forum.opennet.ru - "Перенаправление" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Перенаправление"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Перенаправление"	+/–
Сообщение от nomas (ok) on 17-Авг-11, 22:08
Здравствуйте. Только начинаю разбираться в iptables. Общая задача. Есть игровой сервер lineage2 ОС windows server 2008 x64. чтобы сервер положить (типа ddos) достаточно открыть много подключений, сервер сжирает ОП и падает. Посоветовали поставить сервер на линук с перенаправлением на сервер с игрой чтобы использовать в нем гибкий фаерволл. Пока тренируюсь на centos (vps), пытаюсь сделать перенаправление. 111.111.111.111 ip сервер с игрой 222.222.222.222 ip vps с centos который должен перенаправлять. iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 2106 -j DNAT --to-destination 222.222.222.222 пример брал с http://www.opennet.dev/docs/RUS/iptables/#DNATTARGET Подскажите пожалуйста в чем ошибка?
Ответить \| Правка \| Cообщить модератору

Оглавление

Перенаправление, Zl0, 23:44 , 17-Авг-11, (1)

Перенаправление, nomas, 00:04 , 18-Авг-11, (2)

Перенаправление, rusadmin, 15:32 , 18-Авг-11, (3)

Перенаправление, nomas, 00:41 , 19-Авг-11, (4)

Перенаправление, reader, 01:02 , 19-Авг-11, (5)

Перенаправление, nomas, 01:18 , 19-Авг-11, (6)

Перенаправление, rusadmin, 06:21 , 19-Авг-11, (7)

Перенаправление, reader, 10:37 , 19-Авг-11, (8)
Перенаправление, nomas, 11:41 , 19-Авг-11, (9)

Перенаправление, nomas, 11:49 , 19-Авг-11, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Перенаправление" +/–

Сообщение от Zl0 (ok) on 17-Авг-11, 23:44

iptables forward accept?
sysctl  ipv4 forward=1?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Перенаправление" +/–

Сообщение от nomas (ok) on 18-Авг-11, 00:04

> iptables forward accept?
> sysctl  ipv4 forward=1?
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
это?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Перенаправление" +/–

Сообщение от rusadmin (ok) on 18-Авг-11, 15:32

>> iptables forward accept?
>> sysctl  ipv4 forward=1?
> # Controls IP packet forwarding
> net.ipv4.ip_forward = 1
>  это?
Команда iptables -P FORWARD ACCEPT разрешит прохождение транзитных пакетов через ваш хост.
Команда  sysctl net.ipv4.ip_forward = 1 объяснить ядру что надо бы включить пересылку пакетов (маршрутизацию)

Тольк по-моему вы перепутали местами истинный источник и назначение. А раз уж:
111.111.111.111 ip сервер с игрой
222.222.222.222 ip vps с centos который должен перенаправлять.
то и подключаться народ должен к 222.222.222.222:
iptables -t nat -A PREROUTING -p tcp -d 222.222.222.222 --dport 2106 -j DNAT --to-destination 111.111.111.111
Либо отдайте ip 111.111.111.111 фаерволу, а игровому серверу назначите какойнить серый айпи и связывайте его с фаером.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Перенаправление" +/–

Сообщение от nomas (ok) on 19-Авг-11, 00:41

>[оверквотинг удален]
> Команда  sysctl net.ipv4.ip_forward = 1 объяснить ядру что надо бы включить
> пересылку пакетов (маршрутизацию)
> Тольк по-моему вы перепутали местами истинный источник и назначение. А раз уж:
> 111.111.111.111 ip сервер с игрой
> 222.222.222.222 ip vps с centos который должен перенаправлять.
> то и подключаться народ должен к 222.222.222.222:
> iptables -t nat -A PREROUTING -p tcp -d 222.222.222.222 --dport 2106 -j
> DNAT --to-destination 111.111.111.111
>  Либо отдайте ip 111.111.111.111 фаерволу, а игровому серверу назначите какойнить серый
> айпи и связывайте его с фаером.
не получается
ради эксперимента сделал правило
iptables -t nat -A OUTPUT --dst 222.222.222.222 -p tcp --dport 2106 -j DNAT \
--to-destination 111.111.111.111
использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы отсылать от имени сервера.
так работает.
а вот перенаправление не работает.
может это связано с тем что это впс, стоят какие то ограничения?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Перенаправление" +/–

