forum.opennet.ru - "после смены провайдера стал глючить апач через DNAT" (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"после смены провайдера стал глючить апач через DNAT"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"после смены провайдера стал глючить апач через DNAT"
Сообщение от d_D_d on 24-Фев-09, 23:52
Стоит Linux роутер. Раньше был один провайдер, который выделял прямой адрес, я этот адрес тавил прямо на сетевую карту. Далее, при помощи DNAT я раскидывал ssh разным компам внутри офисной сети, а так же пробрасывал rdp на несколько машин с windows и 80 порт на одну из машин где стоит apache. На машине, на которой стоит апач (windows xp), написан php скрипт, которому скармливается загружаемый через форму архив. Он этот архив распаковывает и скармливает далее виндовой программе установленной на этой же машине. Все работало на ура. Но мы сменили провайдера, и провайдером стала корбина. Соответственно на роутере я поднял как того требует корбиновсое подключение ppp через l2tp. Все правила для DNAT переписал под новый внешний адрес и в принципе все работает кроме одной вещи. Перестала работать загрузка файлов через форму. Причем не пойму причину. Если к серверу (повторяю, что это виндовая машина с апачем в офисе) коннектится из офиса - т.е. напрямую, то загрузка через форму работает. А если коннектится с инета, т.е. получается через роутер и DNAT, то на странички вебсервера я попадаю, а это значит что DNAT работает. Качать оттуда могу, с сервера за DNAT, данные через формы передаются скриптам, а вот файлы почему-то закачиваться перестали... Я уже тупо не знаю что делать, с виду все работает... если бы не работал переброс порта внутрь (к стати всего 1 порт 80-й перебрасываю и tcp и udp на всякий пожарный), было бы понятно, но оно работает, сервер таким образум снаружи виден.. т.е. запросы на него и ответы с него идут, а вот закачка файлов (даже совсем мелких), не работает. Помогите, пожалуйста, кто знает, в чем проблема....
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

после смены провайдера стал глючить апач через DNAT, angra, 00:31 , 25-Фев-09, (1)

после смены провайдера стал глючить апач через DNAT, d_D_d, 10:13 , 25-Фев-09, (3)

после смены провайдера стал глючить апач через DNAT, angra, 03:02 , 26-Фев-09, (16)

после смены провайдера стал глючить апач через DNAT, LS, 02:03 , 25-Фев-09, (2)

после смены провайдера стал глючить апач через DNAT, d_D_d, 10:31 , 25-Фев-09, (4)

после смены провайдера стал глючить апач через DNAT, LS, 10:56 , 25-Фев-09, (5)
после смены провайдера стал глючить апач через DNAT, LS, 11:06 , 25-Фев-09, (6)

после смены провайдера стал глючить апач через DNAT, LS, 11:10 , 25-Фев-09, (7)

после смены провайдера стал глючить апач через DNAT, LS, 11:12 , 25-Фев-09, (8)

после смены провайдера стал глючить апач через DNAT, d_D_d, 11:25 , 25-Фев-09, (9)

после смены провайдера стал глючить апач через DNAT, d_D_d, 11:33 , 25-Фев-09, (10)

после смены провайдера стал глючить апач через DNAT, d_D_d, 11:48 , 25-Фев-09, (11)

после смены провайдера стал глючить апач через DNAT, LS, 12:14 , 25-Фев-09, (12)

после смены провайдера стал глючить апач через DNAT, d_D_d, 12:23 , 25-Фев-09, (13)

после смены провайдера стал глючить апач через DNAT, LS, 12:23 , 25-Фев-09, (14)
после смены провайдера стал глючить апач через DNAT, LS, 12:31 , 25-Фев-09, (15)

после смены провайдера стал глючить апач через DNAT, d_D_d, 12:44 , 26-Фев-09, (17)

Сообщения по теме [Сортировка по времени | RSS]

1. "после смены провайдера стал глючить апач через DNAT"

Сообщение от angra (ok) on 25-Фев-09, 00:31

Ситуация действительно странная. По сути file upload ничем не отличается от обычного post запроса, работают ли формы с post?
Может смена провайдера совпала с какими-то изменениями в конфигурации(как глобальной так и .htaccess) сервера, особенно в сторону безопасности?
Также неплохо было бы посмотреть лог апача при попытке аплоада. Ну и наконец подробней объяснить как именно выглядит "не работает"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "после смены провайдера стал глючить апач через DNAT"

Сообщение от d_D_d on 25-Фев-09, 10:13

>Ситуация действительно странная. По сути file upload ничем не отличается от обычного
>post запроса, работают ли формы с post?
>Может смена провайдера совпала с какими-то изменениями в конфигурации(как глобальной так и
>.htaccess) сервера, особенно в сторону безопасности?
>Также неплохо было бы посмотреть лог апача при попытке аплоада. Ну и
>наконец подробней объяснить как именно выглядит "не работает"
Запросы типа post с форм работают. Что меня и огорчает. Т.к. я знаю что file upload это то же самое что и запрос типа post. На сервере ничего не трогали. Из локалки все работает.
ситуация "не работает" выглядит следующим образом.
1. Работает при подключении к серверу внутри локалки, но не за DNATом.
2. Форма такая
<form action="starter.php" method="post" enctype="multipart/form-data">
    <b>Выберите zip-архив:</b><br />
   <input type="file" name="arch"><br />
    <b>Извлечь в папку:</b><br />
        <input type="text" name="fold"><br /><br />
            <input type="submit" value="Загрузить">
</form>
Далее после нажатия кнопки "загрузить" должна происходить загрузка и потом этот файл должен скармливаться скрипту starter.php. За ДНАТ происходит следующее: после нажатия на форме кнопки "загрузить" браузер висит и до вызова starter.php не доходит. Файл во временном каталоге загрузки прописанном в php.ini не появляется.
В логах апача ошибок нет, хотя loglevel стоит debug, однако в error.log пусто.
Примерно так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "после смены провайдера стал глючить апач через DNAT"

