iptables. Проброс 80 порта в локальную сеть

@adr6t7 · Регистрация: 16.10.2011

Author24 — интернет-сервис помощи студентам

Проблема: не получается пробросить порт в локальную сеть
Имеем:
хост-систему: ubuntu 10.04
гость-систему: ubuntu 12.04, VMWare Player

на гостевой вертится всякая вебовская приблуда (апачи, пхп и т.д), сет. адаптер настроен как внутренняя сеть (в VirtualBox нечто похожее называется вирт. сетевой адаптер) в хост-системе он vmnet1 сеть 172.16.48.1 адрес гостевой системы 172.16.48.51, ип на хост системе (адаптер vmnet) 172.16.48.1

С внутренних адресов вида 172.16.48.1 все работает нормально, не работает с внешки
телнет также не цепляется

Вывод ifconfig

Bash    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
eth1      Link encap:Ethernet  HWaddr 1c:6f:65:d0:a0:51  
          inet addr:10.0.141.165  Bcast:10.0.141.255  Mask:255.255.255.0
          inet6 addr: fe80::1e6f:65ff:fed0:a051/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:87654 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22400 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:43434951 (43.4 MB)  TX bytes:2480451 (2.4 MB)
          Interrupt:43 Base address:0xc000 
 
lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:32 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1840 (1.8 KB)  TX bytes:1840 (1.8 KB)
 
ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:87.224.xxx.xxx  P-t-P:172.30.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:34225 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16799 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:39687196 (39.6 MB)  TX bytes:1411623 (1.4 MB)
 
vmnet1    Link encap:Ethernet  HWaddr 00:50:56:c0:00:01  
          inet addr:172.16.48.1  Bcast:172.16.48.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:413 errors:0 dropped:0 overruns:0 frame:0
          TX packets:440 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
 
vmnet8    Link encap:Ethernet  HWaddr 00:50:56:c0:00:08  
          inet addr:172.16.147.1  Bcast:172.16.147.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

далее

Bash    
        
    Скопировано
1
2
3
4
5
iptables -P FORWARD ACCEPT
iptables --table nat -A POSTROUTING -o ppp0 -j MASQUERADE //это для инета
 
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 87.224.ххх.xxx --dport 80 -j DNAT --to-destination 172.16.48.51:80
iptables -A FORWARD -i ppp0 -d 172.16.48.51 -p tcp --dport 80 -j ACCEPT //А все остальное не работает

правило прероутинга переписывал всеми возможными вариантами, которые за 5 часов нашел на форумах, результат == 0

ниже вывод iptables-save

Bash    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# Generated by iptables-save v1.4.4 on Thu Jul 26 20:51:24 2012
*nat
:PREROUTING ACCEPT [1838:306053]
:INPUT ACCEPT [37:3232]
:OUTPUT ACCEPT [590:41131]
:POSTROUTING ACCEPT [51:7162]
-A PREROUTING -d 87.224.xxx.xxx/32 -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.48.51:80 
-A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Thu Jul 26 20:51:24 2012
# Generated by iptables-save v1.4.4 on Thu Jul 26 20:51:24 2012
*filter
:INPUT ACCEPT [86131:79785878]
:FORWARD ACCEPT [11:836]
:OUTPUT ACCEPT [39510:3609054]
-A FORWARD -d 172.16.48.51/32 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT 
COMMIT
# Completed on Thu Jul 26 20:51:24 2012

попытался добавить -j log, логи в /var/log/syslog не нашел.
сидел и слушал трафик tcpdump ом. Слушал весь входящий, фильтровал по порту - видел, что пакеты приходят, больше ничего не показывает. Пытался слушать на хост-системе с внутренних адресов все норм (172.16.48.1:80 например) с внешний 87.224.x.x:80 ничего нет.

Помогите советом плиз, задача банальная но чего-то не работает

Dmitry · 26.07.2012, 19:08

вообще-то нат виртуалки настраивается в виртуалке
куда ваш хост буде пересылать пакты, если он об адресе вашей гостевой машины не имеет ни малейшего представления?

@adr6t7 · 26.07.2012, 19:13 **[ТС]**

гостевая 172.16.48.51
я спокойно захожу на этот адрес по порту 80
моя задача чтобы это правило
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 87.224.ххх.xxx --dport 80 -j DNAT --to-destination 172.16.48.51:80
хавало пакет и внешки, меняло в нем адрес и отправляло во внутреннюю сеть на 172.16.48.51:80, в которой у меня все работает.

NAT средствами VMWare решит только одну проблему
1) Инет в гостевой системе

есть еще
2) Доступ с внешки
3) Постоянный ип (чтобы во всяких MySQL Workbench не менять настройки постоянно)

возможно я не знаю как сделать п2 и п3 через nat vmware, готов попробовать, если подскажут.

Dmitry · 26.07.2012, 19:20

Не по теме:

Сообщение от adr6t7

NAT средствами VMWare решит только одну проблему

уверенный в себе человек - это хорошо!...
ну чтож, продолжай...
когда через неделю будешь готов разбить голову об стену, просто найди мануал и прочти...