Сообщение от reader (ok) on 19-Авг-11, 01:02

>[оверквотинг удален]
> не получается
> ради эксперимента сделал правило
> iptables -t nat -A OUTPUT --dst 222.222.222.222 -p tcp --dport 2106 -j
> DNAT \
> --to-destination 111.111.111.111
> использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы
> отсылать от имени сервера.
> так работает.
> а вот перенаправление не работает.
> может это связано с тем что это впс, стоят какие то ограничения?
???
cat /proc/sys/net/ipv4/ip_forward
iptables-save

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Перенаправление" +/–

Сообщение от nomas (ok) on 19-Авг-11, 01:18

>[оверквотинг удален]
>> DNAT \
>> --to-destination 111.111.111.111
>> использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы
>> отсылать от имени сервера.
>> так работает.
>> а вот перенаправление не работает.
>> может это связано с тем что это впс, стоят какие то ограничения?
> ???
> cat /proc/sys/net/ipv4/ip_forward
> iptables-save
то что я выше написал я сделал чтобы точно убедится что проблем  только в перенаправление.
в /proc/sys/net/ipv4/ip_forward
0
iptables-save
# Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011
*mangle
:PREROUTING ACCEPT [708:45439]
:INPUT ACCEPT [690:44467]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [693:50556]
:POSTROUTING ACCEPT [693:50556]
COMMIT
# Completed on Fri Aug 19 01:14:23 2011
# Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011
*filter
:INPUT ACCEPT [707:46039]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [710:51880]
COMMIT
# Completed on Fri Aug 19 01:14:23 2011
# Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011
*nat
:PREROUTING ACCEPT [428:23566]
:POSTROUTING ACCEPT [4:232]
:OUTPUT ACCEPT [3:172]
-A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT --to-destination IP_game_server
-A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT --to-destination IP_game_server
COMMIT

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Перенаправление" +/–

Сообщение от rusadmin (ok) on 19-Авг-11, 06:21

>[оверквотинг удален]
> # Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011
> *nat
> :PREROUTING ACCEPT [428:23566]
> :POSTROUTING ACCEPT [4:232]
> :OUTPUT ACCEPT [3:172]
> -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT
> --to-destination IP_game_server
> -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT
> --to-destination IP_game_server
> COMMIT
Вам тут уже минимум 3 раза написали про включение пересылки пакетов по sysctl net.ipv4.ip_forward = 1
Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward  = 0 говорит о том что у вас она не включена!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Перенаправление" +/–

Сообщение от reader (ok) on 19-Авг-11, 10:37

>[оверквотинг удален]
>> :OUTPUT ACCEPT [3:172]
>> -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT
>> --to-destination IP_game_server
>> -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT
>> --to-destination IP_game_server
>> COMMIT
> Вам тут уже минимум 3 раза написали про включение пересылки пакетов по
> sysctl net.ipv4.ip_forward = 1
> Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward  = 0 говорит о том что
> у вас она не включена!
да, это первый прикол, после исправления будет второй - клиент будет обращаться на IP_VPS, а ответ получать от IP_game_server , что ему явно не понравится

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Перенаправление" +/–

Сообщение от nomas (ok) on 19-Авг-11, 11:41

>[оверквотинг удален]
>> :OUTPUT ACCEPT [3:172]
>> -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT
>> --to-destination IP_game_server
>> -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT
>> --to-destination IP_game_server
>> COMMIT
> Вам тут уже минимум 3 раза написали про включение пересылки пакетов по
> sysctl net.ipv4.ip_forward = 1
> Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward  = 0 говорит о том что
> у вас она не включена!
Извините, может я что то путаю?
в /etc/  в файле sysctl.conf
стоит
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
ну и для возврата пакета клиенту я про пишу
iptables -t nat -A POSTROUTING -p tcp --dst IP_game-server --dport 2106 -j SNAT \
--to-source IP_VPS

