[vpsFree.cz: community-list] Forwarding z public IPv4 na privátní

Pavel Snajdr snajpa at snajpa.net
Thu May 9 02:03:00 CEST 2019 

A samozrejme, ze jsem pastnul neuplnou blbost, ty prvni dve pravidla patri do -t nat...

Fakt se omlouvam, ale kdyz to ted nasledujicich par tydnu nepodelame s klukama v Brne, tak vysledky budou husty s paradnima implikacema pro celou komunitu, tak prosim trochu shovivavosti krz moji zhorsenou dostupnost...

Diky,

/snajpa

> On 9 May 2019, at 01:50, Pavel Snajdr <snajpa at snajpa.net> wrote:
> 
> Sry nestiham a nemam cas to moc rozebirat, ale mas tam zbytecne moc specifikovane interfacy, chybi ti zpatecni pravidlo a forward pravidlo.
> 
> -A PREROUTING -d 37.205.8.36/32 -p tcp -m tcp --dport 2022 -j DNAT --to-destination 172.16.9.61:22
> -A POSTROUTING -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 37.205.8.36
> -A FORWARD -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j ACCEPT
> 
> Voila,
> 
> snajpa at snajpaStation:~/tmp/linux-754 (master)$ ssh 37.205.8.36 -p 2022
> The authenticity of host '[37.205.8.36]:2022 ([37.205.8.36]:2022)' can't be established.
> ECDSA key fingerprint is SHA256:I+uz1yxDXaIIBg7VPWlsdG/XdBtb2xerg3rK6Ac29y8.
> Are you sure you want to continue connecting (yes/no)?
> 
> /snajpa
> 
>> On 2019-05-06 15:43, Pavel Hruška wrote:
>> Ahojte,
>>  potřeboval bych poradit, resp. ujistit, že je to možné a
>> nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci
>> mít druhou VPSku pouze s privátní IP a chci si na ní směrovat
>> určitý provoz (tcp porty) z venku z public IPv4, kterou má první
>> VPSka. Na začátek si chci zřídit SSH přístup, tedy například z
>> veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
>>  Tohle jsem zkoušel:
>>  iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match
>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22
>>  iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match
>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
>> přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel
>> jsem oboje)
>>  Plus toto:
>>  iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
>> ACCEPT
>>  sysctl net.ipv4.ip_forward
>>    (vrací net.ipv4.ip_forward = 1)
>>  Něco mi říká, že bych na té druhé VPSce měl mít bránu
>> zpět na tu první VPSku, ať se pakety můžou vracet, nicméně
>> pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě
>> neznámou bránu, ačkoliv route vidím takový:
>> Kernel IP routing table
>> Destination     Gateway         Genmask         Flags Metric Ref
>> Use Iface
>> default         0.0.0.0         0.0.0.0         U     0      0
>> 0 venet0
>> traceroute to seznam.cz [1] (77.75.74.172), 30 hops max, 60 byte
>> packets
>> 1  172.16.0.27 (172.16.0.27)  0.050 ms  0.017 ms  0.014 ms
>> 2  vl128.cr3.r1-8.dc1.4d.prg.masterinter.net [2] (81.31.40.97)  0.389
>> ms  0.629 ms  0.60
>> ...
>>  Nevím, jestli dělám něco úplně špatně, nevím jak do toho
>> zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
>> P.
>> Links:
>> ------
>> [1] http://seznam.cz
>> [2] http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

More information about the Community-list mailing list