nixp.ru v3.0

22 января 2017,
воскресенье,
11:06:28 MSK

DevOps с компанией «Флант»
alexbestnet написал 7 марта 2009 года в 11:11 (959 просмотров) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 3 комментария на сайте.

есть сервер на Linux с двумя ситевыми одна в нет другая в сеть за сервером стоит ICQ сервер, внутри локалки пользователи с ним нормально работаю а вот из нета к нему не могут получить доступ. Причем к сервенру с 1с из вне нормально получают.. Внешняя аска на выход пашет нормально …

INTERNET_ETH=«eth1»

INTERNET_IP=«111.111.111.1»

LAN_ETH=«eth0»

LAN_IP=«192.168.0.1»

LAN_LAN=«192.168.0.0/24»

UNPRIVPORTS=«1024:65535»

DNS_SERVER1=«111.111.111.2»

ADMIN_IP=«111.111.111.3»

SERVER_1C=«192.168.0.102»

SERVER_MAIL=«192.168.0.99»

SERVER_ICQ=«192.168.0.25»

iptables -t filter -F INPUT

iptables -t filter -F FORWARD

iptables -t filter -F OUTPUT

iptables -t nat -F POSTROUTING

iptables -t nat -F PREROUTING

#iptables -t filter -P FORWARD ACCEPT

iptables -t filter -P INPUT ACCEPT

iptables -t filter -P OUTPUT ACCEPT

iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD -j QUEUE

iptables -t nat -A PREROUTING -d $INTERNET_IP -p TCP —dport 3389 -j DNAT —to-destination $SERVER_1C:3389

iptables -t nat -A PREROUTING -d $INTERNET_IP -p TCP —dport 25 -j DNAT —to-destination $SERVER_MAIL:25

iptables -t nat -A PREROUTING -d $INTERNET_IP -p TCP —dport 110 -j DNAT —to-destination $SERVER_MAIL:110

iptables -t nat -A PREROUTING -d $INTERNET_IP -p TCP —dport 5190 -j DNAT —to-destination 192.168.0.1:5190

iptables -t nat -A PREROUTING -d $INTERNET_IP -p UDP —dport 5190 -j DNAT —to-destination 192.168.0.1:5190

iptables -t nat -A POSTROUTING -o $INTERNET_ETH -j SNAT —to-source $INTERNET_IP

echo «1» > /proc/sys/net/ipv4/ip_forward

Непойму что я упустил …. из всего не катит тока аска

alexbestnet

Извеняюсь вот

iptables -t nat -A PREROUTING -d $INTERNET_IP -p TCP —dport 5190 -j DNAT —to-destination $SERVER_ICQ:5190

iptables -t nat -A PREROUTING -d $INTERNET_IP -p UDP —dport 5190 -j DNAT —to-destination $SERVER_ICQ:5190

fly4life
alexbestnet
Извеняюсь вот

iptables -t nat -A PREROUTING -d $INTERNET_IP -p TCP —dport 5190 -j DNAT —to-destination $SERVER_ICQ:5190

iptables -t nat -A PREROUTING -d $INTERNET_IP -p UDP —dport 5190 -j DNAT —to-destination $SERVER_ICQ:5190

Дык, у тебя с вот этими правилами не работает? Или ты пробовал только те, что были до «извеняюсь»?

Hint: чтобы не вводить в заблуждение форумчан, сверху каждого собственного поста есть кнопка «изменить». Лучше пользоваться ею, чем испралвенный кусок постить в отдельном сообщении.

Да, и два встречных вопроса (так сказать, на дурака):

1. У тебя сервер ICQ точно на TCP/5190 висит?

2. Пользователь, который пытается подключиться из Интернет, в настройках клиента точно вводит правильный IP-адрес доступа к твоему ICQ-серверу?

P.S. кстати, если политика цепочки FORWARD (таблицы *filter) выставлена в DROP и при этом в ней больше нет никаких правил, то странно, что к 1С с почтовиком есть доступ извне… Или ты не все правила iptables показал?

alexbestnet

ICQ Сервер точно весит на 5190 во внутренней сети все нормуль подключается, а вот с наружи фиг

На клиенте прописан в подключениях внешний IP, ошибок никаких нет..

iptables -t filter -P FORWARD DROP

ни странно если есть вот такое правило которое заворачивает на програму контроля трафика…. точнее nrtams

iptables -t filter -A FORWARD -j QUEUE

да кстати вопрос насчет настроек netams можно не задовать, там все верно, на нем дополнительно стоит второй почтовик для необходимости и он нормально работает …..

fly4life
alexbestnet
ICQ Сервер точно весит на 5190 во внутренней сети все нормуль подключается, а вот с наружи фиг

На клиенте прописан в подключениях внешний IP, ошибок никаких нет..

iptables -t filter -P FORWARD DROP

ни странно если есть вот такое правило которое заворачивает на програму контроля трафика…. точнее nrtams

iptables -t filter -A FORWARD -j QUEUE

да кстати вопрос насчет настроек netams можно не задовать, там все верно, на нем дополнительно стоит второй почтовик для необходимости и он нормально работает …..

Да, про '-j QUEUE' я пропустил.

Ну, раз ты так уверен, что в настройках netams всё хорошо… Хотя, сомнения всё же есть.

Наводящий вопрос: работу почтовика, 1С, netams и правила iptables изначально настраивал ты сам? Или всё было до тебя, а ты только аську пытаешься заставить работать?

И ещё вопрос на дурака. В таблице маршрутизации на самом ICQ-сервере всё хорошо? Этот сервер знает, что шлюзом в Интернет для него является машинка с iptables?

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.