Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » изнутри сети по внешнему айпи или домену Clearos 7.3

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

alexpalace

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
дано: 1 Wan со статическим ип. 1 Лан + несколько виртуалок на нем (все в пределах 192.168.0.0/16, пользователям назначается /24 чтоб проще было мониторить по отделам)  
На сервере поднят апач, есть домен. До обновления с 5.2 набирая изнутри сети "нашдомен" или внешний айпи пользователи попадали на сайт на сервере, что удобно т.к часто люди работают снаружи и не надо 2 разных записи в избранном или конфига для доступа к примеру тем-же камерам внутри сети (проброс портов снаружи)  
После переустановки и вроде-бы тех-же настроек набор адреса который снаружи ведет в никуда  
C:\Users\Alexey>tracert xxx.хх
 
Трассировка маршрута к ххх.хх [88.81.хх.хх]
с максимальным числом прыжков 30:
 
1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * *  
 
Чего точно не было - не прописывал в БИНД ин А с внутренними адресами. Hosts перенесен с выживших файлов 5.2
Что пробовали  
iptables -t nat -A OUTPUT -d 88.81.хх.хх -s 192.168.0.0/16 -j DNAT --to-destination 192.168.0.1  
iptables -t nat -I OUTPUT -d 88.81.хх.хх -s 192.168.0.0/16 -j DNAT --to-destination 192.168.0.1  
результат тот-же Кроме консоли добавлял правило в Custom Firewall
 
Какие еще есть варианты? Кроме апача так-же должны быть доступны и почтовики и изнутри и снаружи без смены адресов ... Попробовал втупую пробросить порты - изнутри начинает работать но пропадает доступ снаружи

Всего записей: 25 | Зарегистр. 28-11-2003 | Отправлено: 08:07 09-10-2017
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexpalace
есть же общая тема по нату - NAT: общие вопросы по настройке + список тем по NAT + ссылки
То, что у вас не срабатывает - называется NAT loopback.
https://yurinb.livejournal.com/48058.html
https://creograf.ru/post/nat-loopback2
 

Цитата:
Этот вопрос относится к услугам, предоставляемым серверами в сетях IPv4, адресованных RFC1918, которые становятся доступными для внешних пользователей путем введения NAT-адреса назначения (DNAT) на шлюзе. Затем внутренние пользователи пытаются получить доступ к этим службам через внешний адрес. Их пакет выходит из клиента на шлюзовое устройство, которое переписывает адрес получателя и сразу же вводит его обратно во внутреннюю сеть. Именно этот острый поворот пакета делает на шлюзе, что приводит к названию шпильки NAT , по аналогии с поворотом шпильки .
 
Проблема возникает, когда шлюз перезаписывает адрес назначения, но не адрес источника. Затем сервер получает пакет с внутренним адресом назначения (собственным) и внутренним адресом источника (клиентом); Он знает, что он может напрямую ответить на такой адрес, поэтому он делает это. Поскольку этот ответ является прямым, он не проходит через шлюз, поэтому он никогда не сможет сбалансировать влияние NAT входящего назначения на исходный пакет, переписав исходный адрес возвращаемого пакета.
 
Таким образом, клиент отправляет пакет на внешний IP-адрес, но получает ответ от внутреннего IP-адреса. Он не знает, что эти два пакета являются частью одного и того же разговора, поэтому разговор не происходит.
 
Решение состоит в том, что для пакетов , для которых требуется такой NAT-адресат, и которые достигают шлюза из внутренней сети , также для выполнения исходного NAT (SNAT) во входящем пакете, обычно путем перезаписи адреса источника, который является адресом шлюза. Затем сервер думает, что клиент сам является шлюзом и отвечает на него напрямую. Это, в свою очередь, дает шлюзу возможность сбалансировать эффекты как DNAT, так и SNAT во входящем пакете путем переписывания как исходного, так и целевого адресов в возвращаемом пакете.
 
Клиент считает, что он разговаривает с внешним сервером. Сервер считает, что он разговаривает со шлюзом. Все стороны счастливы

Всего записей: 15038 | Зарегистр. 20-09-2014 | Отправлено: 08:31 09-10-2017
alexpalace

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
СПАСИБО!!!!! Заработало!!!!

Всего записей: 25 | Зарегистр. 28-11-2003 | Отправлено: 10:03 09-10-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » изнутри сети по внешнему айпи или домену Clearos 7.3


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru