Проброс и перенаправление портов в iptables. Linux проброс портов


Проброс портов iptables в Linux

С увеличением количества компьютеров, необходимое количество IP адресов увеличивалось и диапазона IPv4 начало не хватать. Тогда была разработана технология NAT, которая позволяет нескольким компьютерам объединяться в локальную сеть и быть доступными из внешней сети по IP адресу маршрутизатора.

Когда пакет приходит на маршрутизатор, выполняется выяснение какому устройству он был адресован и замена ip адресата на нужный. Кроме переопределения IP получателя и отправителя, NAT может изменять порты. Это называется проброс портов и может быть полезно если вы создали частную сеть, но все же хотите пропускать некоторые виды трафика. Всем этим можно управлять с помощью iptables. В этой статье мы рассмотрим как выполняется проброс портов iptables в Linux.

Содержание статьи:

Как работает NAT?

Чтобы иметь возможность общаться с другими компьютерами в сети компьютер должен иметь уникальный ip адрес. Но поскольку количество адресов уменьшалось нужно было придумать технологию, которая позволяла бы давать один адрес нескольким машинам. И была придумана технология NAT или Network Address Translation.

Все работает очень просто. Компьютер имеет свой адрес в локальной сети, он не виден из интернета. Когда ему нужно отправить пакет, он отправляет его роутеру, затем роутер подменяет адрес отправителя на свой и передает пакет дальше к цели. Параллельно роутер запоминает с какого локального компьютера был отправлен пакет на этот адрес. Дальше ответный пакет приходит роутеру, он подменяет адрес назначения на адрес нужного компьютера и отдает пакет в локальную сеть.

Недостаток в том, что инициировать подключение извне нельзя, потому что маршрутизатор просто еще не знает к кому обращаются. Тут на помощь приходит проброс портов. Мы можем сказать роутеру: при поступлении пакетов на порт 80 перенаправлять их на порт 80 компьютера 192.168.1.2. Теперь адрес отправителя и порт будет заменяться на указанный нами и пакет будет передан туда, куда нужно. Если на маршрутизаторе установлен Linux, то все это можно настроить с помощью iptables.

Проброс портов в iptables

Первое что нужно сделать, это включить переадресацию трафика на уровне ядра, если это еще не сделано. Для этого выполните:

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

Чтобы настройка сохранялась после перезагрузки используйте такую команду:

sudo sysctl -w net.ipv4.ip_forward=1

Мы не будем здесь подробно рассматривать правила iptables и значение каждой опции, поэтому перед тем, как читать дальше вам лучше ознакомиться со статьей iptables для начинающих. Дальше рассмотрим проброс портов iptables nat.

Настройка прохождения пакетов

Сначала мы рассмотрим как разрешить прохождение пакетов через маршрутизатор. Для этого в брандмауэре есть цепочка FORWARD. По умолчанию для всех пакетов применяется правило DROP, которое означает что все нужно отбросить. Сначала разрешим инициализацию новых соединений, проходящих от eth0 до eth2. Они имеют тип contrack и представлены пакетом SYN:

sudo iptables -A FORWARD -i eth0 -o eth2 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT

Действие ACCEPT означает, что мы разрешаем это соединение. Но это правило разрешает только первый пакет, а нам нужно пропускать любой следующий трафик в обоих направлениях для этого порта (80). поэтому добавим правила для ESTABLIHED и RLEATED:

sudo iptables -A FORWARD -i eth0 -o eth2 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT$ sudo iptables -A FORWARD -i eth2 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Дальше явно установим что наша политика по умолчанию - DROP:

sudo iptables -P FORWARD DROP

Это еще не проброс портов, мы только разрешили определенному трафику, а именно на порт 80, проходить через маршрутизатор на другие машины локальной сети. Теперь настроим правила, которые будут отвечать за перенаправление трафика.

Модификация пакетов в iptables

Далее мы настроим правила, которые будут указывать как и куда нужно перенаправить пакеты, приходящие на порт 80. Сейчас маршрутизатор может их пропускать в сеть, но он еще не знает куда. Для этого нам нужно будет настроить две вещи - модификацию адреса назначения (Destination) DNAT и модификацию адреса отправителя (Source) SNAT.

