Как я использую NAT в iptables
У меня есть доменный набор для моего сервера, скажем, example.com который передается моим маршрутизатором и связан с моим внешним IP 11.111.111.111 и это хорошо работает, если я проверяю с помощью ping-запросов домен, или я делаю поиск, это распознает его и дает мне внешний IP домена. Но когда я слушаю в на любом из портов, я установил для разрешения, это говорит, что они закрываются. Какое правило я должен установить, чтобы это передало правильно до моего маршрутизатора?
eth0 является моим статическим внутренним интерфейсом и lo это мой цикл назад.
Шлюз: 192.168.0.1
ifconfig:
eth0 Link encap:Ethernet HWaddr 00:0e:7f:a9:10:54
inet addr:192.168.0.8 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20e:7fff:fea9:1054/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8175 errors:0 dropped:0 overruns:0 frame:0
TX packets:5730 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6186702 (6.1 MB) TX bytes:1444662 (1.4 MB)
Interrupt:20
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
1 ответ
Если у Вас есть LAN позади маршрутизатора с NAT, Вы можете порты передачи к своему IP-адресу общественности маршрутизаторов к частному адресу и порту в Вашей LAN.
Вы могли также установить что-то обычно называемая демилитаризованная зона или что-то к машине в Вашей LAN. Тогда все порты будут переданы той машине.
Все это должно быть сделано в маршрутизаторе а не в Ваших локальных серверах iptables. Там iptables будет работать над соединением с Вашей машиной а не с NAT.
, Который обычно работает хорошо, вид, за пределами Вашей LAN с помощью общедоступного IP-адреса маршрутизатора. Это также работает от Вашей LAN с помощью серверов частный адрес. Но если Вы используете свой общедоступный адрес из Вашей LAN, обычно существует соединение задач, потому что маршрутизатор запутывается. Существуют решения добавить IP правила в Вашем маршрутизаторе/NAT, таким образом, он работает, но тогда Вы получаете другие проблемы.
Да, NAT является взломом uggly, где это - всего одна небольшая проблема с NAT. Действительное решение должно использовать IPv6.
К анализу этого Вам нужна машина в той же LAN как сервер и еще одна машина вне Вашей LAN. Необходимо использовать nmap с сервера с localhost, локальная машина и использовать частный и глобальный адрес для сервера и в последний раз от машины вне LAN к глобальному адресу сервера/маршрутизатора. Также попробуйте traceroute с Вашей локальной машины на Ваш сервер с помощью частного и глобального адреса. Для использования более подробного анализа wireshark от стратегических точек в Вашей LAN.