Сервер DCS 1.5

[eXceed]

Если человек админ в своей конторе - то какие деньги?

 

За белый ip, в случае если его нет. Очевидно же.

[ivan_sch]

Может хватит человека унижать? Смотреть на человека свысока может лишь тот, кто протягивает ему руку, вытаскивая из пропасти.

 

А я его собственно и вытаскиваю. Хотя он еще и упирается.

 

Парни, большинство наших проблем от того что за работу берутся люди не умеющие ее делать. Досталось по наследству, больше некому.... Но если уж взялся за гуж, то не говори что не дюж. Сиди, читай, изучай, думай.

[ivan_sch]

В любом случае я вижу эту ситуацию так: человек пришел на форум и попросил помощи. В ответ вместе с помощью получил в качестве бесплатного довеска кучу хамства типа "включи голову" и т.д. и оценку своих профессиональных качеств хотя не просил ни об одном ни о другом. Если ты являешься профессионалом в своем деле, то совсем необязательно так сильно надувать щеки, а то они могут лопнуть. Можно просто подсказать, без язвительных замечаний. Все и так знают, что ты сисадмин 80-го уровня.

 

Ошибочка у вас. 78.

[ivan_sch]

За белый ip, в случае если его нет. Очевидно же.

 

Белый ip в таких случая обычно прилагается вместе с каналом. Это все конторское подключение.

[eXceed]

Я лишь попросил совета\помощи, я не сильно шарю но и не полный ноль.

 

Для того, что бы подключение из вне попали на твой сервер DCS нужно объяснить твоему маршрутизатору, что входящие попытки соединения с портом 31337(например) нужно перенаправлять на узел с DCS. В твоих правилах конечно полный атас. Начни все по новой лучше. Обозначь на бумажке все то, что тебе нужно и отсекай правилами с малого к большому. Тут конечно бесспорно придется пошевелить мозгами и почитать документацию.

 

У DCS сервера должен быть шлюз в интернет твой роутер. На роутере нужно включить ip_forward, сам NAT проблему не решает, он лишь транслирует адреса. Поищи как его включить, это просто.

 

Во всяком случае не жди готового рецепта, а придумай его сам.

Edited March 22, 2016 by eXceed

[ivan_sch]

Я лишь попросил совета\помощи, я не сильно шарю но и не полный ноль.

Совет вы получили.

 

Сеть досталась от предыдущего админа.

То есть вы все таки позиционируете себя как админ.

 

Во вторых не роутер а прокси сервер на дебиане с 2 сетвыми картами подключенный к Днс серверу на винде ,

 

Это роутер. Выполняющий в том числе и функции прокси-сервера. То, чем вы пытаетесь заниматься сейчас - это в некоторой степени и настройка роутинга.

 

в третьих в принципе моя квалификация не должна вас ни в одно место. в четвертых

Должна. Потому что определяет уровень ответов.

 

- Админю потому- что не кому. То что вы сделали поспешный вывод из приведенных логов сервера и некорректных цепочек - ну это ваше мнение.

Никто кроме нас!

 

Обратился за советами а не тролингом и т.д. я уже понял что вы супер спец по сетевым технологиям. На счет увольнения, не думаю что у вас есть подчиненные или же будут - с таким подходом к людям уж простите. Имхо как я уже отписался выше признал что не сильно понимаю в данной сфере, а вы же вместо норм советов начали катить бочку и .т.д.

 

Есть, были и будут. К сожалению.

 

Повторю еще раз.

 

1. Прочитайте про серые ip-сети - https://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81

поймете почему снаружи роутить на ваш сервер бессмысленно

2. Почитайте как устроен механизм цепочек и правил в Линуксе. Поймете что в вашем конфиге не так.

Например тут - http://www.opennet.ru/docs/RUS/iptables/

 

ну или еще где. Проблема в том что информация может быстро устаревать и меняться, абсолютных догм тут нет.

 

поймете почему у вас дурацкий и бестолковый конфиг.

 

Тех трех правил что я уже привел по идее достаточно чтобы ваш сервер был виден и был доступен

Опять же, отнеситесь к ним вдумчиво и творчески - они не тестировались, были взяты из рабочей конфигурации в которой есть свои ньюансы.

[HameleonJ]

В общем я добился того что по айпишнику к серверу можно присоедениться но его не видно в списке серверов.

[HameleonJ]

Для того, что бы подключение из вне попали на твой сервер DCS нужно объяснить твоему маршрутизатору, что входящие попытки соединения с портом 31337(например) нужно перенаправлять на узел с DCS. В твоих правилах конечно полный атас. Начни все по новой лучше. Обозначь на бумажке все то, что тебе нужно и отсекай правилами с малого к большому. Тут конечно бесспорно придется пошевелить мозгами и почитать документацию.

 

У DCS сервера должен быть шлюз в интернет твой роутер. На роутере нужно включить ip_forward, сам NAT проблему не решает, он лишь транслирует адреса. Поищи как его включить, это просто.

 

Во всяком случае не жди готового рецепта, а придумай его сам.

 

Благодарю, так и делаю открываю по потихоньку но упорно не хочет видеть в списке его, а по прямому подключается и все работает.

[rebel-1]

Веселая и добродушная беседа у вас тут.

[ivan_sch]

В общем я добился того что по айпишнику к серверу можно присоедениться но его не видно в списке серверов.

 

Запустите tcpdump и посмотрите траффик в момент старта сервера.

Возможно что-то не проходит или остается без ответа.

 

С другой стороны возможна и некая фича со стороны мастер-сервера - может он пытается пинговать ваш сервак а ему никто не отвечает. Писанной документации по подобным настройкам нет. К сожалению.

[eXceed]

Запустите tcpdump и посмотрите траффик в момент старта сервера.

Возможно что-то не проходит или остается без ответа.

 

С другой стороны возможна и некая фича со стороны мастер-сервера - может он пытается пинговать ваш сервак а ему никто не отвечает. Писанной документации по подобным настройкам нет. К сожалению.

 

Пущай пингует. Мастер-сервер будет видеть лишь внешний адрес роутера. Он же доступен, если там фаервол жэстачайшэ не режет все подряд кроме нужного для tcp/udp соединений. Я не из той области DCS что бы точно сказать какие еще порты нужны. Для начала можно попробовать дополнительно пробросить http + https для DCS

[ivan_sch]

Пущай пингует. Мастер-сервер будет видеть лишь внешний адрес роутера. Он же доступен, если там фаервол жэстачайшэ не режет все подряд кроме нужного для tcp/udp соединений. Я не из той области DCS что бы точно сказать какие еще порты нужны. Для начала можно попробовать дополнительно пробросить http + https для DCS

 

Ну. Для того чтобы видеть внутри мы тут трансляцию адресов и настраиваем.

Например может действительно надо пинги разрешить?

 

http+https да и вообще все стоит изнутри разрешить - чтоб обновлялось, видело новости и прочая.

 

Если уж совесем плохо, то можно в нерабочее время просто пробросить весь, до последнего байта и порта, траффик на сервак DCS и посмотреть. Если заработает, то снимаем дамп и смотрим что открывать.

[HameleonJ]

Пинги есть по крайней мере из вне, не совсем понял как hhtp/https трафик из дкс пробросить

[ivan_sch]

Пинги есть по крайней мере из вне, не совсем понял как hhtp/https трафик из дкс пробросить

 

Мда... первоя правило из тех трех что я привел. Пробрасывет все от сервера наружу.

Перестаньте наобум дергать конфиг. Займитесь теорией.

 

 

ЗЫ. Представил себе подобное на медицинском или автофоруме - уже неделю даем пациенту разные лекарства... уже неделю чиним клиенту машину - бедняга устал платить за запчасти... и хор жалостливых - ну что вы на них ругаетесь, они же просто помощи попросили, а вы себя ведете неадекватно....

 

ЗЗЫ. Вы предпочтете чтоб вас лечил злой и неадекватный доктор Быков или добрые и адекватные лапочка Романенко с милашкой Лобановым?

Edited March 22, 2016 by ivan_sch

[HameleonJ]

Мда... первоя правило из тех трех что я привел. Пробрасывет все от сервера наружу.

Перестаньте наобум дергать конфиг. Займитесь теорией.

 

 

ЗЫ. Представил себе подобное на медицинском или автофоруме - уже неделю даем пациенту разные лекарства... уже неделю чиним клиенту машину - бедняга устал платить за запчасти... и хор жалостливых - ну что вы на них ругаетесь, они же просто помощи попросили, а вы себя ведете неадекватно....

 

ЗЗЫ. Вы предпочтете чтоб вас лечил злой и неадекватный доктор Быков или добрые и адекватные лапочка Романенко с милашкой Лобановым?

 

Если вы про это

-A POSTROUTING -s <локальная машина> -d 0/0 -o <внешний интерфейс роутера> -j SNAT --to-source <внешний ip роутера>

то iptables его не хочет применять

т.е преобразовывая его в

iptables -A POSTROUTING -s 192.168.1.63 -d 0/0 -o 192.168.1.1 -j SNAT --to-source 213.87.104.159

то ругается No chain/target/match by that name.

[eXceed]

Очевидно, что такой цепочки правил нет в данной таблице. Ты кое что забыл.

[HameleonJ]

Очевидно, что такой цепочки правил нет в данной таблице. Ты кое что забыл.

 

Что я мог упустить подскажи?

 

iptables -t nat -A POSTROUTING -s 192.168.1.63 -d 0/0 -o 192.168.1.1 -j SNAT --to-source 213.87.104.159

iptables -t nat -A PREROUTING -d 213.87.104.159 -i 192.168.1.1 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

iptables -t nat -A PREROUTING -d 213.87.104.159 -i 192.168.1.1 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63

 

Порт выкидываю такой цепочкой:

iptables -t nat -A PREROUTING -p tcp -d 213.87.104.159 --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

iptables -A FORWARD -i eth0 -d 192.168.1.63 -p tcp --dport 10308 -j ACCEPT

 

 

 

 

Вот что в итоге после удалил и сел все заново по порядку.

iptables-save

# Generated by iptables-save v1.4.21 on Tue Mar 22 22:34:49 2016

*nat

:PREROUTING ACCEPT [726:58394]