Правила DNAT настраиваются в цепочке PREROUTING, в таблице NAT. Эта операция изменяет адрес назначения пакета чтобы он достиг нужной нам цели, когда проходит между сетями. Клиенты будут отправлять пакеты нашему маршрутизатору, и им не нужно знать топологию внутренней сети. Пакет автоматически будет приходить нашему веб-серверу (192.168.1.2).

С помощью этого правила мы перенаправляем все пакеты, пришедшие на порт 80, к 192.168.1.2 опять же на порт 80:

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2

Но это только половина работы. Пакет будет иметь исходный адрес клиента, а значит будет пытаться отправить ответ ему. Так как клиент ожидает получить ответ от маршрутизатора, то нормального TCP соединения не получиться. Чтобы решить эту проблему нужно модифицировать адрес источника и заменить его на адрес маршрутизатора 192.168.1.1. Тогда ответ придет маршрутизатору, а тот уже от своего имени передаст его в сеть.

sudo iptables -t nat -A POSTROUTING -o eth2 -p tcp --dport 80 -d 192.168.1.2 -j SNAT --to-source 192.168.1.1

Если вы хотите перенаправить трафик на порт 8080, то нужно указать его после ip адреса:

sudo iptables -t nat -A POSTROUTING -o eth2 -p tcp --dport 80 -d 192.168.1.2 -j SNAT --to-source 192.168.1.1:8080

Также может понадобиться выполнить проброс диапазона портов iptables, для этого просто укажите диапазон, например, 1000:2000:

sudo iptables -t nat -A POSTROUTING -o eth2 -p tcp --dport 1000:2000 -d 192.168.1.2 -j SNAT --to-source 192.168.1.1

После добавления этого правила можете проверять работу перенаправление портов iptables будет выполняться и все будет отправляться так, как нужно.

Сохранение настроек iptables

Теперь, когда все настроено, нужно сохранить этот набор правил, чтобы он загружался автоматически при каждом старте. Для этого выполните:

sudo service iptables-persistent save

Готово. Теперь проброс портов iptables ubuntu будет работать так, как нужно.

Выводы

В этой статье мы рассмотрели как выполняется перенаправление портов iptables. Процесс включает в себя разрешение на проходящий трафик на уровне ядра, разрешение определенного типа трафика, а также настройку адресов источника и назначения для правильного прохождения пакетов.

На завершение, видео о том, что такое NAT:

 

losst.ru

Проброс портов (port forwarding) в Linux используя iptables

Поговорим о том как с помощью iptables в linux пробросить порт с белого на серый адрес, а также перенаправить с одного порта на другой.

Постановка задачи:

У нас имеется компьютер под управлением linux, выступающий в роли маршрутизатора с одним внешним интерфейсом для доступа в Интернет и внутренним интерфейсом локальной сети. Требуется пробросить tcp порт (50544) с белого ip-адреса на серый ip-адрес, используя для этого iptables.

Алгоритм проброса портов в iptables.

В принципе все довольно просто, необходимо добавить всего 2 правила.

1. Правило для подмены внешнего ip-адреса (11.11.11.11) на внутренний ip-адрес (192.168.1.100) для заданного порта (50544).

iptables -t nat -A PREROUTING -p tcp -m tcp -d 11.11.11.11 --dport 50544 -j DNAT --to-destination 192.168.1.10:50544

2. Правило для подмены внутреннего ip-адреса (192.168.1.100) на внешний ip-адрес (11.11.11.11) для заданного порта (50544).

iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.1.100 --sport 50544 -j SNAT --to-source 11.11.11.11:50544

Не забываем сохраняться.

service iptables save

Или

/etc/init.d/iptables save

Посмотреть текущие правила iptables можно с помощью команды:

iptables -L -t nat

Пример:

ADMIN-GURU:/# iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere 11.11.11.11 tcp dpt:50544 to:192.168.1.10:50544 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT tcp -- 192.168.1.100 anywhere tcp spt:50544 to:11.11.11.11:50544

Таким же образом можно организовать проброс траффика между разными портами, а именно трафик с 11.11.11.11:50544 на 192.168.1.100:50111

iptables -t nat -A PREROUTING -p tcp -m tcp -d 11.11.11.11 --dport 50544 -j DNAT --to-destination 192.168.1.100:50111 iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.1.100 --sport 50111 -j SNAT --to-source 11.11.11.11:50544

Вот и все, на этом рассмотрение проброса портов в операционных системах под управлением Linux с помощью iptables завершено.

admin-gu.ru

Как в Linux сделать проброс портов?