Сообщение от angra (ok) on 26-Фев-09, 03:02

Ради любопытства поставь апач на шлюз и посмотри будет ли работать с ним, может проблема со стороны провайдера, а не NAT
Если не прояснится, то надо переходить к ethereal/wireshark и смотреть где именно возникает проблема и какого рода.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 02:03

>Перестала работать загрузка файлов через форму.
>Причем не пойму причину. Если к серверу (повторяю, что это виндовая машина
>с апачем в офисе) коннектится из офиса - т.е. напрямую, то
>загрузка через форму работает.
>
>А если коннектится с инета, т.е. получается через роутер и DNAT, то
>на странички вебсервера я попадаю, а это значит что DNAT работает.
>Качать оттуда могу, с сервера за DNAT, данные через формы передаются
>скриптам, а вот файлы почему-то закачиваться перестали...
>
есть подозрение, что Вы файлы на веб-сервер по ftp-протоколу заливаете. в этом случае подгружайте модули ядра ip_nat_ftp и ip_nat_conntrack_ftp. в любом случае было бы намного яснее, если бы Вы показали правила пакетного фильтра, которыми пробрасываете соединение и указали каким способом файл должен выгружаться на веб-сервер.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "после смены провайдера стал глючить апач через DNAT"

Сообщение от d_D_d on 25-Фев-09, 10:31

>[оверквотинг удален]
>>на странички вебсервера я попадаю, а это значит что DNAT работает.
>>Качать оттуда могу, с сервера за DNAT, данные через формы передаются
>>скриптам, а вот файлы почему-то закачиваться перестали...
>>
>
>есть подозрение, что Вы файлы на веб-сервер по ftp-протоколу заливаете. в этом
>случае подгружайте модули ядра ip_nat_ftp и ip_nat_conntrack_ftp. в любом случае было
>бы намного яснее, если бы Вы показали правила пакетного фильтра, которыми
>пробрасываете соединение и указали каким способом файл должен выгружаться на веб-сервер.
>
Каким способом файл грузится на сервер я описал в ответе чуть выше.... Дублировать наверно нет смысла.
Правила пакетного фильтра вот:
192.168.1.2\255.255.252.0 внутренняя сетка
-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.2.100:20
-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 20 -j DNAT --to-destination 192.168.2.100:20
Таким способом пробрасываю внутрь ftp, rdp, http как ни странно глюков с rdp не замечено,
ftp иногда глючит. Но это ерунда
conntrack вкомпилирован в ядро и поддержка протокола ftp для NAT тоже в ядро вкомпилирована. Т.е. в опциях ядра включено все что касается netfilter причем в ядро и сразу.... (Сделано до меня, я пока еще ядро на роутере не пересобирал)..
Вот   - примерно так

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 10:56

>[оверквотинг удален]
>--to-destination 192.168.2.100:3389
>-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 21 -j DNAT
>--to-destination 192.168.2.100:21
>-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 21 -j DNAT
>--to-destination 192.168.2.100:21
>-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 20 -j DNAT
>--to-destination 192.168.2.100:20
>-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 20 -j DNAT
>--to-destination 192.168.2.100:20
>
ну это же не все... цепочка forward где? покажите полностью что к пробросу на веб-сервер относится

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 11:06

-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80
этим Вы ловите входящие пакеты и редиректите их на сервер, а snat где? для исходящих от сервера пакетов?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 11:10

>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>этим Вы ловите входящие пакеты и редиректите их на сервер, а snat
>где? для исходящих от сервера пакетов?
типа
-A POSTROUTING -o ppp0 -s WEB_SERVER -j SNAT --to source <gate>
кстати ppp0 - бяка. по адресам лучше работать и с маской ppp+ ИМХО. да динамических интерфейсах никогда не знаешь какое имя будет...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 11:12

>[оверквотинг удален]
>>-j DNAT --to-destination 192.168.2.100:80
>>
>>этим Вы ловите входящие пакеты и редиректите их на сервер, а snat
>>где? для исходящих от сервера пакетов?
>
>типа
>-A POSTROUTING -o ppp0 -s WEB_SERVER -j SNAT --to source <gate>
>
>кстати ppp0 - бяка. по адресам лучше работать и с маской ppp+
>ИМХО. да динамических интерфейсах никогда не знаешь какое имя будет...
думаю у Вас адрес на ppp0 все равно статика - вот от него и рулите...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "после смены провайдера стал глючить апач через DNAT"

Сообщение от d_D_d on 25-Фев-09, 11:25

>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80
>-j DNAT --to-destination 192.168.2.100:80
>
>этим Вы ловите входящие пакеты и редиректите их на сервер, а snat
>где? для исходящих от сервера пакетов?
И так. Имеется 2 канала в инет.
Один не работает совсем 195.91.xxx.xxx (вернее - он работает, но не всегда и не основной), второй 78.107.yyy.yyy работает. eth0 - локалка. eth1 - сетка корбины. eth2 - старый пров. ppp0 - l2tp до корбины.

