порт блока iptables от локальной сети
У меня есть проблема в моей инфраструктуре. порт chat.example.com 8185 достижим вне моей инфраструктуры с портом fowarding к правильному полю. Но в моей инфраструктуре, я не могу достигнуть его.
root@node1:/etc/iptables# telnet chat.example.com 8185
Trying 91.x.x.x...
telnet: Unable to connect to remote host: Connection refused
и вне моей инфраструктуры:
guilhem@guilhem-Lenovo-B50-30:~$ telnet chat.example.com 8185
Trying 91.x.x.x...
Connected to chat.example.com.
Escape character is '^]'.
Я не понимаю, почему я не могу достигнуть его от своего инфра...
Вот мои правила iptables:
root@node1:/etc/iptables# cat rules.v4
# Generated by iptables-save v1.4.21 on Thu Nov 26 13:51:03 2015
*nat
:PREROUTING ACCEPT [1577:148565]
:INPUT ACCEPT [484:29040]
:OUTPUT ACCEPT [403:31487]
:POSTROUTING ACCEPT [47:2820]
-A PREROUTING -d 91.x.x.x/32 -i eth0 -p tcp -m tcp --dport 8185 -j DNAT --to-destination 10.0.100.30:8185
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Nov 26 13:51:03 2015
# Generated by iptables-save v1.4.21 on Thu Nov 26 13:51:03 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [4:407]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8185 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -d 10.0.100.30/32 -i eth0 -p tcp -m tcp --dport 8185 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Completed on Thu Nov 26 13:51:03 2015
Если у Вас есть какая-либо идея... Спасибо!
1 ответ
Походит на проблему DNS. Вы, скорее всего, устанавливаете свой внешний DNS для указания на брандмауэр/маршрутизатор (внешний IP). Ваш брандмауэр тогда делает IP/порт вперед к корректному IP в Вашей сети.
, Чтобы это работало над Вашим внутренний сеть, необходимо будет сделать подобную установку DNS. Но необходимо указать на адрес на внутренний IP-адрес.
можно сделать это для целой сети через сервер DNS, который Вы устанавливаете. Или если Вам только нужен в сделанный для одного компьютера тогда, можно просто превратить запись в файл ХОСТА компьютера:
sudo нано/etc/hosts
Тогда введите: (согласно этому IP формата ПСЕВДОНИМ HOSTNAME.DOMAIN )
Выступ ###.###.### пример chat.example.com
LIP = локальный IP-адрес сервера Вы пытаетесь получить доступ
Тогда попытка проверить с помощью ping-запросов 'chat.example.com' и видеть, указывает ли это на правильный IP.
ping chat.example.com
Быть внимательным, что, если Вы используете файл хоста, что это будет только работать над тем компьютером. Любой другой компьютер в сети должен будет иметь подобную запись на их файле хоста. Если бы у Вас есть много компьютеров, пытающихся получить доступ к этому, то это была бы установка достойная рассмотрения сервера DNS.