înregistrare Logare
Puncte:0
blacksoul avatar Server

Redirecționați traficul extern specific către serverul LAN

drapel cn
blacksoul

Vreau să redirecționez traficul de intrare către serverul meu, în care funcționează iptables, către un alt server din LAN. Cu toate acestea, vreau ca acest lucru să funcționeze numai dacă traficul de intrare vine de la o anumită adresă IP externă. În caz contrar, traficul ar trebui oprit.

Permiteți-mi să dau un exemplu pentru a clarifica:

  • IP client extern: 88.88.88.88
  • IP server (în aceeași rețea LAN): 172.26.0.99
  • IP de destinație (în aceeași rețea LAN): 172.26.0.11

Exemplu de redirecționare

  1. Clientul (88.88.88.88) se conectează la IP SERVER (172.26.0.99)
  2. Traficul este tunelizat IP de destinație (172.26.0.11).

Aruncă un exemplu

  1. Client străin (66.66.66.66) încearcă să se conecteze la IP SERVER (172.26.0.99)
  2. Traficul este SCĂZUT
193
0 + 0
A.B avatar
drapel cl
A.B
Este *server* gateway-ul *destinației*? Dacă nu, *destinația* trebuie să vadă în continuare 88.88.88.88 ca sursă?
0
Răspunde
blacksoul avatar
drapel cn
blacksoul
Nu este gateway-ul, deoarece gateway-ul ar fi routerul ISP. Destinația nu trebuie să vadă în continuare sursa 88.88.88.88, trebuie doar să fie atinsă prin tunelul pe care l-am descris.
0
Răspunde
djdomi avatar
drapel za
djdomi
există vreun motiv pentru care vorbim despre lan și ascunde ips-ul? 10/8 172.16/16 și 192.168/16 nu este direcționat către internet
0
Răspunde
blacksoul avatar
drapel cn
blacksoul
Îmi pare rău, am crezut că este mai ușor de citit așa. Voi actualiza întrebarea folosind IP-urile LAN reale
0
Răspunde
Puncte:1
avatar Server
drapel cm
fuero

Dacă am înțeles bine, vrei să trimiți toate trafic de la 88.88.88.88 la serverul protejat 172.26.0.11. Iată un exemplu folosind NAT:

sysctl net.ipv4.ip_forward=1

iptables -t nat -A PREROUTING -i <wan-if> -s 88.88.88.88 -j DNAT --to-destination 172.26.0.11
iptables -t nat -A POSTROUTING -s 88.88.88.88 -d 172.26.0.11 -j SNAT --to-source 172.26.0.99
iptables -A FORWARD -s 88.88.88.88 -d 172.26.0.11 -j ACCEPT

Alternativ, redirecționarea pe bază de port, utilizați ipvs sau prize SystemD sau iptables -j REDIRECT pentru a configura redirecționarea și firewall-ul portului. Exemplu cu ipvs și iptables:

sysctl net.ipv4.vs.conntrack=1

ipvsadm -A -t „172.26.0.99:<port>” -s rr
ipvsadm -a -t "172.26.0.99:<port>" -r "172.26.0.11:<port>" -m

iptables -A INPUT -s 88.88.88.88 -j ACCEPT -m comment --comment „Permite 88.88.88.88”
iptables -A INPUT -j DROP -m comentariu --comment "Catch-all drop"
0 + 0
Martin avatar
drapel kz
Martin
Mă gândeam să-mi scriu propriul răspuns, dar m-am hotărât să nu-l fac. Adăugați un SNAT în lanțul POSTROUTING și exemplul dvs. va funcționa: ```iptables -t nat -A POSTROUTING -s 88.88.88.88 -d 172.26.0.11 -j SNAT --to-source 172.26.0.99``` în caz contrar, răspunsul de la serverul „protejat” va lua o altă rută decât a luat pachetul inițial! Și nu uitați să activați ```ip_forwarding```...
2
Răspunde
drapel cm
fuero
Mulțumesc - am actualizat răspunsul.
0
Răspunde
blacksoul avatar
drapel cn
blacksoul
A funcționat mulțumesc! Am încercat cu primul tău exemplu.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.