nixp.ru v3.0

20 октября 2017,
пятница,
00:45:29 MSK

DevOps с компанией «Флант»
cor-alex написал 10 мая 2006 года в 13:22 (470 просмотров) Ведет себя неопределенно; открыл 5 тем в форуме, оставил 7 комментариев на сайте.

Сделал в iptables доступ к внутреннему Web серверу (все как в руководстве)

$IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp --dport 10084 -j DNAT --to-destination 192.168.123.123:10084

$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.123.123 --dport 10084 -j SNAT --to-source $LAN_IP

$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 10084 -j DNAT --to-destination 192.168.123.123

$IPTABLES -A FORWARD -i $INET_IFACE -d 192.168.123.123 -p tcp --dport 10084 -j ACCEPT

Из Internet доступ есть, с самого файрвола (по адресу $INET_IP:10084) тоже, а вот при подключении из локальной сети через squid (на этом же файрволе) — не удается найти…, в логах пусто, кто сталкивался подскажите

xxxxx

А без прокси в локалку показывает ???

xxxxx

И что за ОС, какой апач ??? Побольше инфы !!! :) :) :)

cor-alex

Без прокси или через другой прокси (ISA 2004 ) все работает перенаправляет и с самого файрвола тоже работает вот что странно

ОС Fedora 4

внутренний Web — IIS6

Dr. Evil

давай схему с ip-адресами и вывод tcpdump, когда кто-то из твоей локальной сети пытается подключиться к web-серверу

cor-alex

Кстати squid выдает в качетве ошибки не host не найден а Permission denied, что бы это значило

cor-alex

может это squid виноват а то я не могу через него зайти на другой сервер с тем же портом 10084 прописываю порт в Safe_ports но не помогает как разрешить в squid заходить на нестандартный порт

Genie
$IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.123.123 --dport 10084 -j SNAT --to-source $LAN_IP

очень внимательно читать документацию, и понять, почему это правило создаёт такие грабли.

и подумать, как правильно использовать

-m state --state RELATED,ESTABLISHED

cor-alex

Да не причем здесь это правило то

Проблема в том что если запустить squid под root то все работает

а под squid:squid я к любому не только 192.168.123.123 серверу с портом 10084 подключиться не могу, iptables стало быть не причем

cor-alex

Решилось отключением SELinux не знаю плохо или хорошо