போக்குவரத்தை ஒரு ஐபி மற்றும் போர்ட்டிலிருந்து மற்றொரு ஐபி மற்றும் போர்ட்டுக்கு திருப்பி விடுங்கள்

சேவையகங்களை நிர்வகிக்கும் போது மிகவும் பொதுவான ஒன்று போக்குவரத்தை திருப்பி விடுகிறது.

சில சேவைகள் இயங்கும் ஒரு சேவையகம் எங்களிடம் உள்ளது என்று வைத்துக்கொள்வோம், ஆனால் எந்த காரணத்திற்காகவும் அந்த சேவைகளில் ஒன்றை மாற்றுவோம் (எனக்குத் தெரியாது, எடுத்துக்காட்டாக பாப் 3 இது போர்ட் 110 ஆகும்) மற்றொரு சேவையகத்திற்கு. டி.என்.எஸ் பதிவில் ஐ.பியை மாற்றுவதே இயல்பான மற்றும் அடிக்கடி நிகழும் விஷயம், இருப்பினும் யாரோ சப்டொமைனுக்கு பதிலாக ஐ.பியைப் பயன்படுத்தினால் அது பாதிக்கப்படும்.

என்ன செய்ய? ... எளிமையானது, அந்த துறைமுகத்தின் மூலம் சேவையகம் பெறும் போக்குவரத்தை அதே துறைமுகத்துடன் மற்றொரு சேவையகத்திற்கு திருப்பி விடுங்கள்.

server-node-lan-ethernet

போக்குவரத்தை திருப்பிவிட எப்படி தொடங்குவது?

முதல் விஷயம் என்னவென்றால், நாம் அதை இயக்கியிருக்க வேண்டும் பகிர்தல் சேவையகத்தில், இதற்காக நாம் பின்வருவனவற்றை வைப்போம்:

echo "1" > /proc/sys/net/ipv4/ip_forward

இந்த டுடோரியலில் காட்டப்பட்டுள்ள அனைத்து கட்டளைகளும் நிர்வாக சலுகைகளுடன் செயல்படுத்தப்பட வேண்டும், அவை ரூட் பயனருடன் நேரடியாக செயல்படுத்தப்பட வேண்டும் என்று நான் பரிந்துரைக்கிறேன்.

முந்தைய கட்டளை உங்களுக்கு வேலை செய்யாவிட்டால், இந்த மற்ற கட்டளையையும் நீங்கள் பயன்படுத்தலாம் (இது ஒரு CentOS இல் எனக்கு ஏற்பட்டது):
sysctl net.ipv4.ip_forward=1
பிணையத்தை மறுதொடக்கம் செய்வோம்:

service networking restart

சென்டோஸ் மற்றும் பிற போன்ற ஆர்.பி.எம் டிஸ்ட்ரோக்களில், இது பின்வருமாறு:

service nertwork restart

இப்போது நாம் முக்கியமான விஷயத்திற்கு செல்வோம், சேவையகத்தின் மூலம் சொல்லுங்கள் இப்போது iptables திருப்பிவிட என்ன:

iptables -t nat -A PREROUTING -p tcp --dport <puerto receptor> -j DNAT --to-destination <ip final>:<puerto de ip final>

அதாவது, நான் குறிப்பிட்ட உதாரணத்தைப் பின்பற்றி, போர்ட் 110 வழியாக எங்கள் சேவையகம் பெறும் அனைத்து போக்குவரத்தையும் மற்றொரு சேவையகத்திற்கு திருப்பிவிட விரும்புகிறோம் என்று வைத்துக்கொள்வோம் (எ.கா: 10.10.0.2), இது 110 (அந்த போக்குவரத்தை இன்னும் பெறும்அது அதே சேவை):

iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to-destination 10.10.0.2:110

10.10.0.2 சேவையகம் வாடிக்கையாளரின் ஐபியிலிருந்து அனைத்து பாக்கெட்டுகள் அல்லது கோரிக்கைகள் வந்திருப்பதைக் காண்பார்கள், அவர்கள் கோரிக்கைகளை நீந்த விரும்பினால், அதாவது, 2 வது சேவையகம் கோரிக்கைகள் 1 வது சேவையகத்தின் ஐபி உடன் வருவதைக் காண்கிறது (மற்றும் இதை நாங்கள் திசைதிருப்பலைப் பயன்படுத்துகிறோம்), இந்த இரண்டாவது வரியையும் வைக்க வேண்டும்:

iptables -t nat -A POSTROUTING -j MASQUERADE

சில கேள்விகள் மற்றும் பதில்கள்

எடுத்துக்காட்டில் நான் இரண்டு சந்தர்ப்பங்களிலும் ஒரே துறைமுகத்தைப் பயன்படுத்தினேன் (110), இருப்பினும் அவை போக்குவரத்தை ஒரு துறைமுகத்திலிருந்து இன்னொரு துறைமுகத்திற்கு பிரச்சினைகள் இல்லாமல் திருப்பி விடலாம். எடுத்துக்காட்டாக, மற்றொரு சேவையகத்தில் போக்குவரத்தை 80 முதல் 443 வரை திருப்பிவிட விரும்புகிறேன் என்று வைத்துக்கொள்வோம், இதற்காக இது இருக்கும்:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.0.2:443

இதுதான் இப்போது iptables, எங்களுக்குத் தெரிந்த மற்ற எல்லா அளவுருக்களையும் அவர்கள் பயன்படுத்தலாம், எடுத்துக்காட்டாக, ஒரு குறிப்பிட்ட ஐபியிலிருந்து போக்குவரத்தை திருப்பி விட விரும்பினால், அது -s ஐ சேர்க்கும் … எடுத்துக்காட்டாக, 10.10.0.51 இலிருந்து வரும் போக்குவரத்தை மட்டுமே நான் திருப்பி விடுகிறேன்:

iptables -t nat -A PREROUTING -p tcp -s 10.10.0.51 --dport 80 -j DNAT --to-destination 10.10.0.2:443

அல்லது முழு நெட்வொர்க் (/ 24):

iptables -t nat -A PREROUTING -p tcp -s 10.10.0.0/24 --dport 80 -j DNAT --to-destination 10.10.0.2:443

நாம் -i உடன் பிணைய இடைமுகத்தையும் குறிப்பிடலாம் :

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to-destination 10.10.0.2:443

முற்றும்!

இது நான் ஏற்கனவே கூறியது போல், ஐப்டேபிள்ஸ், ஏற்கனவே தெரிந்ததை நீங்கள் பயன்படுத்தலாம், இதனால் சேவையகம் நீங்கள் செய்ய விரும்புவதைச் சரியாகச் செய்கிறது

நன்றி!

அர்ப்பணிக்கப்பட்ட சர்வர்_சப் படம்


கட்டுரையின் உள்ளடக்கம் எங்கள் கொள்கைகளை பின்பற்றுகிறது தலையங்க நெறிமுறைகள். பிழையைப் புகாரளிக்க கிளிக் செய்க இங்கே.

20 கருத்துகள், உங்களுடையதை விடுங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது.

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.

  1.   இன்னா அவர் கூறினார்

    துறைமுக பகிர்தலை அனுமதிக்கும் ஃபயர்வாலில் இருந்தும் இதைச் செய்யலாம், இல்லையா? (தொடர்புடைய விதிகளைப் பயன்படுத்துதல்).

    1.    KZKG ^ காரா அவர் கூறினார்

      ஆம், நிச்சயமாக, Pfsense அல்லது பிற போன்ற ஃபயர்வால், பின்னால் இருந்து iptables ஐப் பயன்படுத்துங்கள்.

      1.    வேட்டைக்காரன் அவர் கூறினார்

        சரியாகச் சொல்வதானால், pfsense iptables ஐப் பயன்படுத்தாது, ஆனால் pf, இது உள்ளே ஒரு bsd என்பதை நினைவில் கொள்ளுங்கள்.

        1.    KZKG ^ காரா அவர் கூறினார்

          ஓ, என் கெட்டது!

  2.   நிக்கோலா அவர் கூறினார்

    உதவிக்குறிப்புக்கு மிக்க நன்றி

    எனக்கு இரண்டு சந்தேகங்கள் உள்ளன:
    1 - மாற்றம் நிரந்தரமா? அல்லது சேவையகத்தை மறுதொடக்கம் செய்யும் போது அது இழக்கப்படுகிறதா?
    2 - ஒரே சப்நெட்டில் எனக்கு பல நிகழ்வுகள் (A, B மற்றும் C என்று சொல்லுங்கள்) உள்ளன. உதாரணமாக, வெளிப்புற ஐபிக்கு போக்குவரத்தை வழிநடத்துவதற்கான விதிமுறையை நான் பயன்படுத்துகிறேன், மேலும் பி மற்றும் சி நிகழ்வுகளிலிருந்து சுருட்டைகளுடன் சோதனை செய்கிறேன், எல்லாம் அதிசயங்களைச் செய்கிறது. பிரச்சனை என்னவென்றால், உதாரணமாக இது வேலை செய்யாது. உங்கள் ஐபி மற்றும் லூப் பேக் இடைமுகம் இரண்டையும் பயன்படுத்த முயற்சித்தேன், ஆனால் எதுவும் செயல்படவில்லை:
    $ iptables -t nat -A PREROUTING -p tcp –dport 8080 -j DNAT - இலக்குக்கு xxxx: 8080
    $ iptables -t nat -A PREROUTING -p tcp -i lo –dport 8080 -j DNAT - இலக்குக்கு xxxx: 8080

