Comparez les prix des domaines et des services informatiques des vendeurs du monde entier

Comment puis-je avoir accès à mon WAN IP De l'intérieur conformément à mes règles de transfert de port existantes iptables?

j'ai IPTABLES, Récemment réglé sur mon serveur Debian Squeeze, Et je travaille avec succès masquage IP et transfert de port, cependant, si je saisi la chaîne URL votre adresse IP WAN ou nom d'hôte DynDNS, Je reçois un message d'erreur de connexion. Avec des routeurs de consommation précédents si je suis allé
http://[myhostname]
, Il va charger 10.0.0.3:80, Comme indiqué ci-dessous. Ça marche extérieurement (Testé au téléphone 3G), Mais pas en interne (En utilisant n'importe quel navigateur interne). La même chose pour tous les ports redirigés. J'essaie de faire la redirection du port et l'intérieur.

Si quelqu'un connaît les sorts appropriés pour cela, nous serons très reconnaissants. J'ai essayé de chercher dans Google, Mais je ne suis pas sûr que je vienne correctement pour rechercher les requêtes.

Ma configuration est la suivante:

# Generated by iptables-save v1.4.8 on Thu Apr 14 15:58:27 2011
*mangle
:PREROUTING ACCEPT [1216168:676166344]
:INPUT ACCEPT [2375:260404]
:FORWARD ACCEPT [1213765:675875465]
:OUTPUT ACCEPT [1930:203384]
:POSTROUTING ACCEPT [1215695:676078849]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Thu Apr 14 15:58:27 2011
# Generated by iptables-save v1.4.8 on Thu Apr 14 15:58:27 2011
*filter
:INPUT ACCEPT [2375:260404]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1930:203384]
-A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -j ACCEPT
-A FORWARD -d 10.0.0.8/32 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.8/32 -p tcp -m tcp --dport 1723 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.8/32 -p udp -m udp --dport 1723 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -p tcp -m tcp --dport 45631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -p tcp -m tcp --dport 56630 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -p udp -m udp --dport 56630 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Apr 14 15:58:27 2011
# Generated by iptables-save v1.4.8 on Thu Apr 14 15:58:27 2011
*nat
:PREROUTING ACCEPT [5529:468229]
:POSTROUTING ACCEPT [2335:258730]
:OUTPUT ACCEPT [21:1367]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.8:80
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.0.0.3:22
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 10.0.0.8:1723
-A PREROUTING -i ppp0 -p udp -m udp --dport 1723 -j DNAT --to-destination 10.0.0.8:1723
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.0.0.3:21
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 45631 -j DNAT --to-destination 10.0.0.3:45631
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 56630 -j DNAT --to-destination 10.0.0.3:56630
-A PREROUTING -i ppp0 -p udp -m udp --dport 56630 -j DNAT --to-destination 10.0.0.3:56630
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.3:22
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Apr 14 15:58:27 2011
Invité:

Dominique

Confirmation de:

Je ne suis pas sûr de comprendre le sens de cela. Généralement, ce type de paramètre est utilisé si vous avez une ressource interne qui doit être disponible à la fois de l'intérieur et de l'extérieur. Votre accès externe est fourni par le transfert de port et vous avez confirmé que cela fonctionne bien.

Pour un accès interne, il est préférable d'utiliser séparé DNS. Ceci est une configuration à laquelle votre serveur DNS interne permet les mêmes noms que votre public disponible au public. DNS, Mais sur les adresses IP internes. Cela peut être atteint à l'aide de serveurs DNS individuels ou d'un serveur DNS avec des vues séparées pour un accès intérieur et externe.

Cela résoudrait-il ce problème?

Emilie

Confirmation de:

Ça ne marchera pas. La raison est liée à la manière dont le paquet passe la table netfilter / xtables Et quand le routage se produit.

Le paquet entre l'interface

Paquet reçu DNAT-ed, Ce qui ne se produit pas pour les colis émanant de eth0.

Le paquet est de routage. Dans ce cas, il va à l'interface ppp0

Puisque le paquet est destiné au routeur, il est traité par une chaîne INPUT

Forfait Passes Chaîne INPUT, Pile traitée TCP

Port local 80 pas ouverte; Le paquet est mis au rebut

Comme tu peux le voir DNAT Cela arrive trop tôt dans la chaîne d'événements.

Pour répondre aux questions, connectez-vous ou registre