@adr6t7 · 26.07.2012, 19:27 **[ТС]**

Ну отчего же так на всех форумах...
Если не знаешь ответ, просто так и скажи.

Я не уверен про нат средствами VMWare, просто я весь день сабж гуглил и у меня голова разрывается.
Я написал, что если подскажут -- я попробую и по-другому, мне нужно выполнение 3 этих пунктов абсолютно любым способом.
Я не писал, что я уверен в своем мнении -- это Вы взяли с потолка
По поводу разбитой головы -- я хотя бы пытаюсь), а вы все критикуете и машете руками.

Dmitry · 26.07.2012, 19:33

http://www.vmware.com/support/... anced.html

@adr6t7 · 26.07.2012, 19:38 **[ТС]**

Сообщение от Dmitry

http://www.vmware.com/support/... anced.html

ну вот, за это могу сказать СПАСИБО.
кое-что можно почитать. Сейчас обязательно попробую на копии виртуальной машины.

вопрос все же еще не решен, почему не работает iptables. На месте виртуальной машины мог быть и реальный хост, iptables сами по себе также представляют определенный интерес. буду рад послушать знающих людей.

Dmitry · 26.07.2012, 19:44

Сообщение от adr6t7

все же еще не решен

блин, ну что, самому подумать хоть немного вообще влом?
повторюсь - твой netfilter реальной машины может переслать только на адрес vmnet8:172.16.147.1 и все, ни на какой 172.16.147.51 он переадресовывать не сможет

@adr6t7 · 26.07.2012, 20:24 **[ТС]**

почему я могу послать запрос на адрес 172.16.48.51? как ОС отсылает туда пакет?

она просто отправляет пакет на интерфейс и он идет до нужного адреса, неважно сеть физическая или виртуальная. тогда вопрос если я могу сам отправить пакет на 172.16.48.51 то почему это не может сделать netfilter(iptables) ему просто нужно сколотить новый пакет, найти маршрут до хоста и отправить пакет. Третий вопрос: если у нас бы был отдельный хост, то как тогда iptables отправляла бы туда пакеты? никак, по вашей версии iptables ни для чего не подходит, ее просто так разработали и все.

в VirtualBox такая же штука свободно работает, также виртуальный адаптер и все нормально работает.

Мне интересно что я сделал не правильно, по поводу того - возможно это или нет- вопрос закрыт. Это точно возможно, даже обсуждать без аргументации не стану.
А вот nat vmware уже пробую, отпишусь как настрою.

Добавлено через 22 минуты
Dmitry, вы мне скинули ману на VMware Workstation 5.0
у меня же VMware Player(об этом я написал в первом посте), там тоже есть данный конфиг, не уверен что он держит все возможности, описанные в мануале.

Добавлено через 7 минут
не вышло ничего с вашим натом, нужно менять версию vmware в этой нормально не настроить

Новые блоги и статьи Все статьи Все блоги /
TypeScript: Интерфейсы vs Типы run.dev 11.04.2025 Современная разработка на JavaScript сталкивается с множеством проблем при масштабировании проектов. Типизация кода стала хорошим инструментом, помогающим избежать ошибок во время выполнения,. . .	Управление топиками и разделами Kafka Javaican 11.04.2025 Apache Kafka — распределенная платформа потоковой передачи данных, которая стала стандартом для построения высоконагруженных систем обмена сообщениями. В современной архитектуре микросервисов,. . .	Миграция монолита в Event-Driven микросервисную архитектуру на C# stackOverflow 11.04.2025 Монолитная архитектура – классический подход к разработке программного обеспечения. Это приложение, построенное как единое целое, где все компоненты тесно связаны между собой. Большинство проектов. . .	Go в Kubernetes: Управление ресурсами golander 11.04.2025 Разработчики Go-приложений в Kubernetes часто сталкиваются с неожиданными проблемами производительности и даже внезапными отказами контейнеров. Причина этого кроется в особенностях взаимодействия. . .	Агрегаты и сущности в DDD микросервисах Javaican 10.04.2025 Разработка современных программных систем часто приводит на распутье: монолит или микросервисы? Даже при выборе микросервисной архитектуры многие команды сталкиваются с проблемой правильного. . .
Многопоточность в C#: Task и параллельное программирование UnmanagedCoder 10.04.2025 Современные процессоры уже давно перестали наращивать тактовую частоту в пользу увеличения количества ядер. Это создало интересную ситуацию: разработчики, привыкшие к последовательному. . .	Линейное решение нелинейной задачи с помощью арктангенса для метода обработки данных из double buffering. Hrethgir 10.04.2025 Публикация в доработке, метод арктангенса в комментариях внизу. Вообще изначально я пренебрёг квадратурой числа, но потом понял, что для вычисления приблизительного значения - сгодится, формулу. . .	Переменные в Python py-thonny 10.04.2025 Переменная в программировании — это символическое имя, связанное с областью памяти, в которой хранится значение. Она позволяет получать доступ к данным через понятные человеку идентификаторы, а не. . .	Многопоточность в C#: Task и асинхронные операции UnmanagedCoder 10.04.2025 Многопоточность позволяет выполнять несколько операций одновременно, что важно для решения двух основных задач: повышения скорости выполнения вычислительно-сложных операций и сохранения отзывчивости. . .	Запуск контейнеров Docker на ARM64 Mr. Docker 09.04.2025 Появление таких решений, как Apple M1/ M2, AWS Graviton, Ampere Altra и Raspberry Pi, сделало использование ARM-систем обыденностью для многих разработчиков и DevOps-инженеров. При этом Docker,. . .

