nixp.ru v3.0

25 января 2017,
среда,
02:26:50 MSK

DevOps с компанией «Флант»
cor-alex написал 10 мая 2006 года в 13:22 (417 просмотров) Ведет себя неопределенно; открыл 5 тем в форуме, оставил 7 комментариев на сайте.

Сделал в iptables доступ к внутреннему Web серверу (все как в руководстве)

$IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp —dport 10084 -j DNAT —to-destination 192.168.123.123:10084

$IPTABLES -t nat -A POSTROUTING -p tcp —dst 192.168.123.123 —dport 10084 -j SNAT —to-source $LAN_IP

$IPTABLES -t nat -A OUTPUT —dst $INET_IP -p tcp —dport 10084 -j DNAT —to-destination 192.168.123.123

$IPTABLES -A FORWARD -i $INET_IFACE -d 192.168.123.123 -p tcp —dport 10084 -j ACCEPT

Из Internet доступ есть, с самого файрвола (по адресу $INET_IP:10084) тоже, а вот при подключении из локальной сети через squid (на этом же файрволе) — не удается найти…, в логах пусто, кто сталкивался подскажите

xxxxx

А без прокси в локалку показывает ???

xxxxx

И что за ОС, какой апач ??? Побольше инфы !!! :) :) :)

cor-alex

Без прокси или через другой прокси (ISA 2004 ) все работает перенаправляет и с самого файрвола тоже работает вот что странно

ОС Fedora 4

внутренний Web — IIS6

Dr. Evil

давай схему с ip-адресами и вывод tcpdump, когда кто-то из твоей локальной сети пытается подключиться к web-серверу

cor-alex

Кстати squid выдает в качетве ошибки не host не найден а Permission denied, что бы это значило

cor-alex

может это squid виноват а то я не могу через него зайти на другой сервер с тем же портом 10084 прописываю порт в Safe_ports но не помогает как разрешить в squid заходить на нестандартный порт

Genie
$IPTABLES -t nat -A POSTROUTING -p tcp —dst 192.168.123.123 —dport 10084 -j SNAT —to-source $LAN_IP

очень внимательно читать документацию, и понять, почему это правило создаёт такие грабли.

и подумать, как правильно использовать

-m state —state RELATED,ESTABLISHED

cor-alex

Да не причем здесь это правило то

Проблема в том что если запустить squid под root то все работает

а под squid:squid я к любому не только 192.168.123.123 серверу с портом 10084 подключиться не могу, iptables стало быть не причем

cor-alex

Решилось отключением SELinux не знаю плохо или хорошо

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.