளுடன் ப்ராக்ஸி சேவையகம் உள்ளது:
eth0 = 192.168.1.1 உள்ளூர் பிணையத்தின் மற்ற பகுதிகளுடன் இணைக்கப்பட்டுள்ளது.
eth1 = 192.168.2.2 திசைவியுடன் இணைக்கப்பட்டுள்ளது.
Eth0 வழியாகச் செல்ல eth1 வழியாக வரும் அனைத்தும் எனக்குத் தேவை, மேலும் ப்ராக்ஸி மூலமாகவும் (நான் Squid ஐப் பயன்படுத்துகிறேன், அதன் இயல்புநிலை துறை 3128 ஆகும்), மேலும் IPTABLES உள்ளமைவில் விசையை என்னால் கண்டுபிடிக்க முடியவில்லை.
எனக்கு எந்தவிதமான கட்டுப்பாடும் தேவையில்லை, பார்வையிட்ட வலை முகவரிகளின் பதிவில் ஒரு பதிவு மட்டுமே உள்ளது.
ஓரிரு நாட்களாக என்னை கவலையடையச் செய்வது மிகவும் சிக்கலான பணியாக இருப்பதால் நீங்கள் எனக்கு உதவ முடியும் என்று நம்புகிறேன்.
நன்றி.
நண்பரே, நான் மற்ற சேவையகங்களுக்கு மிகவும் புதியவன், எனக்கு எதுவும் தெரியாது, ஆனால் இந்த விஷயத்தை நான் புரிந்துகொள்கிறேன், நான் விரைவாகக் கற்றுக்கொள்கிறேன், எனது கேள்வி பின்வருவனவற்றில் எனக்கு 2 சர்வர்கள் சர்வ்_1 மற்றும் சர்வ்_2 உள்ளன, அவை ஒரே இன்ட்ராநெட்டுடன் இணைக்கப்பட்டுள்ளன, இந்த சேவையகங்களில் எனக்கு ஒரு சொந்த கிளவுட் அமைக்கப்பட்டுள்ளது பின்வருவனவற்றைச் செய்ய விரும்புகிறேன்:
அணுகல் ஐபியை சொந்த கிளவுட்டுக்கு (ஐபவுன் கிளவுட்) வைக்கும் போது ஒரு குறிப்பிட்ட அளவிலான ஐபிஎஸ் சர்வ்_1 ஐ நோக்கி செலுத்தப்படுகிறது, மேலும் இது மற்றொரு ரேஞ்சிப்_1 ஆக இருந்தால், அதே ஐபவுன் கிளவுட் சர்வ்_2 க்கு இயக்கப்படுகிறது, இது 2 சேவையகங்கள் அமைந்துள்ளதால் இரண்டு வெவ்வேறு நகரங்களில் மற்றும் ஐபி வரம்புகள் வேறுபட்டவை, ஆனால் அவை அனைத்தும் ஒரே நெட்வொர்க்கில் உள்ளன, அது முதல் பகுதியாக இருக்கும், இரண்டாவது தெளிவாக இருக்கும் இந்த 2 சேவையகங்களை ஒத்திசைக்க வேண்டும், இதனால் அவை கண்ணாடிகள் அல்லது அகலத்தை மேம்படுத்துவதற்காக இதை எனக்கு அறிவுறுத்துகின்றன இசைக்குழு, தயவுசெய்து, படிப்படியாக அதை எப்படி செய்வது என்று எனக்கு விளக்கப் போகிறீர்கள் என்றால் சூப்பர் புரோகிராமர் பயன்முறை அல்ல = (
வணக்கம், மன்னிக்கவும், எனது நெட்வொர்க்கை உருவாக்கும் அனைத்து சாதனங்களின் தகவல்தொடர்பு பொறுப்பும் எனக்கு உள்ளது, இதற்குப் பிறகு ஒரு ஃபயர்வால் மற்றும் இறுதியாக இணையம் வெளியேறிய பிறகு, என்ன நடக்கிறது என்றால், திருப்பிவிடுதல் கொடுக்கப்பட விரும்புகிறேன் மாறவும், கோரப்பட்ட சேவை இணையமாக இல்லாவிட்டால் ஃபயர்வாலை அடைய வேண்டியதில்லை.
இந்த முறையைப் பயன்படுத்தி நீங்கள் HTTPS ஐ HTTP க்கு திருப்பிவிட முடியுமா?
ஹாய், இது சற்று தாமதமாக இருக்கலாம், ஆனால் நான் உங்களிடம் கேட்க விரும்பினேன், அதே நெட்வொர்க்கில் ஒரு வலை சேவையகத்துடன் இணைக்க விரும்பும்போது கிளையண்டின் ஐபியை எவ்வாறு மாற்றக்கூடாது?
கேட்டதற்காக என்னை மோசமாக நடத்த வேண்டாம். இதை விண்டோஸில் செய்ய முடியுமா?
இந்த தகவல் எனக்கு பயனுள்ளதாக இருந்தது. எப்போதும்போல, நீங்கள் நம்பலாம், ஆங்கிலத்தில் எதையாவது கண்டுபிடிக்க முடியாதபோது நான் வழக்கமாக ஸ்பானிஷ் மொழியில் பார்க்க முடிகிறது, அந்த சந்தர்ப்பங்களில் நான் எப்போதும் இந்த தளத்திற்கு வருவேன். நன்றி.
என்னிடம் 4G ரூட்டர் உள்ளது, அது நான் நிர்வகிக்காத நெட்வொர்க்கின் கிளையண்ட் ஆகும் (வெளிப்படையாக, நான் ஒரு கிளையன்ட்)... இந்த ரூட்டர் OpenVPN மூலம் அந்த ரிமோட் நெட்வொர்க்கிற்கான நுழைவாயிலாகும். கூடுதலாக, புலத்தில் உள்ள அந்த சப்நெட்களில் ஒன்றின் சேவையகத்தின் போர்ட் 80 ஐ அணுகுவதற்கு போர்ட்ஃபார்வர்டிங் செயல்பாட்டை ரூட்டர் பூர்த்தி செய்கிறது.
"-t nat -A POSTROUTING -j MASQUERADE" என்ற ஃபயர்வால் தனிப்பயன் விதியாக நான் ரூட்டரில் வைக்க வேண்டிய அறிவிப்பு இதுவாகும்.
உதவிக்கு நன்றி!