HameleonJ Posted March 21, 2016 Share Posted March 21, 2016 Доброго времени суток, обращаюсь к вам за помощью уже неделю пытаюсь настроить сервер под дкс. Суть такая: Есть рабочая машина она в домене, выход в интернет через прокси сервер (сам прокси на Дебиане ) в общем неделю пишу цепочки правил в него что бы открыть порты но все равно упорно за границами сети сервак ни кто не видит! Но в локальной сети все замечательно и сервер видно. Есть ли люди которые поднимали сервак на таких условиях - подскажите пожалуйста. Везде открыл порт 10308 где только можно, все равно не выпускает файрволы отключены. Link to comment Share on other sites More sharing options...
BKZerg Posted March 21, 2016 Share Posted March 21, 2016 А у провайдера твоего порт 10308 закрыт может быть? Link to comment Share on other sites More sharing options...
edwardpashkov Posted March 21, 2016 Share Posted March 21, 2016 (edited) Первое - айпи всегда честный белый на шлюзе? Нет - копаем прова. Да - копаем рутинг - нормальный прозрачный с прокидыванием портов на комп делаем. Даже без роутинга можно натом обойтись (коннект на статический айпи, который известен), но лучше чтобы нат и роутинг были таки парой. Edited March 21, 2016 by edwardpashkov [sIGPIC][/sIGPIC] АКА =TMS= Count _ Полеты на = T M S = dedicate server На точке работает РП (РП+РПП) Набор вирпилов на вертикальную, штурмовую и истребительную авиацию со времен ВОВ и по настоящее время Комсостав и инструкторы - летавшие в горячих точках (и не только) и действующие летчики. Link to comment Share on other sites More sharing options...
ED Team USSR_Rik Posted March 21, 2016 ED Team Share Posted March 21, 2016 Порт открыт для обоих протоколов (TCP и UDP)? Если да - остается провайдер. Men may keep a sort of level of good, but no man has ever been able to keep on one level of evil. That road goes down and down. Можно держаться на одном уровне добра, но никому и никогда не удавалось удержаться на одном уровне зла. Эта дорога ведёт вниз и вниз. G.K. Chesterton DCS World 2.5: Часто задаваемые вопросы Link to comment Share on other sites More sharing options...
eXceed Posted March 21, 2016 Share Posted March 21, 2016 Доброго времени суток, обращаюсь к вам за помощью уже неделю пытаюсь настроить сервер под дкс. Суть такая: Есть рабочая машина она в домене, выход в интернет через прокси сервер (сам прокси на Дебиане ) в общем неделю пишу цепочки правил в него что бы открыть порты но все равно упорно за границами сети сервак ни кто не видит! Но в локальной сети все замечательно и сервер видно. Есть ли люди которые поднимали сервак на таких условиях - подскажите пожалуйста. Везде открыл порт 10308 где только можно, все равно не выпускает файрволы отключены. Проксик тебе не поможет. Он вообще не для этого. Тебе нужно пробросить через NAT порты наружу средствами маршрутизатора(ов). 1 Welcome to the Rock Link to comment Share on other sites More sharing options...
HameleonJ Posted March 21, 2016 Author Share Posted March 21, 2016 Благодарствую за советы, завтра буду ломать пробивать Link to comment Share on other sites More sharing options...
ivan_sch Posted March 21, 2016 Share Posted March 21, 2016 Проксик тебе не поможет. Он вообще не для этого. Тебе нужно пробросить через NAT порты наружу средствами маршрутизатора(ов). И только наружу не поможет. Надо еще с наружи во внутрь -A POSTROUTING -s <локальная машина> -d 0/0 -o <внешний интерфейс роутера> -j SNAT --to-source <внешний ip роутера> -A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p udp -m udp --dport 10328 -j DNAT --to-destination <локальная машина> -A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p tcp -m tcp --dport 10328 -j DNAT --to-destination <локальная машина> надо не цепочки неделю писать, а включить голову и неделю думать и читать документацию. Еще хорошо называть вещи своими именами в рамках общепринятой терминологии. Начните с себя, насяльники. И со своих песиков-тролликов. 1.2 Forum members must treat each other with respect and tolerance. Link to comment Share on other sites More sharing options...
eXceed Posted March 22, 2016 Share Posted March 22, 2016 И только наружу не поможет. Надо еще с наружи во внутрь -A POSTROUTING -s <локальная машина> -d 0/0 -o <внешний интерфейс роутера> -j SNAT --to-source <внешний ip роутера> -A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p udp -m udp --dport 10328 -j DNAT --to-destination <локальная машина> -A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p tcp -m tcp --dport 10328 -j DNAT --to-destination <локальная машина> надо не цепочки неделю писать, а включить голову и неделю думать и читать документацию. Еще хорошо называть вещи своими именами в рамках общепринятой терминологии. >Надо еще с наружи во внутрь Само собой. Но тут уже за деньги как правило. Если подключение на юр.лицо то деньги могут оказаться бешеными. Welcome to the Rock Link to comment Share on other sites More sharing options...
