Сервер DCS 1.5

[HameleonJ]

Доброго времени суток, обращаюсь к вам за помощью уже неделю пытаюсь настроить сервер под дкс. Суть такая: Есть рабочая машина она в домене, выход в интернет через прокси сервер (сам прокси на Дебиане ) в общем неделю пишу цепочки правил в него что бы открыть порты но все равно упорно за границами сети сервак ни кто не видит! Но в локальной сети все замечательно и сервер видно. Есть ли люди которые поднимали сервак на таких условиях - подскажите пожалуйста. Везде открыл порт 10308 где только можно, все равно не выпускает файрволы отключены.

[BKZerg]

А у провайдера твоего порт 10308 закрыт может быть?

[edwardpashkov]

Первое - айпи всегда честный белый на шлюзе? Нет - копаем прова. Да - копаем рутинг - нормальный прозрачный с прокидыванием портов на комп делаем. Даже без роутинга можно натом обойтись (коннект на статический айпи, который известен), но лучше чтобы нат и роутинг были таки парой.

Edited March 21, 2016 by edwardpashkov

[USSR_Rik]

Порт открыт для обоих протоколов (TCP и UDP)? Если да - остается провайдер.

[eXceed]

Доброго времени суток, обращаюсь к вам за помощью уже неделю пытаюсь настроить сервер под дкс. Суть такая: Есть рабочая машина она в домене, выход в интернет через прокси сервер (сам прокси на Дебиане ) в общем неделю пишу цепочки правил в него что бы открыть порты но все равно упорно за границами сети сервак ни кто не видит! Но в локальной сети все замечательно и сервер видно. Есть ли люди которые поднимали сервак на таких условиях - подскажите пожалуйста. Везде открыл порт 10308 где только можно, все равно не выпускает файрволы отключены.

 

Проксик тебе не поможет. Он вообще не для этого. Тебе нужно пробросить через NAT порты наружу средствами маршрутизатора(ов).

[HameleonJ]

Благодарствую за советы, завтра буду ломать пробивать

[ivan_sch]

Проксик тебе не поможет. Он вообще не для этого. Тебе нужно пробросить через NAT порты наружу средствами маршрутизатора(ов).

 

И только наружу не поможет.

Надо еще с наружи во внутрь

 

-A POSTROUTING -s <локальная машина> -d 0/0 -o <внешний интерфейс роутера> -j SNAT --to-source <внешний ip роутера>

 

-A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p udp -m udp --dport 10328 -j DNAT --to-destination <локальная машина>

-A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p tcp -m tcp --dport 10328 -j DNAT --to-destination <локальная машина>

 

надо не цепочки неделю писать, а включить голову и неделю думать и читать документацию. Еще хорошо называть вещи своими именами в рамках общепринятой терминологии.

[eXceed]

И только наружу не поможет.

Надо еще с наружи во внутрь

 

-A POSTROUTING -s <локальная машина> -d 0/0 -o <внешний интерфейс роутера> -j SNAT --to-source <внешний ip роутера>

 

-A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p udp -m udp --dport 10328 -j DNAT --to-destination <локальная машина>

-A PREROUTING -d <внешний ip роутера> -i <внешний интерфейс роутера> -p tcp -m tcp --dport 10328 -j DNAT --to-destination <локальная машина>

 

надо не цепочки неделю писать, а включить голову и неделю думать и читать документацию. Еще хорошо называть вещи своими именами в рамках общепринятой терминологии.

 

>Надо еще с наружи во внутрь

Само собой. Но тут уже за деньги как правило. Если подключение на юр.лицо то деньги могут оказаться бешеными.

[HameleonJ]

Ура все получилось, по логике выкинул на прямую тачку в сеть. Отдельное спасибо ivan_sch за идею

[ivan_sch]

>Надо еще с наружи во внутрь

Само собой. Но тут уже за деньги как правило. Если подключение на юр.лицо то деньги могут оказаться бешеными.

 

Чего???? Сейчас обычно режут полосу и не смотрят куда вы там ее направляете.

Если человек админ в своей конторе - то какие деньги?

 

Ну разве что за обучение -)))

[ivan_sch]

Ура все получилось, по логике выкинул на прямую тачку в сеть. Отдельное спасибо ivan_sch за идею

 

Не за что. Надеюсь идеей вы назвали самую последнюю строчку моего поста -))

[HameleonJ]

Появилась новая проблема порт открывается игрой его видно из вне, но в списке серверов не видно , ни чего не пойму. Похоже что руки у меня не из того места растут

iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

ACCEPT all -- anywhere anywhere

ACCEPT icmp -- anywhere anywhere icmp echo-request

ACCEPT icmp -- anywhere anywhere icmp echo-request

ACCEPT tcp -- anywhere anywhere tcp dpt:10308

ACCEPT udp -- anywhere anywhere udp dpt:10308

 

