problém s přístupem na proroutovanou veřejnou z lokálu

aj_rade · Příspěvekod **aj_rade** » 18 years ago

Zdravím,

mám následující problémek. Mám uvnitř sítě, za maškarádou, webovej, mail server apod.
Veřejnout IP dávám před maškarádu přes netmap a veřejná se proroutuje v pořádku až na webserver.
Zvenku se na něj bezproblému lze dopingnout, otevřít, vše ok.
Ale problém nastává z přístupem z lokální sítě, resp. přes lokální IP webserveru no problem, ale přes tu proroutovanou veřejnou nic. Ani si nepingnu.
Rozsahy naznačím takhle: 128.128.10.1 - moje PC a 128.128.20.1 - webserver.
Díky za rady, resp. kopance

raulik · Příspěvekod **raulik** » 18 years ago

Chich standart problem.. ty ji totiz urcite mapujes (pres dst-nat zrejme) pouze zvenku, tzn na routeru mas neco jako : jestlize je ip <verejnaip> a port 80 hod to na <interniip> port 80. ja to resim tak, ze mapuju i z vnitrni site. (je rpavda ze komunikace pak leze pres router, nicmene beha to ideal a jin reseni jsem nezkoumal. tzn do natu pridej polozku mapovani zevnitr kde bude :
jestli dst adres = <verejnaip> a in interface bude INTERNIeth
action dst-nat <interniip> porty 0-65535 - pak se ti kdokoliv zevnitr dostane na tvuj server jako by byl venku.. (samo muzes jiti pres jednotlive porty, ja to mam obecne, nebot za jednim mktikem mam pouze ten jeden server, a obcas on sam chce komunikovat sam se sebou pres verejnou ip.. (je pro to duvod...)

aj_rade · Příspěvekod **aj_rade** » 18 years ago

raulik píše:Chich standart problem.. ty ji totiz urcite mapujes (pres dst-nat zrejme) pouze zvenku, tzn na routeru mas neco jako : jestlize je ip <verejnaip> a port 80 hod to na <interniip> port 80. ja to resim tak, ze mapuju i z vnitrni site. (je rpavda ze komunikace pak leze pres router, nicmene beha to ideal a jin reseni jsem nezkoumal. tzn do natu pridej polozku mapovani zevnitr kde bude :
jestli dst adres = <verejnaip> a in interface bude INTERNIeth
action dst-nat <interniip> porty 0-65535 - pak se ti kdokoliv zevnitr dostane na tvuj server jako by byl venku.. (samo muzes jiti pres jednotlive porty, ja to mam obecne, nebot za jednim mktikem mam pouze ten jeden server, a obcas on sam chce komunikovat sam se sebou pres verejnou ip.. (je pro to duvod...)

Mam to presne takhle a nechodi to:

;;; Routing verejne IP pro mailserver
chain=dstnat dst-address=89.x.x.254 action=netmap
to-addresses=192.168.3.250 to-ports=0-65535
chain=srcnat src-address=192.168.3.250 action=netmap
to-addresses=89.x.x.254 to-ports=0-65535

Jan Holub · Příspěvekod **Jan Holub** » 18 years ago

Už to tu taky párkrát bylo. Pokud chceš natovat na stejný iface, kterým přijde požadavek, musíš na MT udělat ještě src-nat. Jinak ti ten server odpovídá přímo tomu klientovi ze své adresy 192.168.3.250, ale klient očekává odpověï od 89.x.x.254.

aj_rade · Příspěvekod **aj_rade** » 18 years ago

Jan Holub píše:Už to tu taky párkrát bylo. Pokud chceš natovat na stejný iface, kterým přijde požadavek, musíš na MT udělat ještě src-nat. Jinak ti ten server odpovídá přímo tomu klientovi ze své adresy 192.168.3.250, ale klient očekává odpověï od 89.x.x.254.

Muzes to prosim naznacit jak to ma byt, pomuze to i pripadne dalsim, kdyz to budou resit. Diky

Jan Holub · Příspěvekod **Jan Holub** » 18 years ago

Kód: Vybrat vše

 chain=srcnat src-address=192.168.0.0/16 dst-address=192.168.3.250/32 action=src-nat to-addresses=192.168.3.ip_mt_smer_LAN/32 to-ports=0-65535

Akorát tím samozřejmě přijdeš o rozlišení klientů na tom serveru, pokud ho potřebuješ, protože budou schovaní za IP MT.