Чаще всего проброс трафика используется, если мы находимся в локальной сети и от внешнего мира отделены шлюзом. Для того, чтобы открыть доступ для локальных служб (ssh, web, ftp), нам необходимо пробросить порты. Поскольку в качестве шлюза мы будем использовать сервер на Linux, то осуществлять данные действия будем с помощью iptables.

Содержание статьи

Порты в Linux

Как мы уже знаем, каждое устройство (компьютер, ноутбук, мобильный телефон, и т.д.) в сети имеет свой собственный IP-адрес. Он уникален для каждого отдельного устройства и дает возможность организовывать сетевые соединения между устройствами. Тем не менее, на отдельном устройстве может быть запущено несколько сетевых приложений одновременно. Порты предоставляют возможность идентифицировать такие сетевые приложения на отдельно взятом компьютере.

Порт — это числовой идентификатор программы или процесса, которые обслуживают сетевые соединения на заданном сетевом адресе (IP-адресе).

Например, некоторые Интернет-сервера имеют несколько одновременно работающих сетевых приложений, таких как веб-сервер (для организации доступа к веб-сайтам на этом сервере), почтовый сервер (для организации получения и отправки сообщений электронной почты) и FTP-сервер (для передачи файлов). Самому физическому серверу в данном случае назначен его уникальный IP-адрес, но если мы попытаемся создать соединение с сервером только по его IP, возникнет проблема неоднозначности — мне не знаем с каким именно приложением мы должны соединиться для обмена данными.

Проброс портов в Linux

На шлюз приходит пакет, который мы должны перенаправить на нужный сервер в локальной сети перед принятием решения о маршрутизации, то есть — в цепочке PREROUTING таблицы nat.

iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP

Перенаправление портов в Linux

Перенаправление портов нужно в том случае, если мы хотим «замаскировать» внутреннюю службу, обеспечив к ней доступ извне не по стандартному, а совсем по другому порту. Пусть $FAKE_PORT — обманный порт на внешнем интерфейсе шлюза, подключившись к которому мы должны попасть на адрес $LAN_IP и порт $SRV_PORT. Набор правил для iptables будет отличаться несущественно, поэтому приведу сразу пример итогового скрипта для ленивых.

#!/bin/bashEXT_IP="xxx.xxx.xxx.xxx" # внешний, реальный IP-адрес шлюза;INT_IP="xxx.xxx.xxx.xxx" # См. выше.EXT_IF=eth0 # Внешний и внутренний интерфейсы.INT_IF=eth2 # Для шлюза они вряд ли изменятся, поэтому можно прописать вручную.FAKE_PORT=$1 # Вначале передаём скрипту "неправильный" порт на внешнем интерфейсе,LAN_IP=$2 # затем - локальный адрес сервераSRV_PORT=$3 # и в конце - реальный порт для подключения к серверу# Здесь опять надо сделать проверку ввода данных, потому что операции всё ещё серьёзные.iptables -t nat -A PREROUTING -d $EXT_IP -p tcp -m tcp --dport $FAKE_PORT -j DNAT --to-destination $LAN_IP:$SRV_PORTiptables -t nat -A POSTROUTING -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j SNAT --to-source $INT_IPiptables -t nat -A OUTPUT -d $EXT_IP -p tcp -m tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IPiptables -I FORWARD 1 -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j ACCEPT

Предположим, у вас есть веб-сервер в локальной сети, который должен быть доступным из дикого интернета только по https (443/tcp). Причин не использовать VPN или отдельный IP для отдельного сервера может быть много. Например, архитектура сети, отсутствие свободных IP, веб-сервер — гостевая виртуальная машина, а наш шлюз — хост )) Ну, не знаю, сами придумайте ситуацию.

Причем мы хитрые и хотим, чтобы наш веб сервер из интернета не был виден на 443 порту, а был доступен, скажем, на 1293 порту (примерно вот так: https://1.2.3.4:1293). Итак, мы хотим перенаправить входящие из интернет на порт 1293 на порт 443 сервера в локальной сети.

