Nefunguje presmerovani portu u jedne sluzby

hapi

tak co, z moji odpovedi by ti melo dojit, ze povolenim 8080 ve forwardu je k nicemu protoze nez paket projde forwardem tak prochazi preroutingem kde se zmeni dst port na 80 a ten nasledne dropujes ve forwardu. Mikrotika nesnasim za to ze si chainy pojmenoval jinak nez to ma linux. Je to stupidni. prerouting = dst-nat a postrouting = src-nat.

pthv

tak co, z moji odpovedi by ti melo dojit, ze povolenim 8080 ve forwardu je k nicemu protoze nez paket projde forwardem tak prochazi preroutingem kde se zmeni dst port na 80 a ten nasledne dropujes ve forwardu. Mikrotika nesnasim za to ze si chainy pojmenoval jinak nez to ma linux. Je to stupidni. prerouting = dst-nat a postrouting = src-nat.

Me je to jasne, ale co tem, kteri se v tom moc nevyznaji... Ti proste musi videt ze uz je to v tom packetu zmenene na port 80 a ze si jej musi povolit. Jinak tomu proste neveri :-D Je to jak ve skolce s malymi detmi :-D

polo

Tak kdyz teda vite cim to je muzete mi poradit jake pravidlo vytvorit aby to jelo?

hapi

a zdá se že mu to stále nedošlo.

Povol ve forwardu 80 port. Už dávno jsi měl celej filter smazat.

polo

... ne nedoslo. OK ted tam mam na FW povoleny port 80 (tak jak jste mi radil). Uz to funguje jen mi neni jasne cim to bylo ze zrovna u teto sluzby to bylo nutne provest... U ostatnich to nebylo za potrebi coz me dost mate.

V kazdem pripade diky za vyreseni problemu.

hapi

u ostatních přece neměníš port při dst-natu ne?

ok2slc

Pánové toto je ztráta času...

Já jsem mu už nejmíň dvakrát odpověděl, ale jak vidím je to zcela zbytečné.

polo

Opravte me jestli se plete ale snad uz chapu jak to funguje (vychazim ze schematu IPTABLES):

Na verejne adrese 85.132.201.11 je Mikrotik. V LAN mam PC 192.168.1.254 kde mi bezi Apache. Mam nastaveny dst NAT ze vse co prijde na 85.132.201.11 presmeruj na 192.168.1.254. Na FW mam nastaveno pravidlo pro forward ktere povoluje port 80.

Komunikace by pak podle me mela probihat nasledovne:

Dojde pozadavek na 85.132.201.11 -> Mikrotik provede PREROUTING na 192.168.1.254 -> Mikrotik se podiva do FW tabulky konkretne chain FORWARD a "rekne" OK packet s dst portem 80 je povolen tudiz ho pusti a moje sluzba funguje. Navic pravidlo ve FW ktere povolovalo port 8080 je vlastne zbytecne.

Ja jsme celou dobu vychazel z toho ze nejprve se kontroluje paket podle FW tabulky a az pak prochazi PRE/POST ROUTINGEM.

hapi

promiň ale proč opakuješ moje slova?

polo

tak co, z moji odpovedi by ti melo dojit, ze povolenim 8080 ve forwardu je k nicemu protoze nez paket projde forwardem tak prochazi preroutingem kde se zmeni dst port na 80 a ten nasledne dropujes ve forwardu. Mikrotika nesnasim za to ze si chainy pojmenoval jinak nez to ma linux. Je to stupidni. prerouting = dst-nat a postrouting = src-nat.

Asi myslis tohle:) No kdyz jsi to napsal mel jsme jen tuseni co se asi muze dit ale moc jsem tomu nerozumel dokud jsem se nepodival na schema iptables.

Myslim ze tohle tema muzeme uzavrit.

Diky za rady ktere me dotlacily k tomu ze ted uz aspon trochu vim co se to v tom routeru vlastne deje.

« Předchozí stránka