https://www.opennet.ru/openforum/vsluhforumID10/4919.html Здравствуйте.<br>Только начинаю разбираться в iptables.<br><br>Общая задача.<br>Есть игровой сервер lineage2 ОС windows server 2008 x64.<br>чтобы сервер положить (типа ddos) достаточно открыть много подключений, сервер сжирает ОП и падает. <br>Посоветовали поставить сервер на линук с перенаправлением на сервер с игрой чтобы использовать в нем гибкий фаерволл.<br><br>Пока тренируюсь на centos (vps), пытаюсь сделать перенаправление.<br><br>111.111.111.111 ip сервер с игрой<br>222.222.222.222 ip vps с centos который должен перенаправлять.<br><br><br>iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 2106 -j DNAT --to-destination 222.222.222.222<br><br>пример брал с http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET<br>Подскажите пожалуйста в чем ошибка?<br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#10 Fri, 19 Aug 2011 07:49:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt; у вас она не включена!<br>&gt; Извините, может я что то путаю?<br>&gt; в /etc/ в файле sysctl.conf <br>&gt; стоит <br>&gt; # Controls IP packet forwarding <br>&gt; net.ipv4.ip_forward = 1 <br>&gt; ну и для возврата пакета клиенту я про пишу <br>&gt; iptables -t nat -A POSTROUTING -p tcp --dst IP_game-server --dport 2106 -j <br>&gt; SNAT \ <br>&gt; --to-source IP_VPS <br><br>Всем спасибо большое разобрался оказывается не достаточно просто прописать в конфиг.<br>sysctl &#8212; в BSD и Linux &#8212; программа, предназначенная для управления отдельными параметрами ядра, безопасности, сетевой подсистемы.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#9 Fri, 19 Aug 2011 07:41:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt; :OUTPUT ACCEPT [3:172] <br>&gt;&gt; -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT <br>&gt;&gt; --to-destination IP_game_server <br>&gt;&gt; -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT <br>&gt;&gt; --to-destination IP_game_server <br>&gt;&gt; COMMIT <br>&gt; Вам тут уже минимум 3 раза написали про включение пересылки пакетов по <br>&gt; sysctl net.ipv4.ip_forward = 1 <br>&gt; Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward = 0 говорит о том что <br>&gt; у вас она не включена!<br><br>Извините, может я что то путаю?<br>в /etc/ в файле sysctl.conf<br>стоит <br># Controls IP packet forwarding<br>net.ipv4.ip_forward = 1<br><br>ну и для возврата пакета клиенту я про пишу <br>iptables -t nat -A POSTROUTING -p tcp --dst IP_game-server --dport 2106 -j SNAT \<br>--to-source IP_VPS<br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#8 Fri, 19 Aug 2011 06:37:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt; :OUTPUT ACCEPT [3:172] <br>&gt;&gt; -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT <br>&gt;&gt; --to-destination IP_game_server <br>&gt;&gt; -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT <br>&gt;&gt; --to-destination IP_game_server <br>&gt;&gt; COMMIT <br>&gt; Вам тут уже минимум 3 раза написали про включение пересылки пакетов по <br>&gt; sysctl net.ipv4.ip_forward = 1 <br>&gt; Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward = 0 говорит о том что <br>&gt; у вас она не включена!<br><br>да, это первый прикол, после исправления будет второй - клиент будет обращаться на IP_VPS, а ответ получать от IP_game_server , что ему явно не понравится<br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#7 Fri, 19 Aug 2011 02:21:46 GMT &gt;[оверквотинг удален]<br>&gt; # Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011 <br>&gt; *nat <br>&gt; :PREROUTING ACCEPT [428:23566] <br>&gt; :POSTROUTING ACCEPT [4:232] <br>&gt; :OUTPUT ACCEPT [3:172] <br>&gt; -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT <br>&gt; --to-destination IP_game_server <br>&gt; -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT <br>&gt; --to-destination IP_game_server <br>&gt; COMMIT <br><br>Вам тут уже минимум 3 раза написали про включение пересылки пакетов по sysctl net.ipv4.ip_forward = 1 <br>Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward = 0 говорит о том что у вас она не включена!