Jan Holub · Příspěvekod **Jan Holub** » 18 years ago

Ještě doplním, že lepším řešením je aby interní klienti dostávali z DNS interní adresu, pokud tedy přistupují na ten server pomocí jména a ne rovnou IP. Tj. nastavit v MT DNS forwarder a zavést v něm statický záznam pro ten server.

aj_rade · Příspěvekod **aj_rade** » 18 years ago

Jan Holub píše:Ještě doplním, že lepším řešením je aby interní klienti dostávali z DNS interní adresu, pokud tedy přistupují na ten server pomocí jména a ne rovnou IP. Tj. nastavit v MT DNS forwarder a zavést v něm statický záznam pro ten server.

To jsem prave do ted s uspechem pouzival, ale najednou mi zacalo zlobit DNS pres lokalni IP MK a funguji nektery preklady stranek pouze se zadanim primeho DNS. Nechapu, nic sem nemenil, jen konektivitu, nastaveni je zcela totezne...
Jo a tohle mi stale nefunguje, pridal jsem tohle:
chain=srcnat src-address=192.168.0.0/16 dst-address=192.168.3.250/32 action=src-nat to-addresses=192.168.3.1 to-ports=0-65535

Jan Holub · Příspěvekod **Jan Holub** » 18 years ago

Aha, tak ještě zkus vyhodit to src-address a nech tam jen dst-address.

aj_rade · Příspěvekod **aj_rade** » 18 years ago

Jan Holub píše:Aha, tak ještě zkus vyhodit to src-address a nech tam jen dst-address.

stale bohuzel nic...

Jan Holub · Příspěvekod **Jan Holub** » 18 years ago

A lidi jsou vlastně v jaké síti? Taky v té 3.X?

aj_rade · Příspěvekod **aj_rade** » 18 years ago

Jan Holub píše:A lidi jsou vlastně v jaké síti? Taky v té 3.X?

jj, vcetne me. No cetl sem, ze tohle dela problemy... ale preci musi existovat reseni, ne ?

Jan Holub · Příspěvekod **Jan Holub** » 18 years ago

Tak ještě by mohl být problém v tom, že teï se tam tlučou ty src naty. takže ten

Kód: Vybrat vše

 chain=srcnat src-address=192.168.3.250 action=netmap
to-addresses=89.x.x.254 to-ports=0-65535

doplnit o out interface směr inet a ten

Kód: Vybrat vše

 chain=srcnat dst-address=192.168.3.250/32 action=src-nat to-addresses=192.168.3.1 to-ports=0-65535

o out interface směr lan. Ale možná už jsem unavený a mám tam něco blbě. :-)

aj_rade · Příspěvekod **aj_rade** » 18 years ago

Jan Holub píše:Tak ještě by mohl být problém v tom, že teï se tam tlučou ty src naty. takže ten

Kód: Vybrat vše
chain=srcnat src-address=192.168.3.250 action=netmap to-addresses=89.x.x.254 to-ports=0-65535

doplnit o out interface směr inet a ten
Kód: Vybrat vše
chain=srcnat dst-address=192.168.3.250/32 action=src-nat to-addresses=192.168.3.1 to-ports=0-65535

o out interface směr lan. Ale možná už jsem unavený a mám tam něco blbě.

Ja uz to dnes taky nedavam, kazdopadne to ale stale nefakci

Ale stejne by me zajimalo, proc neslape najednou ten DNS. Ani forwarding UDP 53 portu na jine DNS nejede a dela stejne blbost. Dokonce jsem zkusil uz i 3 jine verze MK a stale nic...

raulik · Příspěvekod **raulik** » 18 years ago

Prapodivne.. Samozrejme nejlepsi je to resit pres dns, ale pokud nejde/nechces/nemuzes je ideal tohle.. hele hodim ti sem tech par radek natu ...

add action=src-nat chain=srcnat comment="NAT" disabled=no out-interface=eth1-WAN to-addresses=<verejna> to-ports=0-65535

add action=dst-nat chain=dstnat comment="mapovani SMTP" disabled=no dst-port=25 in-interface=eth1-WAN protocol=tcp \
to-addresses=192.168.111.2 to-ports=25

a tady mas to interni

add action=dst-nat chain=dstnat comment="mapovani zevnitr" disabled=no dst-address=<verejnaip> in-interface=eth2-LAN protocol=t
to-addresses=192.168.111.2 to-ports=0-65535

takhle mi to chodi.. jiste by se naslo i dost jinych reseni (jako treba to dns, ktere ja nemuzu pouzit, nebot se server dotazuje na ruzny dns zaznamy (takze by static musel jednak plnit rucne a jednak bych mel prestatikovano :-)