IPT="/sbin/iptables"

IF_EXT="eth0" # Внешний сетевой адаптерIF_INT="eth2" # Внутренний сетевой адаптер

IP_EXT="1.2.3.4" # Внешний IPIP_INT="192.168.1.1" # Внутренний IP

FAKE_PORT="1293" # Фейковый порт, доступен из интернет

LOCAL_SRV="192.168.1.28" # Web сервер в LANSRV_PORT="443" # Настоящий порт

# NAT$IPT -t nat -A PREROUTING -i $IF_EXT -p tcp -d $IP_EXT --dport $FAKE_PORT -j DNAT --to $LOCAL_SRV:$SRV_PORT

# FORWARD$IPT -A FORWARD -i $IF_EXT -o $IF_INT -d $LOCAL_SRV -p tcp --dport $SRV_PORT -j ACCEPT

Перенаправление с одного ip на другой в Linux

Не всегда перенаправление совершается из/в локальную сеть. Бывает, что необходимо сделать проброс соединения на какой-то сервер, используя промежуточный. Это может быть необходимо для дополнительной фильтрации подключаемых клиентов, для разделения нагрузки и других задач. Есть хост с публичным IP-адресом (1.1.1.1), ему может быть сопоставлено доменное имя, для которого могут быть выпущены SSL-сертификаты и прочее.

Нужно, чтобы клиенты, обращающиеся на 1.1.1.1:25, направлялись бы на 2.2.2.2:25, с 1.1.1.1:443 — на 3.3.3.3:443, а с ip 4.4.4.4 обращения на порт 3535 шли бы на 3.3.3.3:22. 1.1.1.1, 2.2.2.2, 3.3.3.3 — это публичные IP-адреса (а могут быть и внутренними, не важно, могут быть от разных ISP и вообще, в разных местах). Подключающимся клиентам это знать незачем, не придется ничего перенастраивать в почтовых программах и т.п.

#!/bin/sh

IF_EXT="eth0"IPT="/sbin/iptables"

# flush$IPT --flush$IPT -t nat --flush$IPT -t mangle --flush$IPT -X

# loopback$IPT -A INPUT -i lo -j ACCEPT$IPT -A OUTPUT -o lo -j ACCEPT

# default$IPT -P INPUT DROP$IPT -P OUTPUT DROP$IPT -P FORWARD DROP

# allow forwardingecho 1 > /proc/sys/net/ipv4/ip_forward

# NAT$IPT -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 25 -j DNAT --to 2.2.2.2:25$IPT -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 443 -j DNAT --to 3.3.3.3:443$IPT -t nat -A PREROUTING -i $IF_EXT -p tcp -s 4.4.4.4 --dport 3535 -j DNAT --to 3.3.3.3:22

$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

# FORWARD$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i $IF_EXT -o $IF_EXT -s 4.4.4.4 -d 3.3.3.3 -j ACCEPT$IPT -A FORWARD -i $IF_EXT -o $IF_EXT -d 2.2.2.2 -j ACCEPT$IPT -A FORWARD -i $IF_EXT -o $IF_EXT -d 3.3.3.3 -j ACCEPT

# log#$IPT -A FORWARD -j LOG --log-prefix " ---FORWARD-LOG--- "

# INPUT$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ssh$IPT -A INPUT -p tcp --dport 22 -j ACCEPT

# OUTPUT$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Если что-то не так, вы должны понимать, что пакет все же пришел на 1.1.1.1:25. А вот потом не ушел. Он не должен попасть никуда, кроме FORWARD. Поэтому для отлова отбрасываемого трафика в цепочке FORWARD раскомментируйте правило лога (есть в примере) и просматривайте события в реальном времени (например, «tail -f /var/log/messages»). В соответствии с тем, что вы увидите в логе, испрвьте ваши правила iptables. Все должно получиться. Когда это произойдет, не забудьте выключить логирование (иначе размер лог-файла станет огромным).

www.linux16.ru

Проброс портов в Линукс с помощью iptables

Linux системы набирают популярность, и частенько приходится использовать их как маршрутизатор в локальной сети, например, дома.И, как правило, в таких случаях нам помогает такая утилита, как iptables — стандартный брендмауэр Linux.

C его помощью, например, можно достаточно легко организовать локальную сеть с NAT.

Начнем с краткого описания нужных операций в iptables:

Синтаксис: iptables -t *таблица* *команда*

Ключи:-L — список правил-F — удалить все правила-A — добавить правилопример: iptables -t *таблица* -A *цепочка* *правило*-D — удалить правило

пример: iptables -t *таблица* -D *цепочка* *номер правила*

Для сохранения текущих правил выполните:

/etc/init.d/iptables save

И так, допустим, у нас есть локальная сеть, и нам необходимо обеспечить ее Интернетом, а так же пробросить порты с внешнего адреса в локальную сеть.