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:BF:61:14:F6
          inet addr:192.168.1.2  Bcast:192.168.3.255  Mask:255.255.252.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11087769 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17157417 errors:0 dropped:0 overruns:8 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2649250343 (2526.5 Mb)  TX bytes:921890066 (879.1 Mb)
          Interrupt:12 Base address:0x8000
eth1      Link encap:Ethernet  HWaddr 00:10:DC:59:9E:2E
          inet addr:10.82.90.220  Bcast:10.82.95.255  Mask:255.255.248.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:16943873 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10502728 errors:0 dropped:0 overruns:8 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1667233982 (1589.9 Mb)  TX bytes:3021461412 (2881.4 Mb)
          Interrupt:11 Base address:0xa000
eth2      Link encap:Ethernet  HWaddr 00:02:44:44:10:B3
          inet addr:195.91.xxx.xxx  Bcast:195.91.195.63  Mask:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:393548 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25431 errors:0 dropped:0 overruns:0 carrier:0
          collisions:122 txqueuelen:1000
          RX bytes:40479522 (38.6 Mb)  TX bytes:8901341 (8.4 Mb)
          Interrupt:10 Base address:0xe000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:32094 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32094 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4196261 (4.0 Mb)  TX bytes:4196261 (4.0 Mb)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:78.107.yyy.yyy  P-t-P:85.21.0.249  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:15218879 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9573287 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:270291262 (257.7 Mb)  TX bytes:1887066347 (1799.6 Mb)
Маршруты на всякий случай (их тут много, но основная масса нужна чтоб поднять l2tp до корбины)
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.21.0.66      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.16      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.88.130    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.138.3     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.17      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.192.3     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.18      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.16    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.138.214   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.1     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.52.254    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.21      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.138.210   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.21    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.91.195.62   0.0.0.0         255.255.255.255 UH    0      0        0 eth2
85.21.0.255     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.26    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
89.179.135.67   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
213.234.192.8   10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.253     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
62.205.179.146  10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.251     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.79.38     10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
195.14.50.93    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.52.198    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.249     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
78.107.69.98    10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.0.15      10.82.88.1      255.255.255.255 UGH   0      0        0 eth1
85.21.72.80     10.82.88.1      255.255.255.240 UG    0      0        0 eth1
85.21.138.208   10.82.88.1      255.255.255.240 UG    0      0        0 eth1
83.102.146.96   10.82.88.1      255.255.255.224 UG    0      0        0 eth1
195.91.195.32   0.0.0.0         255.255.255.224 U     0      0        0 eth2
85.21.90.0      10.82.88.1      255.255.255.0   UG    0      0        0 eth1
78.107.23.0     10.82.88.1      255.255.255.0   UG    0      0        0 eth1
85.21.79.0      10.82.88.1      255.255.255.0   UG    0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0
10.82.88.0      0.0.0.0         255.255.248.0   U     1      0        0 eth1
195.14.32.0     10.82.88.1      255.255.224.0   UG    0      0        0 eth1
85.21.0.0       10.82.88.1      255.255.0.0     UG    0      0        0 eth1
10.0.0.0        10.82.88.1      255.0.0.0       UG    0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         85.21.0.249     0.0.0.0         UG    0      0        0 ppp0
Чтоб работал еще и старый инет канал есть правило
#!/bin/bash
IF1=eth2
IF2=ppp0
P1_NET=195.91.rrr.rrr/32
IP1=195.91.ххх.ххх
P1=195.91.zzz.zzz

P2_NET=78.107.yyy.yyy/32
IP2=78.107.yyy.yyy
P2=78.107.yyy.yyy

ip route add $P1_NET dev $IF1 src $IP1 table shvernic
ip route add default via $P1 table shvernic
ip route add $P2_NET dev $IF2 src $IP2 table corbina
ip route add default via $P2 dev ppp0 table corbina
ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2
ip route add default via $P2 dev ppp0
#ip route add default via $P1
ip rule add from $IP1 table shvernic
ip rule add from $IP2 table corbina
ip route flush cache

