IPTables: NAT и Port forwarding

Рет қаралды 22,734

Күн бұрын

Продолжаем разговор про основополагающий инструмент управления трафиком, IPTables. Углубимся в реализацию таких технологий, как NAT и port forwarding.
Правила из ролика:
github.com/Nic...
Этот канал посвящён теме поддержки сайтов: от технических аспектов системного администрирования до вопросов экономической эффективности технологий.
Занимаясь комплексной поддержкой сайтов более 19 лет, мы накопили значительный опыт, которым готовы делиться с помощью наших видео. Так что присоединяйтесь, будет интересно!
Профессиональная поддержка сайтов: www.methodlab....
Тестирование скорости сайтов: xn--80aanaoicz...--p1ai/
Сервис оптимизации картинок: www.fotorubka.ru/
Группа "Ускорение сайтов" в VK: sitespe...
Метод Лаб в VK: methodlab

Пікірлер: 46

@ЕгорГудков-ш6й 2 жыл бұрын

Спасибо большое! Единственная инструкция, которая действительно помогла настроить интернет на второй машине! Искал нужную информацию больше недели! С П А С И Б О! ВЫ спасили мой диплом)))

@paulsilva753 2 жыл бұрын

спасибо за толковую инструкцию!

@UralBashkiria 6 ай бұрын

Очень познавательно и интересно, спасибо!

@johnyspring9329 Жыл бұрын

Единственное видео в интернете, которое решает твою проблему.

@luckystar3117 11 ай бұрын

Спасибо за объяснение!

@Tattoson Жыл бұрын

Супер! жаль тут список используемых в уроке правил не выложили

@site_support Жыл бұрын

Добавили ссылку в описание ролика.

@kamil-pu9kl Жыл бұрын

А можно видео о полной настройки межсетевого экрана? Или же iptable подходит по это?

@NickLavlinsky Жыл бұрын

Да, конечно подходит.

@СергейЕфимов-ц4в Жыл бұрын

Не понял второй случай 15:41. Если мы на prerouting уже поменяли адрес и порт, то дальше должна работать цепочка forward, ведь пакетик предназначается не нам, почему он попадает в цепочку input? Я так понимаю успех был потому что политика forward accept. спасибо

@alexeysukhinin8036 Ай бұрын

Угу, я тоже не понял, почему так работает. Но помимо этого я не понял еще одну деталь. Почему при инициации запроса из внутреннего сервера, пакеты проходят в обратную сторону? Мы ведь не указывали явно, что ESTABLISHED и RELATED пакеты в обратную сторону должны работать. Должно же быть что-то вроде: iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT . Или я ошибаюсь? Политика ACCEPT для FORWARD окутала всё туманом.

@АлексейПопов-ч7ы 2 ай бұрын

Если на U20 будет 3 интерфейса, то возможно придется править метрики.

@Devunfe 4 ай бұрын

Добрый день. Посмотрел ваше видео, спасибо вам за видео. Но не получается настроить по аналогии, скажите пожалуйста можно ли с вами связаться что бы проконсультироваться по моему случаю ?

@igororlov9453 Жыл бұрын

Запутался я. Зачем разрешать порт 9022 в инпуте если он не предназначен хосту и пойдет в форвард? Может тогда -A FORWARD -i enp0s3 -o enp0s8 -j ACCEPT ?

@hippoage 8 ай бұрын

Да, там не нужно. На видео видно, что счетчик пакетов на это правило нулевой, т.е. оно не сработало.

@nangelo0 Жыл бұрын

А для чего нужен INPUT 9022 ACCEPT? Пакет ведь не должен доходить до сокетов?

@site_support Жыл бұрын

Да, вы правы это правило не нужно.

@nangelo0 Жыл бұрын

@@site_support значит ваше видео очень толковое, раз я с первого знакомства с iptables нашел ошибку )

@ImRoman_ 2 жыл бұрын

Спасибо огромное, очень полезно)

@kolchan11 2 жыл бұрын

Очень классные у вас видео. Спасибо!

@uwontlikeit 8 ай бұрын

К сожалению такой метод не работает с Докером. Поставил на docker контейнер с WireGuard VPN. В докере открыл порт VPN порт + 3000:3000. Внутри контейнера пытаюсь сделать PortForwarding на единственного подключившегося VPN клиента, который сервит HTTP на порту 3000. когда делаю Curl $VPN_CLIENT_IP:3000 - возвращает HTML, т.е. VPN коннект есть. А вот curl $CONTAINER_IP:3000 дает Connection Refused 😞

@uwontlikeit 8 ай бұрын

Я разобрался. Проблема была в том что я тестировал отправляя запросы с IP этого же сервера на свой же IP - поэтому я думал что это не работает. А как отправил запрос с другого сервака - убедился что все правильно forward-ится

@firstsecond1588 7 ай бұрын

Получается на домашнем роутере откуда приходит интернет тоже самое можно сделать, так? То есть домашнее устроство пробросить через роутер чтобы им можно было снаружи управлять?

@site_support 5 ай бұрын

Да, конечно у большинства домашних роутеров есть проброс портов, может называться по-разному, но должен быть.

@obfuscated-user 2 жыл бұрын

Отличное видео, все четко и доходчиво!!!

@gamingplay5415 8 ай бұрын

а если нужно например с Ubuntu перебросить в Windows

@site_support 8 ай бұрын

Нет проблем, правила те же самые.

@VLADrusLV55 Жыл бұрын

Спасибо, всё классно и работает!!! Очень помогли

@BotFather-m3s Жыл бұрын

Ооочень понятно объясняете. Благодарю Вас)

@Promvv Жыл бұрын

Спасибо за качественный контент)

@nangelo0 Жыл бұрын

как бы не запутаться с SNAT (static NAT) и DNAT (dynamic NAT)

@site_support Жыл бұрын

Здесь: SNAT - Source Network Address Translation, DNAT - Destination Network Address Translation

@annakartsova1716 2 жыл бұрын

Огромное спасибо за видео!

@DmitryKey Жыл бұрын

Какой тип правил/тип таблицы корректно использовать для организации роутинга между двумя виртуальными интерфейсами на сервере (запущенно два клиента разных виртуальных сетей, которые являются шлюзами в WAN для своих подсетей. Для каждой используется запись SNAT). В Интернет клиенты обеих сетей попадают, но друг друга сети не видят. Эксперименты с -t nat -A POSTROUTING... дают положительные результаты в доступе в одном направлении. Но хотелось бы узнать наиболее рациональный вариант.