Tham gia Đăng nhập
Điểm:0
blacksoul avatar Server

Chuyển tiếp lưu lượng bên ngoài cụ thể đến máy chủ LAN

lá cờ cn
blacksoul

Tôi muốn chuyển hướng lưu lượng truy cập đến máy chủ của mình, trong đó iptables đang hoạt động, đến một máy chủ khác trong mạng LAN. Tuy nhiên, tôi chỉ muốn điều này hoạt động nếu lưu lượng đến đến từ một địa chỉ IP bên ngoài cụ thể. Nếu không, lưu lượng truy cập sẽ bị loại bỏ.

Hãy để tôi đưa ra một ví dụ để làm rõ nó:

  • IP máy khách bên ngoài: 88.88.88.88
  • IP máy chủ (trong cùng mạng LAN): 172.26.0.99
  • IP đích (trong cùng mạng LAN): 172.26.0.11

ví dụ chuyển hướng

  1. Máy khách (88.88.88.88) kết nối với IP MÁY CHỦ (172.26.0.99)
  2. Giao thông được đào hầm để IP đích (172.26.0.11).

thả ví dụ

  1. Ứng dụng khách lạ (66.66.66.66) cố gắng kết nối với IP MÁY CHỦ (172.26.0.99)
  2. Lưu lượng truy cập là GIẢM
193
0 + 0
A.B avatar
lá cờ cl
A.B
*máy chủ* có phải là cổng của *đích* không? Nếu không, *đích* có cần tiếp tục xem 88.88.88.88 là nguồn không?
0
Hồi đáp
blacksoul avatar
lá cờ cn
blacksoul
Đó không phải là cổng, vì cổng sẽ là bộ định tuyến ISP. Đích đến không cần tiếp tục nhìn thấy nguồn 88.88.88.88, nó chỉ cần đến được qua đường hầm mà tôi đã mô tả.
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
có lý do tại sao chúng ta nói về lan và ẩn ip không? 8/10 172.16/16 và 192.168/16 không được định tuyến tới internet
0
Hồi đáp
blacksoul avatar
lá cờ cn
blacksoul
Xin lỗi, tôi nghĩ nó dễ đọc hơn theo cách đó. Tôi sẽ cập nhật câu hỏi bằng IP LAN thực của mình
0
Hồi đáp
Điểm:1
avatar Server
lá cờ cm
fuero

Nếu tôi hiểu đúng, bạn muốn chuyển tiếp tất cả các lưu lượng truy cập từ 88.88.88.88 đến máy chủ được bảo vệ 172.26.0.11. Đây là một ví dụ sử dụng NAT:

sysctl net.ipv4.ip_forward=1

iptables -t nat -A PREROUTING -i <wan-if> -s 88.88.88.88 -j DNAT --to-destination 172.26.0.11
iptables -t nat -A POSTROUTING -s 88.88.88.88 -d 172.26.0.11 -j SNAT --to-source 172.26.0.99
iptables -A FORWARD -s 88.88.88.88 -d 172.26.0.11 -j CHẤP NHẬN

Ngoài ra, chuyển tiếp trên cơ sở mỗi cổng, sử dụng ipv hoặc ổ cắm SystemD hoặc iptables -j CHUYỂN ĐỔI để thiết lập chuyển tiếp và tường lửa cho cổng. Ví dụ với ipvs và iptables:

sysctl net.ipv4.vs.conntrack=1

ipvsadm -A -t "172.26.0.99:<port>" -s rr
ipvsadm -a -t "172.26.0.99:<port>" -r "172.26.0.11:<port>" -m

iptables -A INPUT -s 88.88.88.88 -j ACCEPT -m comment --comment "Cho phép 88.88.88.88"
iptables -A INPUT -j DROP -m comment --comment "Catch-all drop"
0 + 0
Martin avatar
lá cờ kz
Martin
Tôi đã nghĩ về việc viết câu trả lời của riêng mình, nhưng đã quyết định không viết nữa. Thêm SNAT vào chuỗi POSTROUTING và ví dụ của bạn sẽ hoạt động: ```iptables -t nat -A POSTROUTING -s 88.88.88.88 -d 172.26.0.11 -j SNAT --to-source 172.26.0.99``` nếu không, trả lời từ máy chủ "được bảo vệ" sẽ đi theo một lộ trình khác với gói ban đầu đã đi! Và đừng quên bật ```ip_forwarding```...
2
Hồi đáp
lá cờ cm
fuero
Cảm ơn - đã cập nhật câu trả lời.
0
Hồi đáp
blacksoul avatar
lá cờ cn
blacksoul
Nó hoạt động cảm ơn! Tôi đã thử với ví dụ đầu tiên của bạn.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.