Для начала нам нужно включить форвардинг:

echo 1 > /proc/sys/net/ipv4/ip_forward

Для автоматического включения открываем файл /etc/sysctl.conf и ищем там строку и убираем знак комментария:# net.ipv4.ip_forward=1у нас получается:net.ipv4.ip_forward=1

  • 1. Доступ в Интернет
  • Предположим, что eth0 подключен к провайдеру и имеет IP-адрес в его подсети, допустим 199.199.199.2.eth2 подключен к компьютеру в локальной сети, которому нужно обеспечить доступ в Интернет через NAT.eth2 имеет адрес 10.10.10.1.IP-адрес компьютера, которому необходимо обеспечить доступ — 10.10.10.2

    Даем доступ интерфейсу eth2 с IP-адреса 10.10.10.2:

    iptables -t nat -A POSTROUTING -s 10.10.10.2 -o eth2 -j MASQUERADE

    или всей подсети:

    iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth2 -j MASQUERADE
  • 2. Проброс порта
  • Взависимости от ситуации внешний порт можно пробросить на локальную машину.

    Например, у нас имеется ftp сервер внутри сети — 10.10.10.2 порт 21,и нам нужно разрешить пользователям подключаться к нему из Интеренета.Внешний адрес — 199.199.199.2, адрес ftp — 10.10.10.2, порт — 21.

    iptables -t nat -A PREROUTING --dst 199.199.199.2 -p tcp --dport 21 -j DNAT --to-destination 10.10.10.2 iptables -I FORWARD -i eth0 -o eth2 -d 10.10.10.2 -p tcp -m tcp --dport 21 -j ACCEPT

    Первое правило добавляется в табицу трасляции (-t nat), оно перенапрявляет пакеты, посланные на порт 21, с адреса 199.199.199.2 на 10.10.10.2.Второе правило разрешает пакетам проходить по данному маршруту.

    Для проброса более одного порта используется двоеточие.Например для проброса всех портов используйте комманды:

    iptables -t nat -A PREROUTING --dst 199.199.199.2 -p tcp --dport 1024:65535 -j DNAT --to-destination 10.10.10.2 iptables -I FORWARD -i eth0 -o eth2 -d 10.10.10.2 -p tcp -m tcp --dport 1024:65535 -j ACCEPT

    В случае переадресации внешний порт можно изменить, например, с 21 на 4321.Например, нам надо замаскировать сервис так, чтобы при подключении к 199.199.199.2:4321 клиент попадал на 192.168.0.2:21.Для этого добавляем правила:

    iptables -t nat -A PREROUTING --dst 199.199.199.2 -p tcp -m tcp --dport 4321 -j DNAT --to-destination 10.10.10.2:21 iptables -I FORWARD -i eth0 -o eth2 -d 10.10.10.2 -p tcp -m tcp --dport 21 -j ACCEPT

    strong

    pingtool.org

    Проброс и перенаправление портов в iptables | Geek Notes

    Проброс трафика за NAT или проброс трафика на другой сервер

    Чаще всего проброс трафика используется, если мы находимся в локальной сети и от внешнего мира отделены шлюзом. Для того, чтобы открыть доступ для локальных служб (ssh, web, ftp), нам необходимо пробросить порты. Поскольку в качестве шлюза мы будем использовать сервер на Linux, то осуществлять данные действия будем с помощью iptables.

    Определимся с переменными, которые будут использоваться в статье:

    $EXT_IP - внешний, реальный IP-адрес шлюза;$INT_IP - внутренний IP-адрес шлюза, в локальной сети;$LAN_IP - внутренний IP-адрес сервера, предоставляющего службы внешнему миру;$SRV_PORT - порт службы. Для веб-сервера равен 80, для SMTP - 25 и т.д.;eth0 - внешний интерфейс шлюза. Именно ему присвоен сетевой адрес $EXT_IP;eth2 - внутренний интерфейс шлюза, с адресом $INT_IP;

    Проброс портов

    На шлюз приходит пакет, который мы должны перенаправить на нужный сервер в локальной сети перед принятием решения о маршрутизации, то есть - в цепочке PREROUTING таблицы nat.

    iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP

    Рассмотрим пример

    iptables -t nat -A PREROUTING --dst 1.2.3.4 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.50

    Если входящий пакет пришёл извне на шлюз (1.2.3.4), но предназначен веб-серверу (порт 80), то адрес назначения подменяется на локальный адрес 192.168.1.50. И впоследствии маршрутизатор передаст пакет в локальную сеть.