вывод iptables-save

# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*raw
:PREROUTING ACCEPT [3589609860:2683849490453]
:OUTPUT ACCEPT [85965493:27803836461]
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*nat
:PREROUTING ACCEPT [1228905:109950053]
:POSTROUTING ACCEPT [2874:657190]
:OUTPUT ACCEPT [82921:6139661]
-A PREROUTING -s 192.168.0.0/255.255.252.0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.1.2:53
-A PREROUTING -s 192.168.0.0/255.255.252.0 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.2:53
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5190 -j DNAT --to-destination 192.168.2.237:22
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 631 -j DNAT --to-destination 192.168.2.100:631
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.2.237:80
-A PREROUTING -d 195.91.xxx.xxx -p udp -m udp --dport 8888 -j DNAT --to-destination 192.168.2.237:80
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5191 -j DNAT --to-destination 192.168.2.237:3690
-A PREROUTING -d 195.91.xxx.xxx -p udp -m udp --dport 5191 -j DNAT --to-destination 192.168.2.237:3690
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5801 -j DNAT --to-destination 192.168.2.237:5801
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5901 -j DNAT --to-destination 192.168.2.237:5901
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 6001 -j DNAT --to-destination 192.168.2.237:6001
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5800 -j DNAT --to-destination 192.168.2.237:5801
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.2.237:5901
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 6000 -j DNAT --to-destination 192.168.2.237:6001
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 1521 -j DNAT --to-destination 192.168.2.237
-A PREROUTING -d 195.91.xxx.xxx -p tcp -m tcp --dport 1158 -j DNAT --to-destination 192.168.2.237
-A PREROUTING -d ! 192.168.0.0/255.255.252.0 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d ! 192.168.0.0/255.255.252.0 -i eth0 -p udp -m udp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 78.107.yyy.yyy -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.yyy.yyy -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
-A PREROUTING -d 78.107.yyy.yyy -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.yyy.yyy -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.2.100:21
-A PREROUTING -d 78.107.yyy.yyy -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.2.100:20
-A PREROUTING -d 78.107.yyy.yyy -p udp -m udp --dport 20 -j DNAT --to-destination 192.168.2.100:20
-A PREROUTING -d 78.107.yyy.yyy -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A PREROUTING -d 78.107.yyy.yyy -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j SNAT --to-source 78.107.yyy.yyy
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*mangle
:PREROUTING ACCEPT [43368742:38843667831]
:INPUT ACCEPT [24826244:24864616847]
:FORWARD ACCEPT [18345282:13954842184]
:OUTPUT ACCEPT [19689111:9135970258]
:POSTROUTING ACCEPT [38034381:23090804106]
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
# Generated by iptables-save v1.3.5 on Wed Feb 25 15:06:13 2009
*filter
:INPUT DROP [47:12961]
:FORWARD DROP [7:7564]
:OUTPUT DROP [5:772]
-A INPUT -s 192.168.2.236 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.239 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.222 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.249 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.244 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.250 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.253 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.252 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.206 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.251 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.224 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.232 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.229 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.240 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.243 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.237 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.240 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.243 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.221 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.240 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.243 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.221 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.245 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.230 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.214 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.212 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.183 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.250 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.225 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.211 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.208 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.223 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.205 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.182 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.247 -i eth0 -j ACCEPT
-A INPUT -s 192.168.2.100 -i eth0 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 135:139 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 135:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 135:139 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 135:139 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 445 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.2.236 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.236 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.239 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.239 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.222 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.222 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.249 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.249 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.244 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.244 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.250 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.250 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.253 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.253 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.252 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.252 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.206 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.206 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.251 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.251 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.224 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.224 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.232 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.232 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.229 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.229 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.240 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.240 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.243 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.243 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.237 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.237 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.240 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.240 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.243 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.243 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.221 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.221 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.240 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.240 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.243 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.243 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.221 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.221 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.245 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.245 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.230 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.230 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.214 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.214 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.212 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.212 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.183 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.183 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.250 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.250 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.225 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.225 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.211 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.211 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.208 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.208 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.223 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.223 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.205 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.205 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.182 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.182 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.247 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.247 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.2.100 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.100 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -j LOG --log-prefix "FW! " --log-level 7
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.2.100 -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.2.100 -i ppp0 -p udp -m udp --dport 80 -j ACCEPT
-A OUTPUT -d 192.168.2.236 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.239 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.222 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.249 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.244 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.250 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.253 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.252 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.206 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.251 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.224 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.232 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.229 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.240 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.243 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.237 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.240 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.243 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.221 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.240 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.243 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.221 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.245 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.230 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.214 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.212 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.183 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.250 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.225 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.211 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.208 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.223 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.205 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.182 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.247 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.2.100 -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 135:139 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 631 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 445 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 445 -j ACCEPT
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
COMMIT
# Completed on Wed Feb 25 15:06:13 2009
На множественные разрешительные правила внимания не обращайте...
Да и все кроме конфига iptables - так, чтоб понятней было....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "после смены провайдера стал глючить апач через DNAT"

Сообщение от d_D_d on 25-Фев-09, 11:33

iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.0.0/22       anywhere            tcp dpt:domain to:192.168.1.2:53
DNAT       udp  --  192.168.0.0/22       anywhere            udp dpt:domain to:192.168.1.2:53
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:aol to:192.168.2.237:22
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:ipp to:192.168.2.190:631
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:8888 to:192.168.2.237:80
DNAT       udp  --  anywhere             rrr.rinet.ru udp dpt:8888 to:192.168.2.237:80
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5191 to:192.168.2.237:3690
DNAT       udp  --  anywhere             rrr.rinet.ru udp dpt:5191 to:192.168.2.237:3690
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5801 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5901 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:6001 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5800 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:5900 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:x11 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:1521 to:192.168.2.237
DNAT       tcp  --  anywhere             rrr.rinet.ru tcp dpt:1158 to:192.168.2.237
REDIRECT   tcp  --  anywhere            !192.168.0.0/22      tcp dpt:http redir ports 3128
REDIRECT   udp  --  anywhere            !192.168.0.0/22      udp dpt:http redir ports 3128
DNAT       tcp  --  anywhere             zzz.static.corbina.ru tcp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       tcp  --  anywhere            zzz.static.corbina.ru tcp dpt:ftp to:192.168.2.100:21
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:ftp to:192.168.2.100:21
DNAT       tcp  --  anywhere             zzz.static.corbina.ru tcp dpt:ftp-data to:192.168.2.100:20
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:ftp-data to:192.168.2.100:20
DNAT       tcp  --  anywhere             zzz.static.corbina.ru tcp dpt:http to:192.168.2.100:80
DNAT       udp  --  anywhere             zzz.static.corbina.ru udp dpt:http to:192.168.2.100:80
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
SNAT       all  --  anywhere             anywhere            to:78.107.yyy.yyy
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "после смены провайдера стал глючить апач через DNAT"