HameleonJ Posted March 22, 2016 Author Share Posted March 22, 2016 Ура все получилось, по логике выкинул на прямую тачку в сеть. Отдельное спасибо ivan_sch за идею Link to comment Share on other sites More sharing options...
ivan_sch Posted March 22, 2016 Share Posted March 22, 2016 >Надо еще с наружи во внутрь Само собой. Но тут уже за деньги как правило. Если подключение на юр.лицо то деньги могут оказаться бешеными. Чего???? Сейчас обычно режут полосу и не смотрят куда вы там ее направляете. Если человек админ в своей конторе - то какие деньги? Ну разве что за обучение -))) 1 Начните с себя, насяльники. И со своих песиков-тролликов. 1.2 Forum members must treat each other with respect and tolerance. Link to comment Share on other sites More sharing options...
ivan_sch Posted March 22, 2016 Share Posted March 22, 2016 Ура все получилось, по логике выкинул на прямую тачку в сеть. Отдельное спасибо ivan_sch за идею Не за что. Надеюсь идеей вы назвали самую последнюю строчку моего поста -)) Начните с себя, насяльники. И со своих песиков-тролликов. 1.2 Forum members must treat each other with respect and tolerance. Link to comment Share on other sites More sharing options...
HameleonJ Posted March 22, 2016 Author Share Posted March 22, 2016 (edited) Появилась новая проблема порт открывается игрой его видно из вне, но в списке серверов не видно , ни чего не пойму. Похоже что руки у меня не из того места растут iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT tcp -- anywhere anywhere tcp dpt:10308 ACCEPT udp -- anywhere anywhere udp dpt:10308 Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere 192.168.1.63 udp dpt:10308 ACCEPT tcp -- anywhere 192.168.1.63 tcp dpt:10308 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:10308 iptables-save # Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016 *nat :PREROUTING ACCEPT [6695:437960] :INPUT ACCEPT [2764:180480] :OUTPUT ACCEPT [628:37924] :POSTROUTING ACCEPT [0:0] -A PREROUTING -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308 -A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308 -A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308 -A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63 -A OUTPUT -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63 -A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63 -A POSTROUTING -j MASQUERADE -A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.1 -A POSTROUTING -d 192.168.1.63/32 -p udp -m udp --dport 10308 -j SNAT --to-source 192.168.1.1 -A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.63 COMMIT # Completed on Tue Mar 22 17:21:07 2016 # Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016 *filter :INPUT ACCEPT [47445:3200570] :FORWARD ACCEPT [530180:360887985] :OUTPUT ACCEPT [1272074:1295291699] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -p tcp -m tcp --dport 10308 -j ACCEPT -A INPUT -p udp -m udp --dport 10308 -j ACCEPT -A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p udp -m udp --dport 10308 -j ACCEPT -A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p tcp -m tcp --dport 10308 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 10308 -j ACCEPT COMMIT # Completed on Tue Mar 22 17:21:07 2016 Edited March 22, 2016 by HameleonJ Link to comment Share on other sites More sharing options...
