Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2015-11-04 20:33:10

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Przekierowanie lms na zewnętrzne ip

Witam wszystkich.
Pytanie początkującego, proszę o wyrozumiałość. Tak więc może od początku, Debian z odpalonym LMS, który robi tylko za bazę klientów oraz fakturowanie spięty z siecią poprzez eth0 (WAN)
Za bramę i nat robi Mikrotik

80.55.xx.xx-------- MT------------ 192.168.88.1 ----------------- LMS 192.168.88.20


W mikrotiku regułka
<chain dstnat dest.address 80.x.x.x acion destnat 192.168.88.20>
   chain src.nat src .address 192.168.88.20 action src-nat 80.x.x.x

Proszę o pomoc w przekierowaniu LMS oraz userpanel na zewnętrzne ip.

Pozdrawiam Arek

Offline

 

#2  2015-11-04 21:38:04

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Przekierowanie lms na zewnętrzne ip

Nie bawiłem się mikrotikami na tyle by z pamięci Ci pomóc ani nie mam żadnego pod reką ale próbowałeś zwyczajnego przekierowania portu wg. wiki mirkotika?
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP

Skoro chcesz mieć dostęp do userpanelu z zewnątrz to potrzebujesz przekierować port 80 lub 443 w wypadku połączeń szyfrowanych. Czy potrzebujesz jeszcze czegoś?

PS. Choć osobiście preferuję mikrotikowego shella to jednak warto czasami użyć Winboxa który pozwala wszystko wyklikać i daje lepsze spojrzenie na całość.
http://download2.mikrotik.com/routeros/winbox/3.0/winbox.exe
PS2. Jak coś to pod WINE nie robił nigdy problemów ;)

Offline

 

#3  2015-11-04 21:47:00

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

Dziękuję za odpowiedz. Jeśli chodzi o MT to przekierowanie, takie które umieściłem w pytaniu działa na inne komputery w sieci.Problem jest z przekierowaniem Debiana dokładnie LMS.

Offline

 

#4  2015-11-04 21:51:32

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Przekierowanie lms na zewnętrzne ip

A czy byłaby możliwość byś pokazał nam pełną listę reguł zapory jaką masz na mikrotiku? (oczywiście z zasłoniętymi zewnętrznymi adresami IP ;))
Istotna jest kolejność reguł.

Dodatkowo prosiłbym Cię o doprecyzowanie co konkretnie rozumiesz przez przekierowanie Debiana. Maszyna z Debianem na której stoi LMS nie ma wyjścia na świat (tj. nie działa łączność z tej konkretnej maszyny z siecią poza LAN) czy ze świata nie ma dostępu do LMSa na tym debianie (czyli próba wejścia w przeglądarce na http://80.55.xx.xx kończy się fiaskiem).

Ostatnio edytowany przez enether (2015-11-04 21:52:12)

Offline

 

#5  2015-11-04 22:00:22

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

Kod:

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 

 1    chain=dstnat action=dst-nat to-addresses=172.16.0.60 dst-address=80.x.x.253 log=no log-prefix="" 

 2    chain=srcnat action=src-nat to-addresses=80.x.x.253 src-address=172.16.0.60 log=no log-prefix="" 

 3    ;;; xxxxx priv
      chain=dstnat action=dst-nat to-addresses=172.16.0.54 dst-address=80.x.x.x log=no log-prefix="" 

 4    chain=srcnat action=src-nat to-addresses=80.x.x.x src-address=172.16.0.54 log=no log-prefix="" 

 5    ;;; 80.x.x.x xxxxxx.
      chain=dstnat action=dst-nat to-addresses=172.16.0.58 dst-address=80.x.x.x log=no log-prefix="" 

 6    chain=srcnat action=src-nat to-addresses=80.x.x.x src-address=172.16.0.58 log=no log-prefix="" 

 7    ;;; default configuration
      chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

Ze świata nie ma dostępu. Tz .Debian (lms) Połączany jest poprzez wan i w sieci lokalnej (pod 172.16.0.60) mam pełen dostęp, logowanie do lms , cacti. Ze świata (80.x.x253) żadnej odpowiedzi.

Ostatnio edytowany przez storm33 (2015-11-04 22:03:01)

Offline

 

#6  2015-11-04 22:12:54

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Przekierowanie lms na zewnętrzne ip

Czyli jeżeli dobrze zrozumiałem posiadasz dwie sieci lokalne zapięte na tym mikrotiku:
192.168.88.x w której znajduje się LMS
172.16.0.x w której masz jakieś komputery

i z 172.16.0.x do 192.168.88.0.x ruch przechodzi bez problemu ale już z zewnątrz 80.x.x.x do 192.168.88.20 nie?

swoją drogą nie widzę w podrzuconych przez ciebie regułkach niczego co miałoby jakiś związek z 192.168.88.20
Próbowałeś dorzucić regułkę z wiki możliwie gdzieś na początku?