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCEPT udp -- anywhere 192.168.1.63 udp dpt:10308

ACCEPT tcp -- anywhere 192.168.1.63 tcp dpt:10308

 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- anywhere anywhere tcp dpt:10308

 

iptables-save

# Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016

*nat

:PREROUTING ACCEPT [6695:437960]

:INPUT ACCEPT [2764:180480]

:OUTPUT ACCEPT [628:37924]

:POSTROUTING ACCEPT [0:0]

-A PREROUTING -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A OUTPUT -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A POSTROUTING -j MASQUERADE

-A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.1

-A POSTROUTING -d 192.168.1.63/32 -p udp -m udp --dport 10308 -j SNAT --to-source 192.168.1.1

-A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.63

COMMIT

# Completed on Tue Mar 22 17:21:07 2016

# Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016

*filter

:INPUT ACCEPT [47445:3200570]

:FORWARD ACCEPT [530180:360887985]

:OUTPUT ACCEPT [1272074:1295291699]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10308 -j ACCEPT

-A INPUT -p udp -m udp --dport 10308 -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p udp -m udp --dport 10308 -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p tcp -m tcp --dport 10308 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 10308 -j ACCEPT

COMMIT

# Completed on Tue Mar 22 17:21:07 2016

Edited March 22, 2016 by HameleonJ

[ivan_sch]

Появилась новая проблема порт открывается игрой его видно из вне, но в списке серверов не видно , ни чего не пойму. Похоже что руки у меня не из того места растут

iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

ACCEPT all -- anywhere anywhere

ACCEPT icmp -- anywhere anywhere icmp echo-request

ACCEPT icmp -- anywhere anywhere icmp echo-request

ACCEPT tcp -- anywhere anywhere tcp dpt:10308

ACCEPT udp -- anywhere anywhere udp dpt:10308

 

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCEPT udp -- anywhere 192.168.1.63 udp dpt:10308

ACCEPT tcp -- anywhere 192.168.1.63 tcp dpt:10308

 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- anywhere anywhere tcp dpt:10308

 

iptables-save

# Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016

*nat

:PREROUTING ACCEPT [6695:437960]

:INPUT ACCEPT [2764:180480]

:OUTPUT ACCEPT [628:37924]

:POSTROUTING ACCEPT [0:0]

-A PREROUTING -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A OUTPUT -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A OUTPUT -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A POSTROUTING -j MASQUERADE

-A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.1

-A POSTROUTING -d 192.168.1.63/32 -p udp -m udp --dport 10308 -j SNAT --to-source 192.168.1.1

-A POSTROUTING -d 192.168.1.63/32 -p tcp -m tcp --dport 10308 -j SNAT --to-source 192.168.1.63

COMMIT

# Completed on Tue Mar 22 17:21:07 2016

# Generated by iptables-save v1.4.21 on Tue Mar 22 17:21:07 2016

*filter

:INPUT ACCEPT [47445:3200570]

:FORWARD ACCEPT [530180:360887985]

:OUTPUT ACCEPT [1272074:1295291699]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10308 -j ACCEPT

-A INPUT -p udp -m udp --dport 10308 -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p udp -m udp --dport 10308 -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i 213.87.104.159 -o 192.168.1.63 -p tcp -m tcp --dport 10308 -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 10308 -j ACCEPT

COMMIT

# Completed on Tue Mar 22 17:21:07 2016

 

Бредовый конфиг. Читайте доки. Они рулез. Хоть перестанете тыкаться как слепой кутенок.

Заодно начнете применять голову по назначению.

 

вот это например:

 

Chain INPUT (policy ACCEPT) <- по умолчанию, если ничего нет, то все разрешено

target prot opt source destination

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

разрешили пакеты в определенном состоянии....

ACCEPT all -- anywhere anywhere

еще раз, на всякий случай разрешили все.

 

ACCEPT icmp -- anywhere anywhere icmp echo-request

ACCEPT icmp -- anywhere anywhere icmp echo-request

ACCEPT tcp -- anywhere anywhere tcp dpt:10308

ACCEPT udp -- anywhere anywhere udp dpt:10308

 

два последних правила вообще в контексте беседы смысла не имеют. У вас же сервер не на роутере

крутится. Я уж молчу что и так все уже разрешено.

 

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCEPT udp -- anywhere 192.168.1.63 udp dpt:10308

ACCEPT tcp -- anywhere 192.168.1.63 tcp dpt:10308

 

шедеврально. Я прям таки вижу как к вам из внешней сети приходят пакеты на 192.168.1.63....

 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- anywhere anywhere tcp dpt:10308

 

еще более бессмысленно. И так все разрешено. Но даже если запретить - то на вашем роутере нет сервера DCS.