    $ curl ip-yyyy: 8080 / hello_world
    சுருட்டை: (7) ip-yyyy port 8080 உடன் இணைப்பதில் தோல்வி: இணைப்பு மறுக்கப்பட்டது
    local லோக்கல் ஹோஸ்டை சுருட்டுங்கள்: 8080 / ஹலோ_வொர்ல்ட்
    சுருட்டை: (7) லோக்கல் ஹோஸ்ட் போர்ட் 8080 உடன் இணைப்பதில் தோல்வி: இணைப்பு மறுக்கப்பட்டது

    பிரச்சனை என்னவாக இருக்கும் என்று ஏதாவது யோசனை?

    1.    KZKG ^ காரா அவர் கூறினார்

      ஆமாம், மறுதொடக்கத்தில் மாற்றம் தொலைந்துவிட்டது, அதைத் தவிர்க்க நீங்கள் iptables-save & iptables-restore அல்லது அது போன்ற ஒன்றைப் பயன்படுத்த வேண்டும்.
      நீங்கள் என்ன செய்ய விரும்புகிறீர்கள் என்பது எனக்குப் புரியவில்லை, உதாரணமாக A?

      1.    நிக்கோலா அவர் கூறினார்

        ஒரு குறிப்பிட்ட ஐபி (சேவையகம் A இன்) இணைப்புகளை மட்டுமே ஆதரிக்கும் ஒரு சேவையகம் என்னிடம் உள்ளது, அனுமதிப்பட்டியலில் (அளவிடக்கூடிய சிக்கல்களுக்கு) கூடுதல் ஐப்களைச் சேர்க்க என்னால் முடியாது அல்லது விரும்பவில்லை, எனவே வெளிப்புற சேவையகத்திற்கான அனைத்து போக்குவரத்தும் செல்ல விரும்புகிறேன் சேவையகம் (A) என்றார்.
        நடைமுறைக்கு ஒரு விஷயமாக, ஒவ்வொரு சேவைக்கும் எந்த ஐபி பயன்படுத்த வேண்டும் என்பதை வரையறுக்கும் உலகளாவிய உள்ளமைவுகள் என்னிடம் உள்ளன, எனவே இந்த விஷயத்தில் இது "வெளிப்புற சேவையைப் பயன்படுத்த விரும்பும் அனைவரும் ஐபி ஏ பயன்படுத்த வேண்டும்"
        இந்த கட்டுரையில் உள்ள முறையைப் பயன்படுத்தி இதை வெற்றிகரமாக அடைந்தேன், ஆனால் அதைப் பயன்படுத்தும்போது, ​​சேவையகம் A தனது சொந்த ஐபியைப் பயன்படுத்தி சேவையை அணுக முடியாது (ஆனால் மற்ற எல்லா சேவையகங்களும் செய்கின்றன).
        சர்வர் A இன் / etc / host கோப்பில் மேப்பிங்கைச் சேர்ப்பது, வெளிப்புற ஐபியை சுட்டிக்காட்டி, உலகளாவிய அமைப்பை மீறுவதே இதுவரை நான் கண்டறிந்தேன்.

  3.   பிரேபாட் அவர் கூறினார்

    மிகவும் நல்லது, எனக்கு இன்னொரு மெயில் சர்வர் இருந்தால், போர்ட் 143 இலிருந்து சர்வர் 1 இலிருந்து சர்வர் 2 க்கு போக்குவரத்தை அனுப்ப முடியும், மேலும் மின்னஞ்சல்கள் சர்வர் 2 ஐ எட்டும், இல்லையா?

    மேற்கோளிடு

    1.    KZKG ^ காரா அவர் கூறினார்

      கோட்பாட்டில் ஆம், இது இப்படி செயல்படுகிறது. நிச்சயமாக, நீங்கள் அஞ்சல் சேவையகத்தை சேவையகம் 2 இல் சரியாக நிறுவியிருக்க வேண்டும்

  4.   msx அவர் கூறினார்

    நாங்கள் படிக்க விரும்பும் பதிவுகள், நன்றி!

