[vpsFree.cz: community-list] Forwarding z public IPv4 na privátní

Pavel Hruška mrpear at mrpear.net
Tue May 7 12:14:39 CEST 2019


Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a
forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na
community :o).

Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní
(venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě
adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal
chybu, když jsem použitl venet0:x jako interface u iptables...

P.


út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek <vpsfree-list at keroub.cz>
napsal:

> První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je
> něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo,
> tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání
> další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet
> žádné virtuální síťovky a stačí udělat tohle:
>
> ip addr add y.y.y.y/z dev venet0
>
> Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to
> samé, i když to uděláte tím ifconfig), tak si to představte z pohledu
> provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku
> nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo
> používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho
> serveru, ale ne z IP, kterou Vám dal.
>
> Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která
> má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě
> jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to
> chcete udělat rozumně, potřebujete dvě.
>
> Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli
> je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho
> můžete postupovat dál.
>
>
>
> On 07. 05. 19 9:43, Pavel Hruška wrote:
> > Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle
> > situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč
> > dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to
> > nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu
> > nerozumím, to já totiž vím, jinak bych se neptal.
> >
> > Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
> >
> > Díky,
> > P.
> >
> > út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <glux at glux.org> napsal:
> >
> >> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to
> >> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
> (to
> >> umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS).
> >> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe
> >> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym
> >> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
> IPv4
> >> adresu?
> >>
> >> —
> >> Stanislav Petr
> >>
> >>
> >> 7. 5. 2019 v 8:31, Pavel Hruška <mrpear at mrpear.net>:
> >>
> >> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
> routovaná
> >> jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou
> >> VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
> zase
> >> zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
> >>
> >> P.
> >>
> >> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <glux at glux.org> napsal:
> >>
> >>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to
> >>> prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
> routy.
> >>> Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
> >>>
> >>> Odesláno z iPhonu
> >>>
> >>> 6. 5. 2019 v 15:43, Pavel Hruška <mrpear at mrpear.net>:
> >>>
> >>> Ahojte,
> >>>
> >>>    potřeboval bych poradit, resp. ujistit, že je to možné a nedělám
> >>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
> VPSku
> >>> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty)
> z
> >>> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
> SSH
> >>> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
> dělám
> >>> přes iptables.
> >>>
> >>>    Tohle jsem zkoušel:
> >>>    iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match
> >>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22
> >>>    iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match
> >>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
> přesně
> >>> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
> >>>
> >>>    Plus toto:
> >>>    iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
> ACCEPT
> >>>
> >>>    sysctl net.ipv4.ip_forward
> >>>      (vrací net.ipv4.ip_forward = 1)
> >>>
> >>>    Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
> první
> >>> VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
> mi
> >>> jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
> takový:
> >>>
> >>> Kernel IP routing
> >>> table
> >>> Destination     Gateway         Genmask         Flags Metric Ref    Use
> >>> Iface
> >>> default         0.0.0.0         0.0.0.0         U     0      0        0
> >>> venet0
> >>>
> >>> traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte
> >>> packets
> >>>   1  172.16.0.27 (172.16.0.27)  0.050 ms  0.017 ms  0.014
> >>> ms
> >>>   2  vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)  0.389 ms
> >>> 0.629 ms  0.60
> >>> ...
> >>>
> >>>    Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje
> >>> OpenVZ, atd... Budu rád za každou radu, díky.
> >>>
> >>>
> >>> P.
> >>>
> >>> _______________________________________________
> >>> Community-list mailing list
> >>> Community-list at lists.vpsfree.cz
> >>> http://lists.vpsfree.cz/listinfo/community-list
> >>>
> >>> _______________________________________________
> >>> Community-list mailing list
> >>> Community-list at lists.vpsfree.cz
> >>> http://lists.vpsfree.cz/listinfo/community-list
> >>>
> >>
> >>
> >> --
> >> Ing. Pavel Hruška
> >> mrpear at mrpear.net
> >>
> >> web, webdesign, web-aplikace:
> >> https://www.pearfect.cz <http://www.pearfect.cz/>
> >> _______________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> http://lists.vpsfree.cz/listinfo/community-list
> >>
> >>
> >> _______________________________________________
> >> Community-list mailing list
> >> Community-list at lists.vpsfree.cz
> >> http://lists.vpsfree.cz/listinfo/community-list
> >>
> >
> >
> >
> > _______________________________________________
> > Community-list mailing list
> > Community-list at lists.vpsfree.cz
> > http://lists.vpsfree.cz/listinfo/community-list
> >
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>


-- 
Ing. Pavel Hruška
mrpear at mrpear.net

web, webdesign, web-aplikace:
https://www.pearfect.cz <http://www.pearfect.cz/>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20190507/4c4b526f/attachment.html>


More information about the Community-list mailing list