[ROZW]Forwardowanie Portow IPTABLES
: 2009-04-29, 12:03
Witam.
Mam maly problem z serverem i forwardowaniem portow i firewalem.
Mam server w dwoma laczami gdzie jedno jest uzywane jako stale i jedno jako backupowe.
Gdzy server dziala na normalnym laczu strona www dziala normalnie na nim ale jak przelacze na backupowe to nie mam dostepu do strony z zewnatrz a z wewnatrz strona sie otwiera po adresie kanonicznym:
to kawalek tego skryptu:
To skrypt perla gdy wywolam z opcja 1 nie moge dostac sie do servera wogole.
Domena jest utrzymywana przez ten server, nawet pingi z zewnatrz nie odpowiadaja.
Do tego jeszcze jest pare regol firewala:
rules_bwmon.sh wyglada tak:
Natowanie jest zrobione na jednym interfejsie, eth0 ma 5 adresow IP jeden z podsieci 10.0.0.0/24 drugi z podsieci 192.168.1.0/24 reszta jest nie istotna.
Bardzo nieciekawa konfigruacja jak dla mnie troche zbyt skonplikowana (nie ja to pisalem i robilem server przejety po poprzednim adminie)
Macie jakies pomysly dlaczego firewall mnie blokuje gdy probuje sie dostac do tego servera z zewnatrz?
Mam maly problem z serverem i forwardowaniem portow i firewalem.
Mam server w dwoma laczami gdzie jedno jest uzywane jako stale i jedno jako backupowe.
Gdzy server dziala na normalnym laczu strona www dziala normalnie na nim ale jak przelacze na backupowe to nie mam dostepu do strony z zewnatrz a z wewnatrz strona sie otwiera po adresie kanonicznym:
to kawalek tego skryptu:
Kod: Zaznacz cały
if (defined $num && $num == 0) {
print "Switching to (main) Eircom line\n";
print `ip route del default`;
print `ip route add default via 10.0.0.1`;
print `/usr/local/sbin/rules_init.sh`;
print `/sbin/iptables -D POSTROUTING 1 -t nat`;
print `/sbin/iptables -I POSTROUTING -t nat -s 192.168.0.0/16 -d ! 192.168.0.0/16 -j SNAT -m state --state NEW,ESTABLISHED --to-source $ip_eircomsubnet`;
system("echo \\*\\*\\* We are using the MAIN line \\*\\*\\* > /tmp/linestatus");
}
elsif ($num == 1) {
print "Switching to (backup) EsatBT line\n";
print `ip route del default`;
print `ip route add default via 192.168.2.1`;
print `/usr/local/sbin/rules_init.sh`;
print `/sbin/iptables -D POSTROUTING 1 -t nat`;
print `/sbin/iptables -I POSTROUTING -t nat -s 192.168.0.0/16 -d ! 192.168.0.0/16 -j SNAT -m state --state NEW,ESTABLISHED --to-source $ip_btsubnet`;
system("echo \\*\\*\\* We are using the BACKUP line \\*\\*\\* > /tmp/linestatus");
}
Domena jest utrzymywana przez ten server, nawet pingi z zewnatrz nie odpowiadaja.
Do tego jeszcze jest pare regol firewala:
Kod: Zaznacz cały
# setup dummy rules for bw monitoring purposes
/usr/local/sbin/rules_bwmon.sh
# setup hooks to send local computers into the bw-monitoring rules
$ipt -A FORWARD -s 192.168.1.0/24 -d \! 192.168.1.0/24 -j UPBWMON
$ipt -A FORWARD -d 192.168.1.0/24 -s \! 192.168.1.0/24 -j DOWNBWMON
#$ipt -A INPUT -s 10.0.0.4 -j UPBWMON
$ipt -A INPUT -d 10.0.0.2 -j DOWNBWMON
$ipt -A OUTPUT -s 10.0.0.2 -j UPBWMON
Kod: Zaznacz cały
$ipt -N UPBWMON
$ipt -N DOWNBWMON
$ipt -A UPBWMON -s 192.168.1.1 -j ACCEPT
$ipt -A UPBWMON -s 10.0.0.2 -j ACCEPT
$ipt -A UPBWMON -s 192.168.1.2 -j ACCEPT
$ipt -A UPBWMON -s 192.168.1.3 -j ACCEPT
$ipt -A DOWNBWMON -d 192.168.1.1 -j ACCEPT
$ipt -A DOWNBWMON -d 10.0.0.2 -j ACCEPT
$ipt -A DOWNBWMON -d 192.168.1.2 -j ACCEPT
$ipt -A DOWNBWMON -d 192.168.1.3 -j ACCEPT
Bardzo nieciekawa konfigruacja jak dla mnie troche zbyt skonplikowana (nie ja to pisalem i robilem server przejety po poprzednim adminie)
Macie jakies pomysly dlaczego firewall mnie blokuje gdy probuje sie dostac do tego servera z zewnatrz?