:INPUT ACCEPT [475:29413]

:OUTPUT ACCEPT [80:5895]

:POSTROUTING ACCEPT [0:0]

-A PREROUTING -d 213.87.104.159/32 -i 192.168.1.1 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A PREROUTING -d 213.87.104.159/32 -i 192.168.1.1 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A PREROUTING -d 192.168.1.63/32 -i 192.168.1.1 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 213.87.104.159

-A PREROUTING -d 192.168.1.63/32 -i 192.168.1.1 -p udp -m udp --dport 10308 -j DNAT --to-destination 213.87.104.159

-A PREROUTING -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A POSTROUTING -j MASQUERADE

-A POSTROUTING -s 192.168.1.63/32 -o 192.168.1.1 -j SNAT --to-source 213.87.104.159

COMMIT

# Completed on Tue Mar 22 22:34:49 2016

# Generated by iptables-save v1.4.21 on Tue Mar 22 22:34:49 2016

*filter

:INPUT ACCEPT [1751:432897]

:FORWARD ACCEPT [290:31947]

:OUTPUT ACCEPT [1784:451609]

-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10308 -j ACCEPT

-A INPUT -p udp -m udp --dport 10308 -j ACCEPT

-A FORWARD -i eth1 -o eth0 -j ACCEPT

-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i eth0 -p tcp -m tcp --dport 10308 -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i eth0 -p udp -m udp --dport 10308 -j ACCEPT

COMMIT

# Completed on Tue Mar 22 22:34:49 2016

Edited March 22, 2016 by HameleonJ

[edwardpashkov]

Весело тут, да... маскарад какой то, э...

Edited March 23, 2016 by edwardpashkov

[ivan_sch]

Что я мог упустить подскажи?

 

Самое главное - знание и понимание того, как это работает

 

iptables -t nat -A POSTROUTING -s 192.168.1.63 -d 0/0 -o 192.168.1.1 -j SNAT --to-source 213.87.104.159

iptables -t nat -A PREROUTING -d 213.87.104.159 -i 192.168.1.1 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

iptables -t nat -A PREROUTING -d 213.87.104.159 -i 192.168.1.1 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63

 

флаги -i и -o требуют указание сетевого интерфейса, а не адреса!

 

Порт выкидываю такой цепочкой:

iptables -t nat -A PREROUTING -p tcp -d 213.87.104.159 --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

iptables -A FORWARD -i eth0 -d 192.168.1.63 -p tcp --dport 10308 -j ACCEPT

 

не выкидываете (это наружу) а прокидываете (это вовнутрь).

Последнее правило вообще лишнее.

 

Вот что в итоге после удалил и сел все заново по порядку.

iptables-save

# Generated by iptables-save v1.4.21 on Tue Mar 22 22:34:49 2016

*nat

:PREROUTING ACCEPT [726:58394]

:INPUT ACCEPT [475:29413]

:OUTPUT ACCEPT [80:5895]

:POSTROUTING ACCEPT [0:0]

-A PREROUTING -d 213.87.104.159/32 -i 192.168.1.1 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A PREROUTING -d 213.87.104.159/32 -i 192.168.1.1 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63

-A PREROUTING -d 192.168.1.63/32 -i 192.168.1.1 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 213.87.104.159

-A PREROUTING -d 192.168.1.63/32 -i 192.168.1.1 -p udp -m udp --dport 10308 -j DNAT --to-destination 213.87.104.159

 

ошибка в параметре у флага -i. Но дальше идет вроде как правильный вариант:

 

-A PREROUTING -d 213.87.104.159/32 -p tcp -m tcp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

-A PREROUTING -d 213.87.104.159/32 -p udp -m udp --dport 10308 -j DNAT --to-destination 192.168.1.63:10308

 

-A POSTROUTING -j MASQUERADE

шедеврально. Вместо того чтобы изучить теорию вы просто перебираете варианты? Не сработает.

 

-A POSTROUTING -s 192.168.1.63/32 -o 192.168.1.1 -j SNAT --to-source 213.87.104.159

COMMIT

 

Ошибка у флага -o - должно быть имя интерфейса, а не его адрес.

 

# Completed on Tue Mar 22 22:34:49 2016

# Generated by iptables-save v1.4.21 on Tue Mar 22 22:34:49 2016

*filter

:INPUT ACCEPT [1751:432897]

:FORWARD ACCEPT [290:31947]

:OUTPUT ACCEPT [1784:451609]

 

по умолчанию разрешено все и вся.

 

 

Значит вот это все просто лишнее:

-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 10308 -j ACCEPT

-A INPUT -p udp -m udp --dport 10308 -j ACCEPT

-A FORWARD -i eth1 -o eth0 -j ACCEPT

-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i eth0 -p tcp -m tcp --dport 10308 -j ACCEPT

-A FORWARD -d 192.168.1.63/32 -i eth0 -p udp -m udp --dport 10308 -j ACCEPT

COMMIT

# Completed on Tue Mar 22 22:34:49 2016

 

перестаньте тыкаться методом перебора и потратьте пару дней на чтение и понимание.