Сообщение от d_D_d on 25-Фев-09, 11:48

Выкинул все лишние и дублирующие правила, результат тот же - не работает
iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.0.0/22       anywhere            tcp dpt:domain to:192.168.1.2:53
DNAT       udp  --  192.168.0.0/22       anywhere            udp dpt:domain to:192.168.1.2:53
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:aol to:192.168.2.237:22
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:ipp to:192.168.2.190:631
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:8888 to:192.168.2.237:80
DNAT       udp  --  anywhere             qqq.rinet.ru udp dpt:8888 to:192.168.2.237:80
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5191 to:192.168.2.237:3690
DNAT       udp  --  anywhere             qqq.rinet.ru udp dpt:5191 to:192.168.2.237:3690
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5801 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5901 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:6001 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5800 to:192.168.2.237:5801
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:5900 to:192.168.2.237:5901
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:x11 to:192.168.2.237:6001
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:1521 to:192.168.2.237
DNAT       tcp  --  anywhere             qqq.rinet.ru tcp dpt:1158 to:192.168.2.237
REDIRECT   tcp  --  anywhere            !192.168.0.0/22      tcp dpt:http redir ports 3128
REDIRECT   udp  --  anywhere            !192.168.0.0/22      udp dpt:http redir ports 3128
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:ms-wbt-server to:192.168.2.100:3389
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:ftp to:192.168.2.100:21
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:ftp to:192.168.2.100:21
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:ftp-data to:192.168.2.100:20
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:ftp-data to:192.168.2.100:20
DNAT       tcp  --  anywhere             rrr.static.corbina.ru tcp dpt:http to:192.168.2.100:80
DNAT       udp  --  anywhere             rrr.static.corbina.ru udp dpt:http to:192.168.2.100:80
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  anywhere             anywhere            to:78.107.yyy.yyy
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 12:14

коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так, то простым route тут не обойдешься....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "после смены провайдера стал глючить апач через DNAT"

Сообщение от d_D_d on 25-Фев-09, 12:23

>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так,
>то простым route тут не обойдешься....
Запущен.
Но вопрос то остается открытым...
Не работает только file upload у апача а данные из форм методом пост передаются и апач снаружи виден и работает. php скрипты тоже работают... и в логе ошибок нет :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 12:23

>>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так,
>>то простым route тут не обойдешься....
>
>Запущен.
>
>Но вопрос то остается открытым...
>
>Не работает только file upload у апача а данные из форм методом
>пост передаются и апач снаружи виден и работает. php скрипты тоже
>работают... и в логе ошибок нет :(
покажи ip rule list

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "после смены провайдера стал глючить апач через DNAT"

Сообщение от LS (ok) on 25-Фев-09, 12:31

>>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так,
>>то простым route тут не обойдешься....
>
>Запущен.
>
>Но вопрос то остается открытым...
>
>Не работает только file upload у апача а данные из форм методом
>пост передаются и апач снаружи виден и работает. php скрипты тоже
>работают... и в логе ошибок нет :(
у тебя там маршрутизация еще хз как настроена. и не будет в логе ошибок. с чего они там возьмуться? в таблетках ни одного правила нет чтоб в лог писать. и маршрутизация построена по ходу на iproute2. тут копать и копать в чем причина..
вернее ясно, что проблема в маршрутах. только вот оказалось что не все так просто.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "после смены провайдера стал глючить апач через DNAT"

Сообщение от d_D_d on 26-Фев-09, 12:44

>[оверквотинг удален]
>>Не работает только file upload у апача а данные из форм методом
>>пост передаются и апач снаружи виден и работает. php скрипты тоже
>>работают... и в логе ошибок нет :(
>
>у тебя там маршрутизация еще хз как настроена. и не будет в
>логе ошибок. с чего они там возьмуться? в таблетках ни одного
>правила нет чтоб в лог писать. и маршрутизация построена по ходу
>на iproute2. тут копать и копать в чем причина..
>вернее ясно, что проблема в маршрутах. только вот оказалось что не все
>так просто.
ip rule list
0:    from all lookup local
32764:    from 78.107.yyy.yyy lookup corbina
32765:    from 195.91.xxx.xxx lookup shvernic
32766:    from all lookup main
32767:    from all lookup default

#!/bin/bash
IF1=eth2
IF2=ppp0
P1_NET=195.91.xxx.xxx/32
IP1=195.91.xxx.xxx
P1=195.91.xxx.zzz