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Перенаправление" +/–

Сообщение от nomas (ok) on 19-Авг-11, 11:49

>[оверквотинг удален]
>> у вас она не включена!
> Извините, может я что то путаю?
> в /etc/  в файле sysctl.conf
> стоит
> # Controls IP packet forwarding
> net.ipv4.ip_forward = 1
> ну и для возврата пакета клиенту я про пишу
> iptables -t nat -A POSTROUTING -p tcp --dst IP_game-server --dport 2106 -j
> SNAT \
> --to-source IP_VPS
Всем спасибо большое разобрался оказывается не достаточно просто прописать в конфиг.
sysctl — в BSD и Linux — программа, предназначенная для управления отдельными параметрами ядра, безопасности, сетевой подсистемы.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Перенаправление"	+/–
Сообщение от Zl0 (ok) on 17-Авг-11, 23:44
iptables forward accept? sysctl ipv4 forward=1?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Перенаправление"	+/–
	Сообщение от nomas (ok) on 18-Авг-11, 00:04
	> iptables forward accept? > sysctl ipv4 forward=1? # Controls IP packet forwarding net.ipv4.ip_forward = 1 это?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Перенаправление"	+/–
	Сообщение от rusadmin (ok) on 18-Авг-11, 15:32
	>> iptables forward accept? >> sysctl ipv4 forward=1? > # Controls IP packet forwarding > net.ipv4.ip_forward = 1 > это? Команда iptables -P FORWARD ACCEPT разрешит прохождение транзитных пакетов через ваш хост. Команда sysctl net.ipv4.ip_forward = 1 объяснить ядру что надо бы включить пересылку пакетов (маршрутизацию) Тольк по-моему вы перепутали местами истинный источник и назначение. А раз уж: 111.111.111.111 ip сервер с игрой 222.222.222.222 ip vps с centos который должен перенаправлять. то и подключаться народ должен к 222.222.222.222: iptables -t nat -A PREROUTING -p tcp -d 222.222.222.222 --dport 2106 -j DNAT --to-destination 111.111.111.111 Либо отдайте ip 111.111.111.111 фаерволу, а игровому серверу назначите какойнить серый айпи и связывайте его с фаером.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Перенаправление"	+/–
	Сообщение от nomas (ok) on 19-Авг-11, 00:41
	>[оверквотинг удален] > Команда sysctl net.ipv4.ip_forward = 1 объяснить ядру что надо бы включить > пересылку пакетов (маршрутизацию) > Тольк по-моему вы перепутали местами истинный источник и назначение. А раз уж: > 111.111.111.111 ip сервер с игрой > 222.222.222.222 ip vps с centos который должен перенаправлять. > то и подключаться народ должен к 222.222.222.222: > iptables -t nat -A PREROUTING -p tcp -d 222.222.222.222 --dport 2106 -j > DNAT --to-destination 111.111.111.111 > Либо отдайте ip 111.111.111.111 фаерволу, а игровому серверу назначите какойнить серый > айпи и связывайте его с фаером. не получается ради эксперимента сделал правило iptables -t nat -A OUTPUT --dst 222.222.222.222 -p tcp --dport 2106 -j DNAT \ --to-destination 111.111.111.111 использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы отсылать от имени сервера. так работает. а вот перенаправление не работает. может это связано с тем что это впс, стоят какие то ограничения?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Перенаправление"	+/–
	Сообщение от reader (ok) on 19-Авг-11, 01:02
	>[оверквотинг удален] > не получается > ради эксперимента сделал правило > iptables -t nat -A OUTPUT --dst 222.222.222.222 -p tcp --dport 2106 -j > DNAT \ > --to-destination 111.111.111.111 > использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы > отсылать от имени сервера. > так работает. > а вот перенаправление не работает. > может это связано с тем что это впс, стоят какие то ограничения? ??? cat /proc/sys/net/ipv4/ip_forward iptables-save
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Перенаправление"	+/–
	Сообщение от nomas (ok) on 19-Авг-11, 01:18
