IPTables: NAT и Port forwarding
Vložit
- čas přidán 21. 02. 2022
- Продолжаем разговор про основополагающий инструмент управления трафиком, IPTables. Углубимся в реализацию таких технологий, как NAT и port forwarding.
Правила из ролика:
github.com/Nickmob/iptables_c...
Этот канал посвящён теме поддержки сайтов: от технических аспектов системного администрирования до вопросов экономической эффективности технологий.
Занимаясь комплексной поддержкой сайтов более 19 лет, мы накопили значительный опыт, которым готовы делиться с помощью наших видео. Так что присоединяйтесь, будет интересно!
Профессиональная поддержка сайтов: www.methodlab.ru/price/suppor...
Тестирование скорости сайтов: xn--80aanaoiczhuihpc.xn--p1ai/
Сервис оптимизации картинок: www.fotorubka.ru/
Группа "Ускорение сайтов" в VK: sitespeedup
Метод Лаб в VK: methodlab
Единственное видео в интернете, которое решает твою проблему.
Спасибо большое! Единственная инструкция, которая действительно помогла настроить интернет на второй машине! Искал нужную информацию больше недели! С П А С И Б О! ВЫ спасили мой диплом)))
Ооочень понятно объясняете. Благодарю Вас)
Очень классные у вас видео. Спасибо!
Отличное видео, все четко и доходчиво!!!
спасибо за толковую инструкцию!
Огромное спасибо за видео!
Спасибо огромное, очень полезно)
Спасибо за качественный контент)
Спасибо, всё классно и работает!!! Очень помогли
Очень познавательно и интересно, спасибо!
Спасибо, классное видео, я как раз таки подвис в конфигурации NAT Gateway на серверах через terraform
Спасибо за объяснение!
Спасибо огромное
спасибо
Супер! жаль тут список используемых в уроке правил не выложили
Добавили ссылку в описание ролика.
Добрый день.
Посмотрел ваше видео, спасибо вам за видео.
Но не получается настроить по аналогии, скажите пожалуйста можно ли с вами связаться что бы проконсультироваться по моему случаю ?
Запутался я. Зачем разрешать порт 9022 в инпуте если он не предназначен хосту и пойдет в форвард? Может тогда -A FORWARD -i enp0s3 -o enp0s8 -j ACCEPT ?
Да, там не нужно. На видео видно, что счетчик пакетов на это правило нулевой, т.е. оно не сработало.
Какой тип правил/тип таблицы корректно использовать для организации роутинга между двумя виртуальными интерфейсами на сервере (запущенно два клиента разных виртуальных сетей, которые являются шлюзами в WAN для своих подсетей. Для каждой используется запись SNAT). В Интернет клиенты обеих сетей попадают, но друг друга сети не видят.
Эксперименты с -t nat -A POSTROUTING... дают положительные результаты в доступе в одном направлении. Но хотелось бы узнать наиболее рациональный вариант.
Не понял второй случай 15:41. Если мы на prerouting уже поменяли адрес и порт, то дальше должна работать цепочка forward, ведь пакетик предназначается не нам, почему он попадает в цепочку input? Я так понимаю успех был потому что политика forward accept. спасибо
Если на U20 будет 3 интерфейса, то возможно придется править метрики.
А для чего нужен INPUT 9022 ACCEPT? Пакет ведь не должен доходить до сокетов?
Да, вы правы это правило не нужно.
@@site_support значит ваше видео очень толковое, раз я с первого знакомства с iptables нашел ошибку )
А можно видео о полной настройки межсетевого экрана? Или же iptable подходит по это?
Да, конечно подходит.
К сожалению такой метод не работает с Докером. Поставил на docker контейнер с WireGuard VPN. В докере открыл порт VPN порт + 3000:3000. Внутри контейнера пытаюсь сделать PortForwarding на единственного подключившегося VPN клиента, который сервит HTTP на порту 3000. когда делаю Curl $VPN_CLIENT_IP:3000 - возвращает HTML, т.е. VPN коннект есть. А вот curl $CONTAINER_IP:3000 дает Connection Refused 😞
Я разобрался. Проблема была в том что я тестировал отправляя запросы с IP этого же сервера на свой же IP - поэтому я думал что это не работает. А как отправил запрос с другого сервака - убедился что все правильно forward-ится
Здравствуйте, как называется приложение в котором вы рисовали план синего цвета до программирования NAT?
MyPaint
Получается на домашнем роутере откуда приходит интернет тоже самое можно сделать, так? То есть домашнее устроство пробросить через роутер чтобы им можно было снаружи управлять?
Да, конечно у большинства домашних роутеров есть проброс портов, может называться по-разному, но должен быть.
Как насчёт создать script и вкинуть туда правила и в начале скрипта задать переменные?
Нормальный вариант?
Какой script?
@@site_support создать файл, создать в нем переменные с портами, с интерфейсами и тд
Затем правила создавать с этими переменными
@@alexander199740 можешь в .bashrc в окружные переменные запихнуть, это вроде так правильно делается
а если нужно например с Ubuntu перебросить в Windows
Нет проблем, правила те же самые.
как бы не запутаться с SNAT (static NAT) и DNAT (dynamic NAT)
Здесь: SNAT - Source Network Address Translation, DNAT - Destination Network Address Translation
На минте не должно было сработать?
Почему?