P2_NET=78.107.yyy.yyy/32
IP2=78.107.yyy.yyy
P2=78.107.yyy.yyy

ip route add $P1_NET dev $IF1 src $IP1 table shvernic
ip route add default via $P1 table shvernic
ip route add $P2_NET dev $IF2 src $IP2 table corbina
ip route add default via $P2 dev ppp0 table corbina
ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2
ip route add default via $P2 dev ppp0
#ip route add default via $P1
ip rule add from $IP1 table shvernic
ip rule add from $IP2 table corbina

Так задаются правила маршрутизации.
Но у меня rdp на этот же сервер нормально пробрасывается. ftp тоже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "после смены провайдера стал глючить апач через DNAT"
Сообщение от angra (ok) on 25-Фев-09, 00:31
Ситуация действительно странная. По сути file upload ничем не отличается от обычного post запроса, работают ли формы с post? Может смена провайдера совпала с какими-то изменениями в конфигурации(как глобальной так и .htaccess) сервера, особенно в сторону безопасности? Также неплохо было бы посмотреть лог апача при попытке аплоада. Ну и наконец подробней объяснить как именно выглядит "не работает"
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от d_D_d on 25-Фев-09, 10:13
	>Ситуация действительно странная. По сути file upload ничем не отличается от обычного >post запроса, работают ли формы с post? >Может смена провайдера совпала с какими-то изменениями в конфигурации(как глобальной так и >.htaccess) сервера, особенно в сторону безопасности? >Также неплохо было бы посмотреть лог апача при попытке аплоада. Ну и >наконец подробней объяснить как именно выглядит "не работает" Запросы типа post с форм работают. Что меня и огорчает. Т.к. я знаю что file upload это то же самое что и запрос типа post. На сервере ничего не трогали. Из локалки все работает. ситуация "не работает" выглядит следующим образом. 1. Работает при подключении к серверу внутри локалки, но не за DNATом. 2. Форма такая <form action="starter.php" method="post" enctype="multipart/form-data"> <b>Выберите zip-архив:</b><br /> <input type="file" name="arch"><br /> <b>Извлечь в папку:</b><br /> <input type="text" name="fold"><br /><br /> <input type="submit" value="Загрузить"> </form> Далее после нажатия кнопки "загрузить" должна происходить загрузка и потом этот файл должен скармливаться скрипту starter.php. За ДНАТ происходит следующее: после нажатия на форме кнопки "загрузить" браузер висит и до вызова starter.php не доходит. Файл во временном каталоге загрузки прописанном в php.ini не появляется. В логах апача ошибок нет, хотя loglevel стоит debug, однако в error.log пусто. Примерно так.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от angra (ok) on 26-Фев-09, 03:02
	Ради любопытства поставь апач на шлюз и посмотри будет ли работать с ним, может проблема со стороны провайдера, а не NAT Если не прояснится, то надо переходить к ethereal/wireshark и смотреть где именно возникает проблема и какого рода.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "после смены провайдера стал глючить апач через DNAT"
Сообщение от LS (ok) on 25-Фев-09, 02:03
>Перестала работать загрузка файлов через форму. >Причем не пойму причину. Если к серверу (повторяю, что это виндовая машина >с апачем в офисе) коннектится из офиса - т.е. напрямую, то >загрузка через форму работает. > >А если коннектится с инета, т.е. получается через роутер и DNAT, то >на странички вебсервера я попадаю, а это значит что DNAT работает. >Качать оттуда могу, с сервера за DNAT, данные через формы передаются >скриптам, а вот файлы почему-то закачиваться перестали... > есть подозрение, что Вы файлы на веб-сервер по ftp-протоколу заливаете. в этом случае подгружайте модули ядра ip_nat_ftp и ip_nat_conntrack_ftp. в любом случае было бы намного яснее, если бы Вы показали правила пакетного фильтра, которыми пробрасываете соединение и указали каким способом файл должен выгружаться на веб-сервер.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от d_D_d on 25-Фев-09, 10:31
	>[оверквотинг удален] >>на странички вебсервера я попадаю, а это значит что DNAT работает. >>Качать оттуда могу, с сервера за DNAT, данные через формы передаются >>скриптам, а вот файлы почему-то закачиваться перестали... >> > >есть подозрение, что Вы файлы на веб-сервер по ftp-протоколу заливаете. в этом >случае подгружайте модули ядра ip_nat_ftp и ip_nat_conntrack_ftp. в любом случае было >бы намного яснее, если бы Вы показали правила пакетного фильтра, которыми >пробрасываете соединение и указали каким способом файл должен выгружаться на веб-сервер. > Каким способом файл грузится на сервер я описал в ответе чуть выше.... Дублировать наверно нет смысла. Правила пакетного фильтра вот: 192.168.1.2\255.255.252.0 внутренняя сетка -A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80 -A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80 -A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389 -A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389 -A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.2.100:21 -A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 21 -j DNAT --to-destination 192.168.2.100:21 -A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.2.100:20 -A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 20 -j DNAT --to-destination 192.168.2.100:20 Таким способом пробрасываю внутрь ftp, rdp, http как ни странно глюков с rdp не замечено, ftp иногда глючит. Но это ерунда conntrack вкомпилирован в ядро и поддержка протокола ftp для NAT тоже в ядро вкомпилирована. Т.е. в опциях ядра включено все что касается netfilter причем в ядро и сразу.... (Сделано до меня, я пока еще ядро на роутере не пересобирал).. Вот - примерно так
