iptables. Проброс 80 порта в локальную сеть

@adr6t7 · Регистрация: 16.10.2011

Студворк — интернет-сервис помощи студентам

Проблема: не получается пробросить порт в локальную сеть
Имеем:
хост-систему: ubuntu 10.04
гость-систему: ubuntu 12.04, VMWare Player

на гостевой вертится всякая вебовская приблуда (апачи, пхп и т.д), сет. адаптер настроен как внутренняя сеть (в VirtualBox нечто похожее называется вирт. сетевой адаптер) в хост-системе он vmnet1 сеть 172.16.48.1 адрес гостевой системы 172.16.48.51, ип на хост системе (адаптер vmnet) 172.16.48.1

С внутренних адресов вида 172.16.48.1 все работает нормально, не работает с внешки
телнет также не цепляется

Вывод ifconfig

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
eth1      Link encap:Ethernet  HWaddr 1c:6f:65:d0:a0:51  
          inet addr:10.0.141.165  Bcast:10.0.141.255  Mask:255.255.255.0
          inet6 addr: fe80::1e6f:65ff:fed0:a051/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:87654 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22400 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:43434951 (43.4 MB)  TX bytes:2480451 (2.4 MB)
          Interrupt:43 Base address:0xc000 
 
lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:32 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1840 (1.8 KB)  TX bytes:1840 (1.8 KB)
 
ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:87.224.xxx.xxx  P-t-P:172.30.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:34225 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16799 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:39687196 (39.6 MB)  TX bytes:1411623 (1.4 MB)
 
vmnet1    Link encap:Ethernet  HWaddr 00:50:56:c0:00:01  
          inet addr:172.16.48.1  Bcast:172.16.48.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:413 errors:0 dropped:0 overruns:0 frame:0
          TX packets:440 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
 
vmnet8    Link encap:Ethernet  HWaddr 00:50:56:c0:00:08  
          inet addr:172.16.147.1  Bcast:172.16.147.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

далее

Bash
1
2
3
4
5
iptables -P FORWARD ACCEPT
iptables --table nat -A POSTROUTING -o ppp0 -j MASQUERADE //это для инета
 
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 87.224.ххх.xxx --dport 80 -j DNAT --to-destination 172.16.48.51:80
iptables -A FORWARD -i ppp0 -d 172.16.48.51 -p tcp --dport 80 -j ACCEPT //А все остальное не работает

правило прероутинга переписывал всеми возможными вариантами, которые за 5 часов нашел на форумах, результат == 0

ниже вывод iptables-save

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# Generated by iptables-save v1.4.4 on Thu Jul 26 20:51:24 2012
*nat
:PREROUTING ACCEPT [1838:306053]
:INPUT ACCEPT [37:3232]
:OUTPUT ACCEPT [590:41131]
:POSTROUTING ACCEPT [51:7162]
-A PREROUTING -d 87.224.xxx.xxx/32 -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.16.48.51:80 
-A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Thu Jul 26 20:51:24 2012
# Generated by iptables-save v1.4.4 on Thu Jul 26 20:51:24 2012
*filter
:INPUT ACCEPT [86131:79785878]
:FORWARD ACCEPT [11:836]
:OUTPUT ACCEPT [39510:3609054]
-A FORWARD -d 172.16.48.51/32 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT 
COMMIT
# Completed on Thu Jul 26 20:51:24 2012

попытался добавить -j log, логи в /var/log/syslog не нашел.
сидел и слушал трафик tcpdump ом. Слушал весь входящий, фильтровал по порту - видел, что пакеты приходят, больше ничего не показывает. Пытался слушать на хост-системе с внутренних адресов все норм (172.16.48.1:80 например) с внешний 87.224.x.x:80 ничего нет.

Помогите советом плиз, задача банальная но чего-то не работает

Dmitry · 26.07.2012, 19:08

вообще-то нат виртуалки настраивается в виртуалке
куда ваш хост буде пересылать пакты, если он об адресе вашей гостевой машины не имеет ни малейшего представления?

@adr6t7 · 26.07.2012, 19:13 **[ТС]**

гостевая 172.16.48.51
я спокойно захожу на этот адрес по порту 80
моя задача чтобы это правило
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 87.224.ххх.xxx --dport 80 -j DNAT --to-destination 172.16.48.51:80
хавало пакет и внешки, меняло в нем адрес и отправляло во внутреннюю сеть на 172.16.48.51:80, в которой у меня все работает.

NAT средствами VMWare решит только одну проблему
1) Инет в гостевой системе

есть еще
2) Доступ с внешки
3) Постоянный ип (чтобы во всяких MySQL Workbench не менять настройки постоянно)

возможно я не знаю как сделать п2 и п3 через nat vmware, готов попробовать, если подскажут.

Dmitry · 26.07.2012, 19:20

Не по теме:

Сообщение от adr6t7

NAT средствами VMWare решит только одну проблему

уверенный в себе человек - это хорошо!...
ну чтож, продолжай...
когда через неделю будешь готов разбить голову об стену, просто найди мануал и прочти...

@adr6t7 · 26.07.2012, 19:27 **[ТС]**

Ну отчего же так на всех форумах...
Если не знаешь ответ, просто так и скажи.

Я не уверен про нат средствами VMWare, просто я весь день сабж гуглил и у меня голова разрывается.
Я написал, что если подскажут -- я попробую и по-другому, мне нужно выполнение 3 этих пунктов абсолютно любым способом.
Я не писал, что я уверен в своем мнении -- это Вы взяли с потолка
По поводу разбитой головы -- я хотя бы пытаюсь), а вы все критикуете и машете руками.