Kod:

/ip firewall nat add chain=dstnat dst-address=80.x.x.x protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.88.20 to-ports=80

No i pytanie jeszcze czy nie masz czegoś obciętego na głównym łańcuchu firewalla

Kod:

/ip firewall filter print

Ostatnio edytowany przez enether (2015-11-04 22:17:04)

Offline

 

#7  2015-11-04 22:18:54

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

teraz próbowałem pod adresacją 172..... lecz niczego nie zmienia . Z linuksem miałem jedyny kontakt na Ubuntu i to jako desktop klikany ;) Być może problem tkwi w firewall -u Debiana i blokuje?

Offline

 

#8  2015-11-04 22:20:53

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Przekierowanie lms na zewnętrzne ip

OK, sprawdźmy i to, choć standardowo Debian nie ma włączonych żadnych reguł zapory.

Pokaż zatem wyniki poleceń:

Kod:

iptables -S

oraz

Kod:

netstat -luntp

Offline

 

#9  2015-11-04 22:27:16

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

Kod:

root@lms:~# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N SPAM
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p icmp -f -j DROP
-A INPUT -p icmp -m pkttype --pkt-type broadcast -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 28:4096 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -s 192.168.100.0/24 -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -s 192.168.102.0/24 -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT
-A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT
-A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT
-A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 202 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -m state --state NEW -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 67 -m state --state NEW -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 68 -m state --state NEW -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 68 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT
-A FORWARD -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 135:139 -j DROP
-A FORWARD -p tcp -m tcp --dport 135:139 -j DROP
-A FORWARD -p udp -m udp --sport 135:139 -j DROP
-A FORWARD -p udp -m udp --sport 135:139 -j DROP
-A FORWARD -p tcp -m tcp --dport 445 -j DROP
-A FORWARD -p tcp -m tcp --dport 445 -j DROP
-A FORWARD -p udp -m udp --sport 445 -j DROP
-A FORWARD -p udp -m udp --sport 445 -j DROP
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 1024:65535 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A FORWARD -s 192.168.102.0/24 -p tcp -m tcp --dport 1024:65535 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 25 -m state --state NEW -j SPAM
-A FORWARD -s 192.168.102.0/24 -p tcp -m tcp --dport 25 -m state --state NEW -j SPAM
-A FORWARD -d 192.168.100.0/24 -j ACCEPT
-A FORWARD -d 192.168.102.0/24 -j ACCEPT
-A FORWARD -s 192.168.101.0/24 -j ACCEPT
-A FORWARD -d 192.168.101.0/24 -j ACCEPT
-A FORWARD -s 172.16.0.55/32 -m mac --mac-source DC:9F:D4:50:BF:7F -j ACCEPT
-A FORWARD -s 172.16.0.55/32 -i ppp+ -j ACCEPT
-A FORWARD -s 172.16.0.56/32 -m mac --mac-source DC:9F:DB:98:2D:3C -j ACCEPT
-A FORWARD -s 172.16.0.56/32 -i ppp+ -j ACCEPT
-A FORWARD -s 172.16.0.59/32 -m mac --mac-source 00:0D:56:F5:09:E2 -j ACCEPT
-A FORWARD -s 172.16.0.59/32 -i ppp+ -j ACCEPT
-A FORWARD -s 172.16.0.71/32 -m mac --mac-source DC:9F:DB:99:2B:71 -j ACCEPT
-A FORWARD -s 172.16.0.71/32 -i ppp+ -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A OUTPUT -j DROP
-A SPAM -m recent --update --seconds 3 --name smtp --rsource -j DROP
-A SPAM -m recent --set --name smtp --rsource -j ACCEPT

Kod:

root@lms:~# netstat -luntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      2811/mysqld
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      2392/portmap
tcp        0      0 172.16.0.60:53          0.0.0.0:*               LISTEN      3421/named
tcp        0      0 10.0.0.254:53           0.0.0.0:*               LISTEN      3421/named
tcp        0      0 192.168.102.254:53      0.0.0.0:*               LISTEN      3421/named
tcp        0      0 192.168.101.254:53      0.0.0.0:*               LISTEN      3421/named
tcp        0      0 192.168.100.254:53      0.0.0.0:*               LISTEN      3421/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      3421/named
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      3528/sshd
tcp        0      0 0.0.0.0:56823           0.0.0.0:*               LISTEN      2404/rpc.statd
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      3421/named
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2950/master
tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN      2968/pptpd
tcp6       0      0 :::200                  :::*                    LISTEN      2598/apache2
tcp6       0      0 :::201                  :::*                    LISTEN      2598/apache2
tcp6       0      0 :::202                  :::*                    LISTEN      2598/apache2
tcp6       0      0 :::80                   :::*                    LISTEN      2598/apache2
tcp6       0      0 :::53                   :::*                    LISTEN      3421/named
tcp6       0      0 :::22                   :::*                    LISTEN      3528/sshd
tcp6       0      0 ::1:953                 :::*                    LISTEN      3421/named
udp        0      0 172.16.0.60:53          0.0.0.0:*                           3421/named
udp        0      0 10.0.0.254:53           0.0.0.0:*                           3421/named
udp        0      0 192.168.102.254:53      0.0.0.0:*                           3421/named
udp        0      0 192.168.101.254:53      0.0.0.0:*                           3421/named
udp        0      0 192.168.100.254:53      0.0.0.0:*                           3421/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           3421/named
udp        0      0 0.0.0.0:50231           0.0.0.0:*                           2404/rpc.statd
udp        0      0 0.0.0.0:68              0.0.0.0:*                           3493/dhclient
udp        0      0 0.0.0.0:111             0.0.0.0:*                           2392/portmap
udp        0      0 0.0.0.0:884             0.0.0.0:*                           2404/rpc.statd
udp6       0      0 :::53                   :::*                                3421/named

@enether Dziękuję za szybkie odpowiedzi .