[HameleonJ]

192.168.1.63 это локальная машина где крутиться Дкс

[ivan_sch]

192.168.1.63 это локальная машина где крутиться Дкс

 

Спасибо, кеп. Я догадался. Теперь оскорбите свой мозг процессом узнавания что такое серые или не маршрутизируемые сети и подумайте, может ли из внешнего мира быть хоть одно правильное обращение по этому адресу?

 

 

ЗЫ. Если вы работали у меня - уволил. В 24 часа, без пособия с полным служебным несоответствием. Серьезно.

[USSR_Rik]

- Если бы вы были моим мужем, я бы насыпала вам в кофе цианистый калий!

- Если бы вы были моей женой, я бы этот кофе выпил!

Человек, может, не занимается сетями на профессиональном уровне и успешно работает совсем в другой сфере.

[ivan_sch]

- Если бы вы были моим мужем, я бы насыпала вам в кофе цианистый калий!

- Если бы вы были моей женой, я бы этот кофе выпил!

Человек, может, не занимается сетями на профессиональном уровне и успешно работает совсем в другой сфере.

 

Человек администрирует роутер в конторе. О чем написано в первых строках первого поста. Ты ж не будешь вместо главбуха сводить баланс и вместо юриста писать договора?

[BillyCrusher]

Человек администрирует роутер в конторе. О чем написано в первых строках первого поста.

 

Перечитал первый пост трижды, так и не увидел там ничего похожего :huh:

[USSR_Rik]

И я не увидел. Причем пост не подвергался редактированию.

[ivan_sch]

Потому что вы не админы.

выход в интернет через прокси сервер (сам прокси на Дебиане ) в общем неделю пишу цепочки правил

 

так вот "пишу цепочки" предполагает наличие рутовых прав или доступа к какой-нибудь фигне типа WebAdmin. Ни один вменяемый сисадмин не допустит кого попало к этому. Значит у автора это либо работа, либо доп. нагрузка.

[RAFВатель]

Спасибо, кеп. Я догадался. Теперь оскорбите свой мозг процессом узнавания что такое серые или не маршрутизируемые сети и подумайте, может ли из внешнего мира быть хоть одно правильное обращение по этому адресу?

 

 

ЗЫ. Если вы работали у меня - уволил. В 24 часа, без пособия с полным служебным несоответствием. Серьезно.

Может хватит человека унижать? Смотреть на человека свысока может лишь тот, кто протягивает ему руку, вытаскивая из пропасти.

[BillyCrusher]

Потому что вы не админы.

 

 

так вот "пишу цепочки" предполагает наличие рутовых прав или доступа к какой-нибудь фигне типа WebAdmin. Ни один вменяемый сисадмин не допустит кого попало к этому. Значит у автора это либо работа, либо доп. нагрузка.

 

В любом случае я вижу эту ситуацию так: человек пришел на форум и попросил помощи. В ответ вместе с помощью получил в качестве бесплатного довеска кучу хамства типа "включи голову" и т.д. и оценку своих профессиональных качеств хотя не просил ни об одном ни о другом. Если ты являешься профессионалом в своем деле, то совсем необязательно так сильно надувать щеки, а то они могут лопнуть. Можно просто подсказать, без язвительных замечаний. Все и так знают, что ты сисадмин 80-го уровня.

[Dell_Murrey-RUS]

Ага, и получил ее не от вас. Иван весьма резонно и профессионально разобрался в теме вопроса и даже сделал адекватные выводы.

 

Если ты являешься профессионалом в своем деле, то совсем необязательно так сильно надувать щеки, а то они могут лопнуть.

 

Судя по реакции на критику чата в DCS, главное что бы они у вас не лопнули. ;)

[HameleonJ]

Я лишь попросил совета\помощи, я не сильно шарю но и не полный ноль. Сеть досталась от предыдущего админа. Во вторых не роутер а прокси сервер на дебиане с 2 сетвыми картами подключенный к Днс серверу на винде , в третьих в принципе моя квалификация не должна вас ни в одно место. в четвертых - Админю потому- что не кому. То что вы сделали поспешный вывод из приведенных логов сервера и некорректных цепочек - ну это ваше мнение. Обратился за советами а не тролингом и т.д. я уже понял что вы супер спец по сетевым технологиям. На счет увольнения, не думаю что у вас есть подчиненные или же будут - с таким подходом к людям уж простите. Имхо как я уже отписался выше признал что не сильно понимаю в данной сфере, а вы же вместо норм советов начали катить бочку и .т.д.

Edited March 22, 2016 by HameleonJ

[BillyCrusher]

Ага, и получил ее не от вас. Иван весьма резонно и профессионально разобрался в теме вопроса и даже сделал адекватные выводы.

 

 

 

Судя по реакции на критику чата в DCS, главное что бы они у вас не лопнули. ;)

 

Выводы может и адекватные сделал, а вот повел себя не совсем адекватно. При чем здесь чат я вообще не понял. Ты бы лучше маты убрал из описания миссии на своем сервере.