Dmitry · 26.07.2012, 19:33

http://www.vmware.com/support/... anced.html

@adr6t7 · 26.07.2012, 19:38 **[ТС]**

Сообщение от Dmitry

http://www.vmware.com/support/... anced.html

ну вот, за это могу сказать СПАСИБО.
кое-что можно почитать. Сейчас обязательно попробую на копии виртуальной машины.

вопрос все же еще не решен, почему не работает iptables. На месте виртуальной машины мог быть и реальный хост, iptables сами по себе также представляют определенный интерес. буду рад послушать знающих людей.

Dmitry · 26.07.2012, 19:44

Сообщение от adr6t7

все же еще не решен

блин, ну что, самому подумать хоть немного вообще влом?
повторюсь - твой netfilter реальной машины может переслать только на адрес vmnet8:172.16.147.1 и все, ни на какой 172.16.147.51 он переадресовывать не сможет

@adr6t7 · 26.07.2012, 20:24 **[ТС]**

почему я могу послать запрос на адрес 172.16.48.51? как ОС отсылает туда пакет?

она просто отправляет пакет на интерфейс и он идет до нужного адреса, неважно сеть физическая или виртуальная. тогда вопрос если я могу сам отправить пакет на 172.16.48.51 то почему это не может сделать netfilter(iptables) ему просто нужно сколотить новый пакет, найти маршрут до хоста и отправить пакет. Третий вопрос: если у нас бы был отдельный хост, то как тогда iptables отправляла бы туда пакеты? никак, по вашей версии iptables ни для чего не подходит, ее просто так разработали и все.

в VirtualBox такая же штука свободно работает, также виртуальный адаптер и все нормально работает.

Мне интересно что я сделал не правильно, по поводу того - возможно это или нет- вопрос закрыт. Это точно возможно, даже обсуждать без аргументации не стану.
А вот nat vmware уже пробую, отпишусь как настрою.

Добавлено через 22 минуты
Dmitry, вы мне скинули ману на VMware Workstation 5.0
у меня же VMware Player(об этом я написал в первом посте), там тоже есть данный конфиг, не уверен что он держит все возможности, описанные в мануале.

Добавлено через 7 минут
не вышло ничего с вашим натом, нужно менять версию vmware в этой нормально не настроить

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: показать затраченные материалы за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В качестве. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	26.07.2012, 19:08
	вообще-то нат виртуалки настраивается в виртуалке куда ваш хост буде пересылать пакты, если он об адресе вашей гостевой машины не имеет ни малейшего представления? 0

@adr6t7 0 / 0 / 0 Регистрация: 16.10.2011 Сообщений: 14
	26.07.2012, 19:13 [ТС]
	гостевая 172.16.48.51 я спокойно захожу на этот адрес по порту 80 моя задача чтобы это правило iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 87.224.ххх.xxx --dport 80 -j DNAT --to-destination 172.16.48.51:80 хавало пакет и внешки, меняло в нем адрес и отправляло во внутреннюю сеть на 172.16.48.51:80, в которой у меня все работает. NAT средствами VMWare решит только одну проблему 1) Инет в гостевой системе есть еще 2) Доступ с внешки 3) Постоянный ип (чтобы во всяких MySQL Workbench не менять настройки постоянно) возможно я не знаю как сделать п2 и п3 через nat vmware, готов попробовать, если подскажут. 0

@adr6t7 0 / 0 / 0 Регистрация: 16.10.2011 Сообщений: 14
	26.07.2012, 19:27 [ТС]
	Ну отчего же так на всех форумах... Если не знаешь ответ, просто так и скажи. Я не уверен про нат средствами VMWare, просто я весь день сабж гуглил и у меня голова разрывается. Я написал, что если подскажут -- я попробую и по-другому, мне нужно выполнение 3 этих пунктов абсолютно любым способом. Я не писал, что я уверен в своем мнении -- это Вы взяли с потолка По поводу разбитой головы -- я хотя бы пытаюсь), а вы все критикуете и машете руками. 0

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	26.07.2012, 19:33
	http://www.vmware.com/support/... anced.html 0

@adr6t7 0 / 0 / 0 Регистрация: 16.10.2011 Сообщений: 14
	26.07.2012, 20:24 [ТС]
	почему я могу послать запрос на адрес 172.16.48.51? как ОС отсылает туда пакет? она просто отправляет пакет на интерфейс и он идет до нужного адреса, неважно сеть физическая или виртуальная. тогда вопрос если я могу сам отправить пакет на 172.16.48.51 то почему это не может сделать netfilter(iptables) ему просто нужно сколотить новый пакет, найти маршрут до хоста и отправить пакет. Третий вопрос: если у нас бы был отдельный хост, то как тогда iptables отправляла бы туда пакеты? никак, по вашей версии iptables ни для чего не подходит, ее просто так разработали и все. в VirtualBox такая же штука свободно работает, также виртуальный адаптер и все нормально работает. Мне интересно что я сделал не правильно, по поводу того - возможно это или нет- вопрос закрыт. Это точно возможно, даже обсуждать без аргументации не стану. А вот nat vmware уже пробую, отпишусь как настрою. Добавлено через 22 минуты Dmitry, вы мне скинули ману на VMware Workstation 5.0 у меня же VMware Player(об этом я написал в первом посте), там тоже есть данный конфиг, не уверен что он держит все возможности, описанные в мануале. Добавлено через 7 минут не вышло ничего с вашим натом, нужно менять версию vmware в этой нормально не настроить 0

Опции темы