<br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#6 Thu, 18 Aug 2011 21:18:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt; DNAT \ <br>&gt;&gt; --to-destination 111.111.111.111 <br>&gt;&gt; использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы <br>&gt;&gt; отсылать от имени сервера.<br>&gt;&gt; так работает.<br>&gt;&gt; а вот перенаправление не работает.<br>&gt;&gt; может это связано с тем что это впс, стоят какие то ограничения?<br>&gt; ???<br>&gt; cat /proc/sys/net/ipv4/ip_forward <br>&gt; iptables-save <br><br>то что я выше написал я сделал чтобы точно убедится что проблем только в перенаправление.<br>в /proc/sys/net/ipv4/ip_forward <br>0<br><br>iptables-save<br># Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011<br>*mangle<br>:PREROUTING ACCEPT [708:45439]<br>:INPUT ACCEPT [690:44467]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [693:50556]<br>:POSTROUTING ACCEPT [693:50556]<br>COMMIT<br># Completed on Fri Aug 19 01:14:23 2011<br># Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011<br>*filter<br>:INPUT ACCEPT [707:46039]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [710:51880]<br>COMMIT<br># Completed on Fri Aug 19 01:14:23 2011<br># Generated by iptables-save v1. https://www.opennet.ru/openforum/vsluhforumID10/4919.html#5 Thu, 18 Aug 2011 21:02:54 GMT &gt;[оверквотинг удален]<br>&gt; не получается <br>&gt; ради эксперимента сделал правило <br>&gt; iptables -t nat -A OUTPUT --dst 222.222.222.222 -p tcp --dport 2106 -j <br>&gt; DNAT \ <br>&gt; --to-destination 111.111.111.111 <br>&gt; использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы <br>&gt; отсылать от имени сервера.<br>&gt; так работает.<br>&gt; а вот перенаправление не работает.<br>&gt; может это связано с тем что это впс, стоят какие то ограничения? <br><br>??? <br>cat /proc/sys/net/ipv4/ip_forward<br>iptables-save<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#4 Thu, 18 Aug 2011 20:41:00 GMT &gt;[оверквотинг удален]<br>&gt; Команда sysctl net.ipv4.ip_forward = 1 объяснить ядру что надо бы включить <br>&gt; пересылку пакетов (маршрутизацию) <br>&gt; Тольк по-моему вы перепутали местами истинный источник и назначение. А раз уж: <br>&gt; 111.111.111.111 ip сервер с игрой <br>&gt; 222.222.222.222 ip vps с centos который должен перенаправлять.<br>&gt; то и подключаться народ должен к 222.222.222.222: <br>&gt; iptables -t nat -A PREROUTING -p tcp -d 222.222.222.222 --dport 2106 -j <br>&gt; DNAT --to-destination 111.111.111.111 <br>&gt; Либо отдайте ip 111.111.111.111 фаерволу, а игровому серверу назначите какойнить серый <br>&gt; айпи и связывайте его с фаером.<br><br>не получается<br>ради эксперимента сделал правило<br><br>iptables -t nat -A OUTPUT --dst 222.222.222.222 -p tcp --dport 2106 -j DNAT \<br>--to-destination 111.111.111.111<br><br>использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы отсылать от имени сервера.<br>так работает.<br>а вот перенаправление не работает.<br>может это связано с тем что это впс, стоят какие то ограничения?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#3 Thu, 18 Aug 2011 11:32:40 GMT &gt;&gt; iptables forward accept?<br>&gt;&gt; sysctl ipv4 forward=1?<br>&gt; # Controls IP packet forwarding <br>&gt; net.ipv4.ip_forward = 1 <br>&gt; это?<br><br>Команда iptables -P FORWARD ACCEPT разрешит прохождение транзитных пакетов через ваш хост.<br><br>Команда sysctl net.ipv4.ip_forward = 1 объяснить ядру что надо бы включить пересылку пакетов (маршрутизацию)<br><br><br>Тольк по-моему вы перепутали местами истинный источник и назначение. А раз уж:<br>111.111.111.111 ip сервер с игрой<br>222.222.222.222 ip vps с centos который должен перенаправлять.<br>то и подключаться народ должен к 222.222.222.222:<br>iptables -t nat -A PREROUTING -p tcp -d 222.222.222.222 --dport 2106 -j DNAT --to-destination 111.111.111.111<br> Либо отдайте ip 111.111.111.111 фаерволу, а игровому серверу назначите какойнить серый айпи и связывайте его с фаером. <br><br> https://www.opennet.ru/openforum/vsluhforumID10/4919.html#2 Wed, 17 Aug 2011 20:04:14 GMT &gt; iptables forward accept?<br>&gt; sysctl ipv4 forward=1?<br><br># Controls IP packet forwarding<br>net.ipv4.ip_forward = 1<br> это?<br>