ivan_sch Posted March 22, 2016 Share Posted March 22, 2016 Появилась новая проблема порт открывается игрой его видно из вне, но в списке серверов не видно , ни чего не пойму. Похоже что руки у меня не из того места растут iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT tcp -- anywhere anywhere tcp dpt:10308 ACCEPT udp -- anywhere anywhere udp dpt:10308 Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere 192.168.1.63 udp dpt:10308 ACCEPT tcp -- anywhere 192.168.1.63 tcp dpt:10308 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:10308 iptables-save # Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016 *nat :PREROUTING ACCEPT [6695:437960] :INPUT ACCEPT [2764:180480] :OUTPUT ACCEPT [628:37924] :POSTROUTING ACCEPT [0:0] -A PREROUTING -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308 -A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308 -A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308 -A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63 -A OUTPUT -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63 -A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63 -A POSTROUTING -j MASQUERADE -A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.1 -A POSTROUTING -d 192.168.1.63/32 -p udp -m udp --dport 10308 -j SNAT --to-source 192.168.1.1 -A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.63 COMMIT # Completed on Tue Mar 22 17:21:07 2016 # Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016 *filter :INPUT ACCEPT [47445:3200570] :FORWARD ACCEPT [530180:360887985] :OUTPUT ACCEPT [1272074:1295291699] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -p tcp -m tcp --dport 10308 -j ACCEPT -A INPUT -p udp -m udp --dport 10308 -j ACCEPT -A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p udp -m udp --dport 10308 -j ACCEPT -A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p tcp -m tcp --dport 10308 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 10308 -j ACCEPT COMMIT # Completed on Tue Mar 22 17:21:07 2016 Бредовый конфиг. Читайте доки. Они рулез. Хоть перестанете тыкаться как слепой кутенок. Заодно начнете применять голову по назначению. вот это например: Chain INPUT (policy ACCEPT) <- по умолчанию, если ничего нет, то все разрешено target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED разрешили пакеты в определенном состоянии.... ACCEPT all -- anywhere anywhere еще раз, на всякий случай разрешили все. ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT tcp -- anywhere anywhere tcp dpt:10308 ACCEPT udp -- anywhere anywhere udp dpt:10308 два последних правила вообще в контексте беседы смысла не имеют. У вас же сервер не на роутере крутится. Я уж молчу что и так все уже разрешено. Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere 192.168.1.63 udp dpt:10308 ACCEPT tcp -- anywhere 192.168.1.63 tcp dpt:10308 шедеврально. Я прям таки вижу как к вам из внешней сети приходят пакеты на 192.168.1.63.... Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:10308 еще более бессмысленно. И так все разрешено. Но даже если запретить - то на вашем роутере нет сервера DCS. Начните с себя, насяльники. И со своих песиков-тролликов. 1.2 Forum members must treat each other with respect and tolerance. Link to comment Share on other sites More sharing options...
HameleonJ Posted March 22, 2016 Author Share Posted March 22, 2016 192.168.1.63 это локальная машина где крутиться Дкс Link to comment Share on other sites More sharing options...
ivan_sch Posted March 22, 2016 Share Posted March 22, 2016 192.168.1.63 это локальная машина где крутиться Дкс Спасибо, кеп. Я догадался. Теперь оскорбите свой мозг процессом узнавания что такое серые или не маршрутизируемые сети и подумайте, может ли из внешнего мира быть хоть одно правильное обращение по этому адресу? ЗЫ. Если вы работали у меня - уволил. В 24 часа, без пособия с полным служебным несоответствием. Серьезно. 1 Начните с себя, насяльники. И со своих песиков-тролликов. 1.2 Forum members must treat each other with respect and tolerance. Link to comment Share on other sites More sharing options...
ED Team USSR_Rik Posted March 22, 2016 ED Team Share Posted March 22, 2016 - Если бы вы были моим мужем, я бы насыпала вам в кофе цианистый калий! - Если бы вы были моей женой, я бы этот кофе выпил! Человек, может, не занимается сетями на профессиональном уровне и успешно работает совсем в другой сфере. Men may keep a sort of level of good, but no man has ever been able to keep on one level of evil. That road goes down and down. Можно держаться на одном уровне добра, но никому и никогда не удавалось удержаться на одном уровне зла. Эта дорога ведёт вниз и вниз. G.K. Chesterton DCS World 2.5: Часто задаваемые вопросы Link to comment Share on other sites More sharing options...
ivan_sch Posted March 22, 2016 Share Posted March 22, 2016 - Если бы вы были моим мужем, я бы насыпала вам в кофе цианистый калий! - Если бы вы были моей женой, я бы этот кофе выпил! Человек, может, не занимается сетями на профессиональном уровне и успешно работает совсем в другой сфере. Человек администрирует роутер в конторе. О чем написано в первых строках первого поста. Ты ж не будешь вместо главбуха сводить баланс и вместо юриста писать договора? Начните с себя, насяльники. И со своих песиков-тролликов. 1.2 Forum members must treat each other with respect and tolerance. Link to comment Share on other sites More sharing options...
ED Team BillyCrusher Posted March 22, 2016 ED Team Share Posted March 22, 2016 Человек администрирует роутер в конторе. О чем написано в первых строках первого поста. Перечитал первый пост трижды, так и не увидел там ничего похожего :huh: "You become responsible, forever, for what you have tamed.” ― Antoine de Saint-Exupéry, The Little Prince. Link to comment Share on other sites More sharing options...