	>[оверквотинг удален] >> DNAT \ >> --to-destination 111.111.111.111 >> использовал прокси для подключения клиента игры на том же сервере (VPS) чтобы >> отсылать от имени сервера. >> так работает. >> а вот перенаправление не работает. >> может это связано с тем что это впс, стоят какие то ограничения? > ??? > cat /proc/sys/net/ipv4/ip_forward > iptables-save то что я выше написал я сделал чтобы точно убедится что проблем только в перенаправление. в /proc/sys/net/ipv4/ip_forward 0 iptables-save # Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011 mangle :PREROUTING ACCEPT [708:45439] :INPUT ACCEPT [690:44467] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [693:50556] :POSTROUTING ACCEPT [693:50556] COMMIT # Completed on Fri Aug 19 01:14:23 2011 # Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011 filter :INPUT ACCEPT [707:46039] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [710:51880] COMMIT # Completed on Fri Aug 19 01:14:23 2011 # Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011 *nat :PREROUTING ACCEPT [428:23566] :POSTROUTING ACCEPT [4:232] :OUTPUT ACCEPT [3:172] -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT --to-destination IP_game_server -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT --to-destination IP_game_server COMMIT
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Перенаправление"	+/–
	Сообщение от rusadmin (ok) on 19-Авг-11, 06:21
	>[оверквотинг удален] > # Generated by iptables-save v1.3.5 on Fri Aug 19 01:14:23 2011 > *nat > :PREROUTING ACCEPT [428:23566] > :POSTROUTING ACCEPT [4:232] > :OUTPUT ACCEPT [3:172] > -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT > --to-destination IP_game_server > -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT > --to-destination IP_game_server > COMMIT Вам тут уже минимум 3 раза написали про включение пересылки пакетов по sysctl net.ipv4.ip_forward = 1 Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward = 0 говорит о том что у вас она не включена!
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Перенаправление"	+/–
	Сообщение от reader (ok) on 19-Авг-11, 10:37
	>[оверквотинг удален] >> :OUTPUT ACCEPT [3:172] >> -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT >> --to-destination IP_game_server >> -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT >> --to-destination IP_game_server >> COMMIT > Вам тут уже минимум 3 раза написали про включение пересылки пакетов по > sysctl net.ipv4.ip_forward = 1 > Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward = 0 говорит о том что > у вас она не включена! да, это первый прикол, после исправления будет второй - клиент будет обращаться на IP_VPS, а ответ получать от IP_game_server , что ему явно не понравится
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Перенаправление"	+/–
	Сообщение от nomas (ok) on 19-Авг-11, 11:41
	>[оверквотинг удален] >> :OUTPUT ACCEPT [3:172] >> -A PREROUTING -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT >> --to-destination IP_game_server >> -A OUTPUT -d IP_VPS -p tcp -m tcp --dport 2106 -j DNAT >> --to-destination IP_game_server >> COMMIT > Вам тут уже минимум 3 раза написали про включение пересылки пакетов по > sysctl net.ipv4.ip_forward = 1 > Вывод, полученный от cat /proc/sys/net/ipv4/ip_forward = 0 говорит о том что > у вас она не включена! Извините, может я что то путаю? в /etc/ в файле sysctl.conf стоит # Controls IP packet forwarding net.ipv4.ip_forward = 1 ну и для возврата пакета клиенту я про пишу iptables -t nat -A POSTROUTING -p tcp --dst IP_game-server --dport 2106 -j SNAT \ --to-source IP_VPS
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "Перенаправление"	+/–
	Сообщение от nomas (ok) on 19-Авг-11, 11:49
	>[оверквотинг удален] >> у вас она не включена! > Извините, может я что то путаю? > в /etc/ в файле sysctl.conf > стоит > # Controls IP packet forwarding > net.ipv4.ip_forward = 1 > ну и для возврата пакета клиенту я про пишу > iptables -t nat -A POSTROUTING -p tcp --dst IP_game-server --dport 2106 -j > SNAT \ > --to-source IP_VPS Всем спасибо большое разобрался оказывается не достаточно просто прописать в конфиг. sysctl — в BSD и Linux — программа, предназначенная для управления отдельными параметрами ядра, безопасности, сетевой подсистемы.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору