प्रदाता से गतिशील आईपी, और iptables में पोर्ट अग्रेषण

नमस्कार, प्यारे खब्रोवित्स।

निश्चित रूप से आप में से कई, मेरी तरह, ने एक ही समस्या का सामना किया है जब हमें Iptables के माध्यम से अपने आभासी / भौतिक मशीनों को पोर्ट (ओं) को अग्रेषित करने की आवश्यकता है, लेकिन हमारा प्रदाता हमें एक वास्तविक (ग्रे नहीं) गतिशील आईपी पता देता है, जैसे कि वीपीएन या पीपीपीओई के मामलों में

मेरे पास प्रत्येक तीन दिनों में प्रदाता द्वारा PPPoE और IP परिवर्तन होते हैं। एक ही समय में, परीक्षण सर्वर हमेशा उपलब्ध होना चाहिए चाहे मेरा बाहरी आईपी कोई भी हो।

मैं इस समस्या का अपना समाधान प्रस्तावित करता हूं।


तो, हमारे पास: Ubuntu 10.04 पर एक सर्वर: (Linux nwserver 2.6.32-40- सर्वर # 87-Ubuntu SMP Tue Mar 6 02:10:02 UTC 2012 x86_64 GNU / Linux, iptables v1.4.4) और दूसरा सर्वर जिसके लिए हम बंदरगाहों को अग्रेषित करना चाहिए।

हमारे कार्य:

1.) एक फ़ाइल बनाएं जिसे स्क्रिप्ट को काम करने की आवश्यकता होगी (आप इसे अपनी इच्छानुसार कॉल कर सकते हैं, केवल स्क्रिप्ट में इसका नाम बदलना मत भूलना) । हमारे डायनामिक रियल आईपी को इसमें लिखा जाएगा और स्क्रिप्ट द्वारा उपयोग किया जाएगा।
touch /tmp/ip_old

2. अब हम एक स्क्रिप्ट लिख रहे हैं, मैंने इसे 0TPup कहा:
IPT="/sbin/iptables -v"
REAL_IP=`cat /tmp/ip_old`

#
VSERV_IP=192.168.200.2

# , , 80 81 , -

$IPT -t nat -A PREROUTING -d $REAL_IP -p tcp -m tcp --dport 81 -j DNAT --to-destination $VSERV_IP:80
$IPT -t nat -A POSTROUTING -d $VSERV_IP -p tcp -m tcp --dport 81 -j SNAT --to-source $REAL_IP

# , , ssh,

$IPT -t nat -A PREROUTING -d $REAL_IP -p tcp -m tcp --dport 22 -j DNAT --to-destination $VSERV_IP:22
$IPT -t nat -A POSTROUTING -d $VSERV_IP -p tcp -m tcp --dport 22 -j SNAT --to-source $REAL_IP

# , ( )

# IP ppp0, ,
ip addr show ppp0 | grep "inet" | grep "peer" | awk '{print $2}' > /tmp/ip_old
#
REAL_IP=`cat /tmp/ip_old`

3.) स्क्रिप्ट को निष्पादन योग्य बनाया गया है: chmod + x 0iptup
हम इसे /etc/init.d/ फ़ोल्डर में रखते हैं, फिर हम इसे अपडेट-rc.d: update-rc.d 0iptup डिफॉल्ट का उपयोग करके डाउनलोड करने की अनुमति देते हैं
इसे /etc/ppp/ip-up.d/ में एक प्रतीकात्मक लिंक बनाएँ

4.) उसी स्थान पर, /etc/init.d/ में हम दूसरी स्क्रिप्ट 0iptdown बनाते हैं:
#!/bin/sh
iptables-restore < /etc/iptables.up.rules

हम इसे निष्पादन योग्य बनाते हैं, इसे अपडेट-आरडीडी का उपयोग करने के लिए डाउनलोड करने की अनुमति देते हैं: अपडेट- rc.d 0iptdown चूक
इसे /etc/ppp/ip-down.d/ में एक प्रतीकात्मक लिंक बनाएँ

Iptables के नियम सभी के लिए अलग-अलग हैं, अपनी कॉन्फ़िगरेशन फ़ाइल का पथ निर्दिष्ट करें, लेकिन फ़िल्टर तालिका में अग्रेषित पोर्ट के लिए अनुमति निर्दिष्ट करना न भूलें:
*filter
-A FORWARD -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 81 -j ACCEPT
COMMIT


यह व्यवहार में कैसे काम करता है: जब ppp0 इंटरफ़ेस उठाया जाता है, तो स्क्रिप्ट स्वचालित रूप से लॉन्च हो जाती है, नियमों को फ़ायरवॉल तालिका में ठीक से तब तक जोड़ता है जब तक कि ppp0 इंटरफ़ेस सक्रिय नहीं होता, जैसे ही यह निष्क्रिय होता है, स्क्रिप्ट सेटिंग्स को मूल लोगों को लौटा देती है, जो एक गतिशील आईपी पते के साथ बहुत सुविधाजनक है ।

फिर dyn-dns, no-ip, या जो कुछ भी आपको पसंद है, के माध्यम से आप हमेशा अपने वर्चुअल / टेस्ट मशीनों पर जा सकते हैं।

संभावित नुकसान: यदि, कहते हैं, एक वीपीएन सर्वर आपके लड़ाकू वाहन पर घूम रहा है और लोग इसे से ppp1, ppp2 आदि प्राप्त करते हैं, और प्रदाता के साथ कनेक्शन विफल हो जाता है, और फिलहाल कोई भी ppp0 इंटरफ़ेस को ले जाएगा - अग्रेषण आपके ग्राहक को होगा।

यहाँ, वास्तव में एक हफ्ते का फल और एक आधा पीड़ा और धूम्रपान करने वाला आदमी iptables।
परिवर्धन और सुधार का स्वागत है।