Dmitry 13378 / 7506 / 824 Регистрация: 09.09.2009 Сообщений: 29,353
	26.07.2012, 19:08
	вообще-то нат виртуалки настраивается в виртуалке куда ваш хост буде пересылать пакты, если он об адресе вашей гостевой машины не имеет ни малейшего представления? 0

@adr6t7 0 / 0 / 0 Регистрация: 16.10.2011 Сообщений: 14
	26.07.2012, 19:13 [ТС]
	гостевая 172.16.48.51 я спокойно захожу на этот адрес по порту 80 моя задача чтобы это правило iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 87.224.ххх.xxx --dport 80 -j DNAT --to-destination 172.16.48.51:80 хавало пакет и внешки, меняло в нем адрес и отправляло во внутреннюю сеть на 172.16.48.51:80, в которой у меня все работает. NAT средствами VMWare решит только одну проблему 1) Инет в гостевой системе есть еще 2) Доступ с внешки 3) Постоянный ип (чтобы во всяких MySQL Workbench не менять настройки постоянно) возможно я не знаю как сделать п2 и п3 через nat vmware, готов попробовать, если подскажут. 0

Dmitry
	26.07.2012, 19:20
	Не по теме: Сообщение от adr6t7 NAT средствами VMWare решит только одну проблему уверенный в себе человек - это хорошо!... ну чтож, продолжай... когда через неделю будешь готов разбить голову об стену, просто найди мануал и прочти... 0

@adr6t7 0 / 0 / 0 Регистрация: 16.10.2011 Сообщений: 14
	26.07.2012, 19:27 [ТС]
	Ну отчего же так на всех форумах... Если не знаешь ответ, просто так и скажи. Я не уверен про нат средствами VMWare, просто я весь день сабж гуглил и у меня голова разрывается. Я написал, что если подскажут -- я попробую и по-другому, мне нужно выполнение 3 этих пунктов абсолютно любым способом. Я не писал, что я уверен в своем мнении -- это Вы взяли с потолка По поводу разбитой головы -- я хотя бы пытаюсь), а вы все критикуете и машете руками. 0

Dmitry 13378 / 7506 / 824 Регистрация: 09.09.2009 Сообщений: 29,353
	26.07.2012, 19:33
	http://www.vmware.com/support/... anced.html 0

@adr6t7 0 / 0 / 0 Регистрация: 16.10.2011 Сообщений: 14
	26.07.2012, 19:38 [ТС]
	Сообщение от Dmitry http://www.vmware.com/support/... anced.html ну вот, за это могу сказать СПАСИБО. кое-что можно почитать. Сейчас обязательно попробую на копии виртуальной машины. вопрос все же еще не решен, почему не работает iptables. На месте виртуальной машины мог быть и реальный хост, iptables сами по себе также представляют определенный интерес. буду рад послушать знающих людей. 0

Dmitry 13378 / 7506 / 824 Регистрация: 09.09.2009 Сообщений: 29,353
	26.07.2012, 19:44
	Сообщение от adr6t7 все же еще не решен блин, ну что, самому подумать хоть немного вообще влом? повторюсь - твой netfilter реальной машины может переслать только на адрес vmnet8:172.16.147.1 и все, ни на какой 172.16.147.51 он переадресовывать не сможет 0

@adr6t7 0 / 0 / 0 Регистрация: 16.10.2011 Сообщений: 14
	26.07.2012, 20:24 [ТС]
	почему я могу послать запрос на адрес 172.16.48.51? как ОС отсылает туда пакет? она просто отправляет пакет на интерфейс и он идет до нужного адреса, неважно сеть физическая или виртуальная. тогда вопрос если я могу сам отправить пакет на 172.16.48.51 то почему это не может сделать netfilter(iptables) ему просто нужно сколотить новый пакет, найти маршрут до хоста и отправить пакет. Третий вопрос: если у нас бы был отдельный хост, то как тогда iptables отправляла бы туда пакеты? никак, по вашей версии iptables ни для чего не подходит, ее просто так разработали и все. в VirtualBox такая же штука свободно работает, также виртуальный адаптер и все нормально работает. Мне интересно что я сделал не правильно, по поводу того - возможно это или нет- вопрос закрыт. Это точно возможно, даже обсуждать без аргументации не стану. А вот nat vmware уже пробую, отпишусь как настрою. Добавлено через 22 минуты Dmitry, вы мне скинули ману на VMware Workstation 5.0 у меня же VMware Player(об этом я написал в первом посте), там тоже есть данный конфиг, не уверен что он держит все возможности, описанные в мануале. Добавлено через 7 минут не вышло ничего с вашим натом, нужно менять версию vmware в этой нормально не настроить 0