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от LS (ok) on 25-Фев-09, 10:56
	>[оверквотинг удален] >--to-destination 192.168.2.100:3389 >-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 21 -j DNAT >--to-destination 192.168.2.100:21 >-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 21 -j DNAT >--to-destination 192.168.2.100:21 >-A PREROUTING -d 78.107.ххх.ххх -p tcp -m tcp --dport 20 -j DNAT >--to-destination 192.168.2.100:20 >-A PREROUTING -d 78.107.ххх.ххх -p udp -m udp --dport 20 -j DNAT >--to-destination 192.168.2.100:20 > ну это же не все... цепочка forward где? покажите полностью что к пробросу на веб-сервер относится
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от LS (ok) on 25-Фев-09, 11:06
	-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80 -A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.2.100:80 этим Вы ловите входящие пакеты и редиректите их на сервер, а snat где? для исходящих от сервера пакетов?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от LS (ok) on 25-Фев-09, 11:10
	>-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p tcp -m tcp --dport 80 >-j DNAT --to-destination 192.168.2.100:80 > >-A PREROUTING -d 78.107.ххх.ххх -i ppp0 -p udp -m udp --dport 80 >-j DNAT --to-destination 192.168.2.100:80 > >этим Вы ловите входящие пакеты и редиректите их на сервер, а snat >где? для исходящих от сервера пакетов? типа -A POSTROUTING -o ppp0 -s WEB_SERVER -j SNAT --to source <gate> кстати ppp0 - бяка. по адресам лучше работать и с маской ppp+ ИМХО. да динамических интерфейсах никогда не знаешь какое имя будет...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от LS (ok) on 25-Фев-09, 11:12
	>[оверквотинг удален] >>-j DNAT --to-destination 192.168.2.100:80 >> >>этим Вы ловите входящие пакеты и редиректите их на сервер, а snat >>где? для исходящих от сервера пакетов? > >типа >-A POSTROUTING -o ppp0 -s WEB_SERVER -j SNAT --to source <gate> > >кстати ppp0 - бяка. по адресам лучше работать и с маской ppp+ >ИМХО. да динамических интерфейсах никогда не знаешь какое имя будет... думаю у Вас адрес на ppp0 все равно статика - вот от него и рулите...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от d_D_d on 25-Фев-09, 11:33
	iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 192.168.0.0/22 anywhere tcp dpt:domain to:192.168.1.2:53 DNAT udp -- 192.168.0.0/22 anywhere udp dpt:domain to:192.168.1.2:53 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:aol to:192.168.2.237:22 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:ipp to:192.168.2.190:631 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:8888 to:192.168.2.237:80 DNAT udp -- anywhere rrr.rinet.ru udp dpt:8888 to:192.168.2.237:80 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:5191 to:192.168.2.237:3690 DNAT udp -- anywhere rrr.rinet.ru udp dpt:5191 to:192.168.2.237:3690 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:5801 to:192.168.2.237:5801 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:5901 to:192.168.2.237:5901 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:6001 to:192.168.2.237:6001 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:5800 to:192.168.2.237:5801 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:5900 to:192.168.2.237:5901 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:x11 to:192.168.2.237:6001 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:1521 to:192.168.2.237 DNAT tcp -- anywhere rrr.rinet.ru tcp dpt:1158 to:192.168.2.237 REDIRECT tcp -- anywhere !192.168.0.0/22 tcp dpt:http redir ports 3128 REDIRECT udp -- anywhere !192.168.0.0/22 udp dpt:http redir ports 3128 DNAT tcp -- anywhere zzz.static.corbina.ru tcp dpt:ms-wbt-server to:192.168.2.100:3389 DNAT udp -- anywhere zzz.static.corbina.ru udp dpt:ms-wbt-server to:192.168.2.100:3389 DNAT tcp -- anywhere zzz.static.corbina.ru tcp dpt:ftp to:192.168.2.100:21 DNAT udp -- anywhere zzz.static.corbina.ru udp dpt:ftp to:192.168.2.100:21 DNAT tcp -- anywhere zzz.static.corbina.ru tcp dpt:ftp-data to:192.168.2.100:20 DNAT udp -- anywhere zzz.static.corbina.ru udp dpt:ftp-data to:192.168.2.100:20 DNAT tcp -- anywhere zzz.static.corbina.ru tcp dpt:http to:192.168.2.100:80 DNAT udp -- anywhere zzz.static.corbina.ru udp dpt:http to:192.168.2.100:80 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere MASQUERADE all -- anywhere anywhere SNAT all -- anywhere anywhere to:78.107.yyy.yyy Chain OUTPUT (policy ACCEPT) target prot opt source destination
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от d_D_d on 25-Фев-09, 11:48