Offline

 

#10  2015-11-04 22:35:53

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Przekierowanie lms na zewnętrzne ip

Czyli to jednak ma firewall i to całkiem rozbudowany ;D
netstat pokazuje że serwer WWW Apache nasłuchuje na wszystkich interfejsach na portach 80 (standard) oraz 200, 201 i 202 (niestandardowe)

Dalej, patrząc na wyniki z iptables

Kod:

-A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT
-A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT
-A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT
-A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 202 -j ACCEPT

widać że nigdzie nie ma regułki zezwalającej komukolwiek na połączenie z portem 80, a jedynie wybranym podsieciom /24 z portami od 200 do 202

Teraz rodzi się pytanie... czy vhost Apache na którym działa LMS nasłuchuje na wszystkich tych portach czy tylko na jednym konkretnym? A może jest tam kilka instancji LMS, każda na innym porcie?
Przy aktualnych regułach zaporty niespecjalnie widzę by można bez ich modyfikacji było się tam dostać ze świata.


PS. Nie ma za co, jest środa wieczór, i tak nie mam nic lepszego do roboty :P

[EDIT]
Przeoczyłem regułkę

Kod:

-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 80 -j ACCEPT

wychodzi więc na to, że na port 80 powinien się jednak móc dobić każdy pod warunkiem że port forwarding działa.
No i pod warunkiem że vhost z LMS jest na tym porcie wystawiony.

Ostatnio edytowany przez enether (2015-11-04 22:40:04)

Offline

 

#11  2015-11-04 22:49:16

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

Jest na 80 i to nie daje mi spokoju od dwóch dni. Kiedy się w lokalnej zgłasza ( wpisując 172.16.0.60 mam wszystko jak na tacy)

Offline

 

#12  2015-11-04 22:52:06

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Przekierowanie lms na zewnętrzne ip

W tym wypadku podejrzewałbym jednak mikrotika.

Wychodzi na to że nie potrafię Ci pomóc, przepraszam.

Jest tu paru speców od sieci więc jeżeli poczekasz powinien się znaleźć ktoś kto będzie w stanie Ci pomóc.

Offline

 

#13  2015-11-04 22:55:54

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

Dziękuję. Teraz mam motywację by poznać linuksa od podszewki .

Offline

 

#14  2015-11-04 23:03:32

  enether - wiecznie niewyspany

enether
wiecznie niewyspany
Zarejestrowany: 2012-05-01

Re: Przekierowanie lms na zewnętrzne ip

Jeżeli chcesz poznać GNU/Linux od podszewki to polecam pobawić się nieco Debianem
https://www.nixsrv.com/llthw

Bardzo sympatyczne wprowadzenie w podstawy systemu, poradnik oparty na wydaniu 6 Debiana (aktualne stabilne to 8) ale w kwestii podstawowych podstaw nic specjalnego się chyba nie zmieniło. (poza initem).

Dodatkowo polecam też tę książkę
https://debian-handbook.info/

Dostępna za darmo online np. tutaj
https://debian-handbook.info/browse/stable/

albo do pobrania ze strony głównej (przy okazji można rzucić jakiegoś dolca autorom jeżeli uzna się że pozycja jest tego warta)

Offline

 

#15  2015-11-10 14:47:49

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

Ponawiam

Offline

 

#16  2015-11-10 19:28:17

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: Przekierowanie lms na zewnętrzne ip

Jak na "tylko LMS" to ten serwer pracuje w pizdylionie sieci. Z tego co podaje dokumentacja NAT 1:1 (a taki chyba chcesz zastosować - choc nie wiem po co) określa się wraz z interfejsem, np.:

Kod:

add chain=srcnat out-interface=WAN src-address=<adres wew.> action=src-nat to-address=<adres zew.>
add chain=dstnat in-interface=WAN dst-address=<adres zew.> action=dst-nat to-address=<adres wew.>

Offline

 

#17  2015-11-10 22:54:39

  storm33 - Użytkownik

storm33
Użytkownik
Zarejestrowany: 2015-11-04

Re: Przekierowanie lms na zewnętrzne ip

Dalej nic. W jakim celu , by udostępnić userpanel na zew. hostingu

Offline

 

#18  2015-11-10 23:05:34

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: Przekierowanie lms na zewnętrzne ip

Widzisz różnice pomiędzy 1:1 a przekierowaniem portu? Po pierwsze trzeba włączyć logowanie tych reguł. Po drugie mam nadzieję że sprawdzasz to z zewnątrz, a nie z wewnątrz sieci podając zewnętrzne IP. Po trzecie wiesz o tym że serwer WWW masz w IPv6?

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)