  5.   அப்ரஹாம் இப்ரா அவர் கூறினார்

    சிறந்த கட்டுரை, நான் பணிபுரியும் ஒரு திட்டம் உள்ளது, நான் உங்களிடம் ஒரு கேள்வியைக் கேட்க விரும்பினேன், NAT செயல்பாட்டுடன் தொழில்துறை சுவிட்சுகள் உள்ளன (அவை கீழே ஐபி டேபிள்களைப் பயன்படுத்துகின்றன என்று நினைக்கிறேன்), சாதனங்களில் மாற்றங்களைச் செய்யாமல் ஒரு ஐபி முகவரியை மொழிபெயர்க்க, ஒரு எடுத்துக்காட்டு, எனக்கு ஒரு சேவையகம் உள்ளது 10.10.2.1 கணினிகளுடன் தொடர்பு கொள்ளும் 10.10.2 மற்றும் சுவிட்ச் மூலம் திட்டமிடப்பட்டுள்ளது, இதனால் 192.168.2.4 முகவரியைக் கொண்ட கணினி உண்மையில் சேவையகத்திலிருந்து 10.10.2.5 ஆகக் காணப்படுகிறது, இது ஐபி முகவரியைக் காண வேண்டும் என்று மொழிபெயர்த்தது அந்த முகவரியுடன் கூடிய பிற கணினிகளிலிருந்து, உபுண்டு அல்லது மற்றொரு விநியோகத்துடன் கூடிய சேவையகத்திலிருந்து இதைச் செய்ய விரும்புகிறேன், iptables விதிகள் என்னவாக இருக்கும்?

  6.   குக் அவர் கூறினார்

    நல்ல தகவல் நன்றி ^ _ ^

  7.   யீசுஸ் அவர் கூறினார்

    நல்ல மதியம்
    திருப்பி விட முயற்சிப்பதில் எனக்கு சிக்கல் உள்ளது. நான் விளக்குகிறேன்:
    எனக்கு உபுண்டுவில் 2 பிணைய அட்டைகளுடன் ப்ராக்ஸி சேவையகம் உள்ளது:
    eth0 = 192.168.1.1 உள்ளூர் பிணையத்தின் மற்ற பகுதிகளுடன் இணைக்கப்பட்டுள்ளது.
    eth1 = 192.168.2.2 திசைவியுடன் இணைக்கப்பட்டுள்ளது.
    Eth0 வழியாகச் செல்ல eth1 வழியாக வரும் அனைத்தும் எனக்குத் தேவை, மேலும் ப்ராக்ஸி மூலமாகவும் (நான் Squid ஐப் பயன்படுத்துகிறேன், அதன் இயல்புநிலை துறை 3128 ஆகும்), மேலும் IPTABLES உள்ளமைவில் விசையை என்னால் கண்டுபிடிக்க முடியவில்லை.
    எனக்கு எந்தவிதமான கட்டுப்பாடும் தேவையில்லை, பார்வையிட்ட வலை முகவரிகளின் பதிவில் ஒரு பதிவு மட்டுமே உள்ளது.

    ஓரிரு நாட்களாக என்னை கவலையடையச் செய்வது மிகவும் சிக்கலான பணியாக இருப்பதால் நீங்கள் எனக்கு உதவ முடியும் என்று நம்புகிறேன்.

    நன்றி.

  8.   கேப்ரியல் அவர் கூறினார்

    நண்பரே, நான் மற்ற சேவையகங்களுக்கு மிகவும் புதியவன், எனக்கு எதுவும் தெரியாது, ஆனால் இந்த விஷயத்தை நான் புரிந்துகொள்கிறேன், நான் விரைவாகக் கற்றுக்கொள்கிறேன், எனது கேள்வி பின்வருவனவற்றில் எனக்கு 2 சர்வர்கள் சர்வ்_1 மற்றும் சர்வ்_2 உள்ளன, அவை ஒரே இன்ட்ராநெட்டுடன் இணைக்கப்பட்டுள்ளன, இந்த சேவையகங்களில் எனக்கு ஒரு சொந்த கிளவுட் அமைக்கப்பட்டுள்ளது பின்வருவனவற்றைச் செய்ய விரும்புகிறேன்:

    அணுகல் ஐபியை சொந்த கிளவுட்டுக்கு (ஐபவுன் கிளவுட்) வைக்கும் போது ஒரு குறிப்பிட்ட அளவிலான ஐபிஎஸ் சர்வ்_1 ஐ நோக்கி செலுத்தப்படுகிறது, மேலும் இது மற்றொரு ரேஞ்சிப்_1 ஆக இருந்தால், அதே ஐபவுன் கிளவுட் சர்வ்_2 க்கு இயக்கப்படுகிறது, இது 2 சேவையகங்கள் அமைந்துள்ளதால் இரண்டு வெவ்வேறு நகரங்களில் மற்றும் ஐபி வரம்புகள் வேறுபட்டவை, ஆனால் அவை அனைத்தும் ஒரே நெட்வொர்க்கில் உள்ளன, அது முதல் பகுதியாக இருக்கும், இரண்டாவது தெளிவாக இருக்கும் இந்த 2 சேவையகங்களை ஒத்திசைக்க வேண்டும், இதனால் அவை கண்ணாடிகள் அல்லது அகலத்தை மேம்படுத்துவதற்காக இதை எனக்கு அறிவுறுத்துகின்றன இசைக்குழு, தயவுசெய்து, படிப்படியாக அதை எப்படி செய்வது என்று எனக்கு விளக்கப் போகிறீர்கள் என்றால் சூப்பர் புரோகிராமர் பயன்முறை அல்ல = (

  9.   அன்டோனியோ கரிசோசா அவர் கூறினார்

    வணக்கம், மன்னிக்கவும், எனது நெட்வொர்க்கை உருவாக்கும் அனைத்து சாதனங்களின் தகவல்தொடர்பு பொறுப்பும் எனக்கு உள்ளது, இதற்குப் பிறகு ஒரு ஃபயர்வால் மற்றும் இறுதியாக இணையம் வெளியேறிய பிறகு, என்ன நடக்கிறது என்றால், திருப்பிவிடுதல் கொடுக்கப்பட விரும்புகிறேன் மாறவும், கோரப்பட்ட சேவை இணையமாக இல்லாவிட்டால் ஃபயர்வாலை அடைய வேண்டியதில்லை.

  10.   ஜான் அவர் கூறினார்

    இந்த முறையைப் பயன்படுத்தி நீங்கள் HTTPS ஐ HTTP க்கு திருப்பிவிட முடியுமா?

  11.   Mati அவர் கூறினார்

    ஹாய், இது சற்று தாமதமாக இருக்கலாம், ஆனால் நான் உங்களிடம் கேட்க விரும்பினேன், அதே நெட்வொர்க்கில் ஒரு வலை சேவையகத்துடன் இணைக்க விரும்பும்போது கிளையண்டின் ஐபியை எவ்வாறு மாற்றக்கூடாது?

  12.   லாபட் 32 அவர் கூறினார்

    கேட்டதற்காக என்னை மோசமாக நடத்த வேண்டாம். இதை விண்டோஸில் செய்ய முடியுமா?

  13.   மார்ட்டின் அவர் கூறினார்

    இந்த தகவல் எனக்கு பயனுள்ளதாக இருந்தது. எப்போதும்போல, நீங்கள் நம்பலாம், ஆங்கிலத்தில் எதையாவது கண்டுபிடிக்க முடியாதபோது நான் வழக்கமாக ஸ்பானிஷ் மொழியில் பார்க்க முடிகிறது, அந்த சந்தர்ப்பங்களில் நான் எப்போதும் இந்த தளத்திற்கு வருவேன். நன்றி.

  14.   seba அவர் கூறினார்

    என்னிடம் 4G ரூட்டர் உள்ளது, அது நான் நிர்வகிக்காத நெட்வொர்க்கின் கிளையண்ட் ஆகும் (வெளிப்படையாக, நான் ஒரு கிளையன்ட்)... இந்த ரூட்டர் OpenVPN மூலம் அந்த ரிமோட் நெட்வொர்க்கிற்கான நுழைவாயிலாகும். கூடுதலாக, புலத்தில் உள்ள அந்த சப்நெட்களில் ஒன்றின் சேவையகத்தின் போர்ட் 80 ஐ அணுகுவதற்கு போர்ட்ஃபார்வர்டிங் செயல்பாட்டை ரூட்டர் பூர்த்தி செய்கிறது.

    "-t nat -A POSTROUTING -j MASQUERADE" என்ற ஃபயர்வால் தனிப்பயன் விதியாக நான் ரூட்டரில் வைக்க வேண்டிய அறிவிப்பு இதுவாகும்.

    உதவிக்கு நன்றி!