<div dir="ltr"><div>Čau, nevím jestli se mám smát nebo brečet, ale funguje to :). Díky moc!<br></div><div><br></div><div>P.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">čt 9. 5. 2019 v 1:59 odesílatel Pavel Snajdr <<a href="mailto:snajpa@snajpa.net">snajpa@snajpa.net</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Sry nestiham a nemam cas to moc rozebirat, ale mas tam zbytecne moc <br>
specifikovane interfacy, chybi ti zpatecni pravidlo a forward pravidlo.<br>
<br>
-A PREROUTING -d <a href="http://37.205.8.36/32" rel="noreferrer" target="_blank"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 37.205.8.36/32</a> -p tcp -m tcp --dport 2022 -j DNAT <br>
--to-destination <a href="http://172.16.9.61:22" rel="noreferrer" target="_blank"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 172.16.9.61:22</a><br>
-A POSTROUTING -d <a href="http://172.16.9.61/32" rel="noreferrer" target="_blank"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 172.16.9.61/32</a> -p tcp -m tcp --dport 22 -j SNAT <br>
--to-source 37.205.8.36<br>
-A FORWARD -d <a href="http://172.16.9.61/32" rel="noreferrer" target="_blank"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 172.16.9.61/32</a> -p tcp -m tcp --dport 22 -j ACCEPT<br>
<br>
Voila,<br>
<br>
snajpa@snajpaStation:~/tmp/linux-754 (master)$ ssh 37.205.8.36 -p 2022<br>
The authenticity of host '[37.205.8.36]:2022 ([37.205.8.36]:2022)' can't <br>
be established.<br>
ECDSA key fingerprint is <br>
SHA256:I+uz1yxDXaIIBg7VPWlsdG/XdBtb2xerg3rK6Ac29y8.<br>
Are you sure you want to continue connecting (yes/no)?<br>
<br>
/snajpa<br>
<br>
On 2019-05-06 15:43, Pavel Hruška wrote:<br>
> Ahojte,<br>
> <br>
> potřeboval bych poradit, resp. ujistit, že je to možné a<br>
> nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci<br>
> mít druhou VPSku pouze s privátní IP a chci si na ní směrovat<br>
> určitý provoz (tcp porty) z venku z public IPv4, kterou má první<br>
> VPSka. Na začátek si chci zřídit SSH přístup, tedy například z<br>
> veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.<br>
> <br>
> Tohle jsem zkoušel:<br>
> <br>
> iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match<br>
> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22<br>
> iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match<br>
> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady<br>
> přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel<br>
> jsem oboje)<br>
> <br>
> Plus toto:<br>
> <br>
> iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j<br>
> ACCEPT<br>
> <br>
> sysctl net.ipv4.ip_forward<br>
> <br>
> (vrací net.ipv4.ip_forward = 1)<br>
> <br>
> Něco mi říká, že bych na té druhé VPSce měl mít bránu<br>
> zpět na tu první VPSku, ať se pakety můžou vracet, nicméně<br>
> pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě<br>
> neznámou bránu, ačkoliv route vidím takový:<br>
> <br>
> Kernel IP routing table<br>
> <br>
> Destination Gateway Genmask Flags Metric Ref<br>
> Use Iface<br>
> default 0.0.0.0 0.0.0.0 U 0 0<br>
> 0 venet0<br>
> <br>
> traceroute to <a href="http://seznam.cz" rel="noreferrer" target="_blank">seznam.cz</a> [1] (77.75.74.172), 30 hops max, 60 byte<br>
> packets<br>
> 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms<br>
> <br>
> 2 <a href="http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net" rel="noreferrer" target="_blank">vl128.cr3.r1-8.dc1.4d.prg.masterinter.net</a> [2] (81.31.40.97) 0.389<br>
> ms 0.629 ms 0.60<br>
> ...<br>
> <br>
> Nevím, jestli dělám něco úplně špatně, nevím jak do toho<br>
> zasahuje OpenVZ, atd... Budu rád za každou radu, díky.<br>
> <br>
> P.<br>
> <br>
> <br>
> Links:<br>
> ------<br>
> [1] <a href="http://seznam.cz" rel="noreferrer" target="_blank">http://seznam.cz</a><br>
> [2] <a href="http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net" rel="noreferrer" target="_blank">http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net</a><br>
> <br>
> _______________________________________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">Ing. Pavel Hruška</div><div style="font-size:small"><a href="mailto:mrpear@mrpear.net" style="color:rgb(17,85,204)" target="_blank">mrpear@mrpear.net</a><br></div><div style="font-size:small"><br></div><div style="font-size:small">web, webdesign, web-aplikace:</div><div style="font-size:small"><a href="http://www.pearfect.cz/" style="color:rgb(17,85,204)" target="_blank">https://www.pearfect.cz</a></div></div></div></div></div></div></div></div></div></div>