    Дальше принимается решение о маршрутизации. В результате пакет пойдёт по цепочке FORWARD таблицы filter, поэтому в неё надо добавить разрешающее правило. Оно может выглядеть, например, так:

    iptables -I FORWARD 1 -i eth0 -o eth2 -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j ACCEPT

    Рассмотрим пример

    iptables -I FORWARD 1 -i eth0 -o eth2 -d 192.168.0.22 -p tcp -m tcp --dport 80 -j ACCEPT

    Пропустить пакет, который пришёл на внешний интерфейс, уходит с внутреннего интерфейса и предназначен веб-серверу (192.168.1.50:80) локальной сети.

    С одной стороны, этих двух правил уже достаточно для того, чтобы любые клиенты за пределами локальной сети успешно подключались к внутреннему серверу. С другой - а что будет, если попытается подключиться клиент из локальной сети? Подключение просто не состоится: стороны не поймут друг друга.

    Допустим, 192.168.1.31 - ip-адрес клиента внутри локальной сети.

    1. Пользователь вводит в адресную строку браузера адрес example.com;
    2. Сервер обращается к DNS и разрешает имя example.com в адрес 1.2.3.4;
    3. Маршрутизатор понимает, что это внешний адрес и отправляет пакет на шлюз;
    4. Шлюз, в соответствии с нашим правилом, подменяет в пакете адрес 1.2.3.4 на 192.168.1.50, после чего отправляет пакет серверу;
    5. Веб-сервер видит, что клиент находится в этой же локальной сети (обратный адрес пакета - 192.168.1.31) и пытается передать данные напрямую клиенту, в обход шлюза;
    6. Клиент игнорирует ответ, потому что он приходит не с 1.2.3.4, а с 192.168.1.50;
    7. Клиент и сервер ждут, но связи и обмена данными нет.

    Есть два способа избежать данной ситуации.

    Первый - разграничивать обращения к серверу изнутри и извне, для этого создать на локальном DNS-сервере А-запись для example.com указывающую на 192.168.1.50

    Второй - с помощью того же iptables заменить обратный адрес пакета.Правило должно быть добавлено после принятия решения о маршрутизации и перед непосредственной отсылкой пакета. То есть - в цепочке POSTROUTING таблицы nat.

    iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP

    Рассмотрим пример

    iptables -t nat -A POSTROUTING --dst 192.168.1.50 -p tcp --dport 80 -j SNAT --to-source 192.168.1.1

    Если пакет предназначен веб-серверу, то обратный адрес клиента заменяется на внутренний адрес шлюза.Этим мы гарантируем, что ответный пакет пойдёт через шлюз.

    Надо дополнительно отметить, что это правило важно только для внутренних клиентов. Ответ внешним клиентам пойдёт через шлюз в любом случае.

    Но, пока что, для нормальной работы этого недостаточно. Предположим, что в качестве клиента выступает сам шлюз.В соответствии с нашими предыдущими правилами он будет гонять трафик от себя к себе и представлять исходящие пакеты транзитными.

    Исправляем это:

    iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP

    Рассмотрим пример

    iptables -t nat -A OUTPUT --dst 1.2.3.4 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.50

    Теперь для удобства запилим скрипт, чтобы не прописывать правила каждый раз вручную.

    rules.sh

    #!/bin/bash

    EXT_IP="xxx.xxx.xxx.xxx"

    INT_IP="xxx.xxx.xxx.xxx"

    EXT_IF=eth0

    INT_IF=eth2

    LAN_IP=$1

    SRV_PORT=$2

    iptables -t nat -A PREROUTING --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP

    iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP

    iptables -t nat -A OUTPUT --dst $EXT_IP -p tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP

    iptables -I FORWARD 1 -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j ACCEPT

    Теперь, чтобы обеспечить доступ извне к локальному FTP по адресу 192.168.1.52, достаточно набрать в консоли от имени супер-пользователя:

    ./rules.sh 192.168.1.52 20,21

    Перенаправление портов

    Перенаправление портов нужно в том случае, если мы хотим «замаскировать» внутреннюю службу, обеспечив к ней доступ извне не по стандартному, а совсем по другому порту.

