VB
ну только у меня не ssh
Size: a a a
2020 February 13
СГ
да как можно на локалхост пробрасывать?
EW
я не понимаю как дальше пробросить локальный 127-0-0-1/80 на внешний интерфейс
AK
Порт 80 проброшен локально с удалённой машины на локальный 127-0-0-1/80, если проверить wget'ом например — всё работает
а FORWARD разрешён?
VB
я так нпонял что 1 и3 машины за натом, а 2 впска
@SlyPepper я это правильно думаю?
AK
(да и инпут)
AK
ну и насколько я помню, надо же ещё в построутинг менять адрес?
EW
т.е. мне нужно трафик с eth0 (порт 80) на lo (порт 80) перенаправить, и возможно потом перенаправить его обратно (точно не знаю). ipv4_forward — включен
AK
iptables -t nat -A PREROUTING -p tcp -m tcp -d 11.11.11.11 --dport 80 -j DNAT --to-destination 192.168.1.100:80
iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.1.100 --sport 80 -j SNAT --to-source 11.11.11.11:80
iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.1.100 --sport 80 -j SNAT --to-source 11.11.11.11:80
VB
т.е. мне нужно трафик с eth0 (порт 80) на lo (порт 80) перенаправить, и возможно потом перенаправить его обратно (точно не знаю). ipv4_forward — включен
задачу опишите конечную. опубликовать сайтик на локалхосте в интернет?
AK
т.е. мне нужно трафик с eth0 (порт 80) на lo (порт 80) перенаправить, и возможно потом перенаправить его обратно (точно не знаю). ipv4_forward — включен
я не про net.ipv4.ip_forward=1
я про iptables -A FORWARD -i eth0 -o lo -p tcp --syn --dport 80 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
я про iptables -A FORWARD -i eth0 -o lo -p tcp --syn --dport 80 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
AK
а, не сработает так
AK
iptables -A FORWARD -i eth0 -o lo -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o lo -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i lo -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o lo -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i lo -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
AK
млять, котлеты горят!
AK
(простите)
EW
Я конечно могу ошибаться, но если переформулировать вопрос — то он звучал бы примерно так: у нас есть некая программа которая сидит на 127-0-0-1/1010 (допустим сервер БД какой-то), а нам нужно открыть к ней доступ с внешней сети, допустим с IP 8-8-8-8/1010, через iptables
VB
ssh -R 1010:localhost:1010 vpsip
VB
вроде так
VB
на фаерволе vps открыть доступ к порту 1010
EW
он изначально не был закрыт, но трафик почему-то не проходит, ну т.е. если локально (с VPS) обращаюсь на порт 1010 — всё отлично, а если запрос приходит с внешнего интерфейса — тишина