ED Team USSR_Rik Posted March 22, 2016 ED Team Share Posted March 22, 2016 И я не увидел. Причем пост не подвергался редактированию. Men may keep a sort of level of good, but no man has ever been able to keep on one level of evil. That road goes down and down. Можно держаться на одном уровне добра, но никому и никогда не удавалось удержаться на одном уровне зла. Эта дорога ведёт вниз и вниз. G.K. Chesterton DCS World 2.5: Часто задаваемые вопросы Link to comment Share on other sites More sharing options...
ivan_sch Posted March 22, 2016 Share Posted March 22, 2016 Потому что вы не админы. выход в интернет через прокси сервер (сам прокси на Дебиане ) в общем неделю пишу цепочки правил так вот "пишу цепочки" предполагает наличие рутовых прав или доступа к какой-нибудь фигне типа WebAdmin. Ни один вменяемый сисадмин не допустит кого попало к этому. Значит у автора это либо работа, либо доп. нагрузка. Начните с себя, насяльники. И со своих песиков-тролликов. 1.2 Forum members must treat each other with respect and tolerance. Link to comment Share on other sites More sharing options...
RAFВатель Posted March 22, 2016 Share Posted March 22, 2016 Спасибо, кеп. Я догадался. Теперь оскорбите свой мозг процессом узнавания что такое серые или не маршрутизируемые сети и подумайте, может ли из внешнего мира быть хоть одно правильное обращение по этому адресу? ЗЫ. Если вы работали у меня - уволил. В 24 часа, без пособия с полным служебным несоответствием. Серьезно. Может хватит человека унижать? Смотреть на человека свысока может лишь тот, кто протягивает ему руку, вытаскивая из пропасти. 1 [sIGPIC][/sIGPIC] Link to comment Share on other sites More sharing options...
ED Team BillyCrusher Posted March 22, 2016 ED Team Share Posted March 22, 2016 Потому что вы не админы. так вот "пишу цепочки" предполагает наличие рутовых прав или доступа к какой-нибудь фигне типа WebAdmin. Ни один вменяемый сисадмин не допустит кого попало к этому. Значит у автора это либо работа, либо доп. нагрузка. В любом случае я вижу эту ситуацию так: человек пришел на форум и попросил помощи. В ответ вместе с помощью получил в качестве бесплатного довеска кучу хамства типа "включи голову" и т.д. и оценку своих профессиональных качеств хотя не просил ни об одном ни о другом. Если ты являешься профессионалом в своем деле, то совсем необязательно так сильно надувать щеки, а то они могут лопнуть. Можно просто подсказать, без язвительных замечаний. Все и так знают, что ты сисадмин 80-го уровня. 2 "You become responsible, forever, for what you have tamed.” ― Antoine de Saint-Exupéry, The Little Prince. Link to comment Share on other sites More sharing options...
Dell_Murrey-RUS Posted March 22, 2016 Share Posted March 22, 2016 Ага, и получил ее не от вас. Иван весьма резонно и профессионально разобрался в теме вопроса и даже сделал адекватные выводы. Если ты являешься профессионалом в своем деле, то совсем необязательно так сильно надувать щеки, а то они могут лопнуть. Судя по реакции на критику чата в DCS, главное что бы они у вас не лопнули. ;) MB: MPG-Z390 GP / i7 9700KF 4,8 ГГц / DDR4 64 Gb 3466 МГц / GTX 2080Super / Acer 43" ET430KWMIIQPPX 4k / Win 10 Link to comment Share on other sites More sharing options...
HameleonJ Posted March 22, 2016 Author Share Posted March 22, 2016 (edited) Я лишь попросил совета\помощи, я не сильно шарю но и не полный ноль. Сеть досталась от предыдущего админа. Во вторых не роутер а прокси сервер на дебиане с 2 сетвыми картами подключенный к Днс серверу на винде , в третьих в принципе моя квалификация не должна вас ни в одно место. в четвертых - Админю потому- что не кому. То что вы сделали поспешный вывод из приведенных логов сервера и некорректных цепочек - ну это ваше мнение. Обратился за советами а не тролингом и т.д. я уже понял что вы супер спец по сетевым технологиям. На счет увольнения, не думаю что у вас есть подчиненные или же будут - с таким подходом к людям уж простите. Имхо как я уже отписался выше признал что не сильно понимаю в данной сфере, а вы же вместо норм советов начали катить бочку и .т.д. Edited March 22, 2016 by HameleonJ Link to comment Share on other sites More sharing options...
ED Team BillyCrusher Posted March 22, 2016 ED Team Share Posted March 22, 2016 Ага, и получил ее не от вас. Иван весьма резонно и профессионально разобрался в теме вопроса и даже сделал адекватные выводы. Судя по реакции на критику чата в DCS, главное что бы они у вас не лопнули. ;) Выводы может и адекватные сделал, а вот повел себя не совсем адекватно. При чем здесь чат я вообще не понял. Ты бы лучше маты убрал из описания миссии на своем сервере. "You become responsible, forever, for what you have tamed.” ― Antoine de Saint-Exupéry, The Little Prince. Link to comment Share on other sites More sharing options...
Recommended Posts