    Пусть $FAKE_PORT - обманный порт на внешнем интерфейсе шлюза, подключившись к которому мы должны попасть на адрес $LAN_IP и порт $SRV_PORT.

    Набор правил для iptables будет отличаться несущественно, поэтому приведу сразу пример итогового скрипта для ленивых.

    #!/bin/bash

    EXT_IP="xxx.xxx.xxx.xxx"

    INT_IP="xxx.xxx.xxx.xxx"

    EXT_IF=eth0

    INT_IF=eth2

    FAKE_PORT=$1

    LAN_IP=$2

    SRV_PORT=$3

    iptables -t nat -A PREROUTING -d $EXT_IP -p tcp -m tcp --dport $FAKE_PORT -j DNAT --to-destination $LAN_IP:$SRV_PORT

    iptables -t nat -A POSTROUTING -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP

    iptables -t nat -A OUTPUT -d $EXT_IP -p tcp -m tcp --dport $SRV_PORT -j DNAT --to-destination $LAN_IP

    iptables -I FORWARD 1 -i $EXT_IF -o $INT_IF -d $LAN_IP -p tcp -m tcp --dport $SRV_PORT -j ACCEPT

    bogachev.biz

    Linux iptables NAT проброс портов

    Конфигурация для SendOS Fedora Redhat Suse Ubuntu

    Если у вас две сетевые карты eth0, eth2

    Допустим:

    • eth0 подключен к локальной сети
    • eth2 подключается к сети общего пользования (или ppp0)

    Masquerading

    1) Чтобы включить nat для eth0 для всех пользователей локальной сети

    Если вы используете службу iptables, используйте следующий метод

    # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

    Чтобы сохранить изменения выполните:

    # iptables-save > /etc/sysconfig/iptables

    или

    # service iptables save # service iptables restart

    Это позволит работать Маскарадингу в системе.

    Теперь вы можете настроить eth0 как шлюз для локальной сети.

    Если вы не используете сервис iptables

    Измените файл /etc/rc.local и добавьте в него следующие строки:

    # echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE 

    Затем выполните файл ./rc.local

    2) Как включить nat для eth0 для указанного пользователя сети

    # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A POSTROUTING -s x.x.x.x(ip of local user system1) -o eth2 -j MASQUERADE # iptables -t nat -A POSTROUTING -s x.x.x.x(ip of local user system2) -o eth2 -j MASQUERADE # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    Перенаправление портов

    1) Чтобы перенаправить внешний 80-портовый трафик на порт 3128

    # iptables -t nat -A PREROUTING -i eth2 -p tcp –dport 80 -j REDIRECT –to-port 3128

    2) Перенаправить внешний трафик порта rdp на любой локальный системный rdp-порт.

    # iptables -t nat -A PREROUTING -t nat -p tcp -d x.x.x.x(eth2 ip) –dport 3389 -j DNAT –to x.x.x.x(ip of any local network system):3389  

    или

    # iptables -t nat -A PREROUTING -t nat -p tcp -d x.x.x.x(eth2 ip) –dport 3382 -j DNAT –to x.x.x.x(ip of any local network system):3389

    Исходя из вашего требования, вы можете изменить порт и ip

    itsecforu.ru

    Как сделать проброс портов в Ubuntu Server

    Термин «проброс портов» активно используют в своей терминологии профессионалы, а для новичков подобный жаргон часто остаётся непонятным. Это технология, которая позволяет работать с компьютером в локальной сети из интернета. При этом в локальной сети может находиться маршрутизатор, который использует преобразование сетевых адресов. Таким образом, происходит перенаправление трафика с определённых портов по внешнему адресу на определённый адрес ПК во внутренней сети. С Ubuntu проброс портов достаточно несложен в исполнении.

    Проброс портов может понадобиться при организации пиринговой сети.

    Подход проброса портов часто используется, когда нужно организовать на локальном компьютере сервер с доступом из любой точки мира, создать пиринговую сеть, или же использовать такое соединение для игр с большим количеством реальных игроков. Мы рассмотрим несколько основных способов реализации такой функции.