	Выкинул все лишние и дублирующие правила, результат тот же - не работает iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 192.168.0.0/22 anywhere tcp dpt:domain to:192.168.1.2:53 DNAT udp -- 192.168.0.0/22 anywhere udp dpt:domain to:192.168.1.2:53 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:aol to:192.168.2.237:22 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:ipp to:192.168.2.190:631 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:8888 to:192.168.2.237:80 DNAT udp -- anywhere qqq.rinet.ru udp dpt:8888 to:192.168.2.237:80 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:5191 to:192.168.2.237:3690 DNAT udp -- anywhere qqq.rinet.ru udp dpt:5191 to:192.168.2.237:3690 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:5801 to:192.168.2.237:5801 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:5901 to:192.168.2.237:5901 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:6001 to:192.168.2.237:6001 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:5800 to:192.168.2.237:5801 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:5900 to:192.168.2.237:5901 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:x11 to:192.168.2.237:6001 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:1521 to:192.168.2.237 DNAT tcp -- anywhere qqq.rinet.ru tcp dpt:1158 to:192.168.2.237 REDIRECT tcp -- anywhere !192.168.0.0/22 tcp dpt:http redir ports 3128 REDIRECT udp -- anywhere !192.168.0.0/22 udp dpt:http redir ports 3128 DNAT tcp -- anywhere rrr.static.corbina.ru tcp dpt:ms-wbt-server to:192.168.2.100:3389 DNAT udp -- anywhere rrr.static.corbina.ru udp dpt:ms-wbt-server to:192.168.2.100:3389 DNAT tcp -- anywhere rrr.static.corbina.ru tcp dpt:ftp to:192.168.2.100:21 DNAT udp -- anywhere rrr.static.corbina.ru udp dpt:ftp to:192.168.2.100:21 DNAT tcp -- anywhere rrr.static.corbina.ru tcp dpt:ftp-data to:192.168.2.100:20 DNAT udp -- anywhere rrr.static.corbina.ru udp dpt:ftp-data to:192.168.2.100:20 DNAT tcp -- anywhere rrr.static.corbina.ru tcp dpt:http to:192.168.2.100:80 DNAT udp -- anywhere rrr.static.corbina.ru udp dpt:http to:192.168.2.100:80 Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- anywhere anywhere to:78.107.yyy.yyy Chain OUTPUT (policy ACCEPT) target prot opt source destination
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от LS (ok) on 25-Фев-09, 12:14
	коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так, то простым route тут не обойдешься....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от d_D_d on 25-Фев-09, 12:23
	>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так, >то простым route тут не обойдешься.... Запущен. Но вопрос то остается открытым... Не работает только file upload у апача а данные из форм методом пост передаются и апач снаружи виден и работает. php скрипты тоже работают... и в логе ошибок нет :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от LS (ok) on 25-Фев-09, 12:23
	>>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так, >>то простым route тут не обойдешься.... > >Запущен. > >Но вопрос то остается открытым... > >Не работает только file upload у апача а данные из форм методом >пост передаются и апач снаружи виден и работает. php скрипты тоже >работают... и в логе ошибок нет :( покажи ip rule list
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от LS (ok) on 25-Фев-09, 12:31
	>>коротенький скрипт, который в баяне приведен запущен в настоящий момент? если так, >>то простым route тут не обойдешься.... > >Запущен. > >Но вопрос то остается открытым... > >Не работает только file upload у апача а данные из форм методом >пост передаются и апач снаружи виден и работает. php скрипты тоже >работают... и в логе ошибок нет :( у тебя там маршрутизация еще хз как настроена. и не будет в логе ошибок. с чего они там возьмуться? в таблетках ни одного правила нет чтоб в лог писать. и маршрутизация построена по ходу на iproute2. тут копать и копать в чем причина.. вернее ясно, что проблема в маршрутах. только вот оказалось что не все так просто.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "после смены провайдера стал глючить апач через DNAT"
	Сообщение от d_D_d on 26-Фев-09, 12:44
	>[оверквотинг удален] >>Не работает только file upload у апача а данные из форм методом >>пост передаются и апач снаружи виден и работает. php скрипты тоже >>работают... и в логе ошибок нет :( > >у тебя там маршрутизация еще хз как настроена. и не будет в >логе ошибок. с чего они там возьмуться? в таблетках ни одного >правила нет чтоб в лог писать. и маршрутизация построена по ходу >на iproute2. тут копать и копать в чем причина.. >вернее ясно, что проблема в маршрутах. только вот оказалось что не все >так просто. ip rule list 0: from all lookup local 32764: from 78.107.yyy.yyy lookup corbina 32765: from 195.91.xxx.xxx lookup shvernic 32766: from all lookup main 32767: from all lookup default #!/bin/bash IF1=eth2 IF2=ppp0 P1_NET=195.91.xxx.xxx/32 IP1=195.91.xxx.xxx P1=195.91.xxx.zzz P2_NET=78.107.yyy.yyy/32 IP2=78.107.yyy.yyy P2=78.107.yyy.yyy ip route add $P1_NET dev $IF1 src $IP1 table shvernic ip route add default via $P1 table shvernic ip route add $P2_NET dev $IF2 src $IP2 table corbina ip route add default via $P2 dev ppp0 table corbina ip route add $P1_NET dev $IF1 src $IP1 ip route add $P2_NET dev $IF2 src $IP2 ip route add default via $P2 dev ppp0 #ip route add default via $P1 ip rule add from $IP1 table shvernic ip rule add from $IP2 table corbina Так задаются правила маршрутизации. Но у меня rdp на этот же сервер нормально пробрасывается. ftp тоже.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]