    Средствами маршрутизатора

    На некоторых маршрутизаторах есть возможность быстро включить поддержку проброса. Допустим, на устройствах D-Link она носит название «виртуальный сервер». Как правило, такая настройка выполняется через web-оболочку.

    1. Откройте браузер. В адресной строке наберите 192.168.0.1.
    2. Введите имя пользователя и пароль.
    3. Если на вашем маршрутизаторе есть Мастер настройки, запустите его и выберите задачу «Настройка виртуального сервера». Или же попробуйте найти такую функцию в разделах настроек «Межсетевой экран (Брандмауэр, firewall).
    4. В появившихся окнах задайте все необходимые параметры сервера. Как правило, это:
      • Интерфейс. Здесь нужно выбрать соединение для связи между компьютерами.
      • Внутренний IP. Это адрес сервера в местной сети.
      • Внешний (удалённый) IP. Адрес сервера, с которого будет осуществляться доступ.
      • Имя настройки. Имя для набора параметров.
    5. Сохраните введённые настройки.

    Такой подход позволяет создать перенаправление средствами роутера. Он применим к любой операционной системе, в том числе, к Убунту Сервер.

    С использованием Hamachi

    Этот способ ориентирован именно на Ubuntu, где проброс портов будет выполняться с помощью Hamachi. Хамачи позволяет построить VPN. Другими словами — это программа для работы с виртуальными частными сетями.

    Допустим, в разных сетях существует группа удалённых друг от друга ПК, а связь в сети выполняется через VPN Hamachi. Сама программа должна быть установлена на сервере. После этого можно настраивать проброс портов. Идея в том, что ПК из других локальных сетей будут обращаться напрямую только к серверу. Он, в свою очередь, будет перенаправлять их на нужный ПК внутри сети, на котором будет находиться необходимый порт. Для выполнения инструкций потребуется компьютер с установленной Ubuntu Server.

    Установка Хамачи. Для начала, загрузите пакет с официального сайта:

    wget https://secure.logmein.com/labs/logmein-hamachi_2.1.0.119-1_amd64.deb

    Инсталлируйте нужный пакет:

    sudo apt-get install lsb

    Теперь проведите сборку пакета, который был загружен:

    dpkg -i logmein-hamachi_2.1.0.119-1_amd64.deb

    Можно запустить соответствующую службу, а также саму программу:

    service logmein-hamachi starthamachi login

    Присвойте личному компьютеру имя в Хамачи. После этого подключитесь к нужной сети:

    hamachi set-nick $NAME.hamachi join $NAME_NETWORK

    Введите все нужные данные для доступа к сети.

    Теперь рассмотрим, как на базе созданного подключения прокинуть порт. Воспользуемся утилитой Rinetd. Для начала нужно загрузить саму утилиту:

    sudo apt-get install rinetd

    Теперь в файлы конфигурации потребуется внести изменения:

    nano /etc/rinetd.conf

    Сам файл, открываем при помощи редактора nano. В конце документа нужно добавить строчку:

    (IP-интерфейса сервера) (прослушиваемый порт) (адрес внешнего ПК) (порт внешнего ПК)

    Вставлять значения нужно без скобок, с пробелами. Для каждого подключения нужно добавить свою строку, по порядку. Теперь нужно выполнить перезапуск службы:

    service rinetd restart

    Теперь потребуется отключить межсетевой экран:

    sudo ufw disable

    Вот и всё. В завершение процесса нужно перезагрузить сервер, после чего можно проверить подключения. Проброшенный трафик можно будет контролировать при помощи дополнительных утилит.

    С использованием Squid

    Squid — это прокси-сервер для Ubuntu. Мы уже рассматривали, как прокинуть порт на Ubuntu Сервер, Squid — также хороший инструмент для этого. Он поможет, когда необходим максимальный контроль сетевого трафика. Squid можно установить по команде:

    sudo apt-get install squid3

    Настройка программы выполняется правкой директив, расположенных в файле:

    /etc/squid/squid.conf

    О других особенностях использования Squid вы сможете узнать на официальном сайте.

    Заключение

    Проброс портов оказался не так уж и сложен, не правда ли? Убунту Сервер имеет ещё много возможностей по управлению сервером. Если у вас есть вопросы по другим программам для Убунту, и вы не знаете, кого спросить — задайте их в комментариях к этой статье!

    nastroyvse.ru