Przekierowanie całego ruchu VPS na inny IP > IP

[TheKrzysztofa 9]

Hej, mam pytanie jak przekierować cały ruch z serwera A na serwer B (Adres IP a na adres IP b | Wszystkie porty).

 

Pozdrawiam

Edytowano Styczeń 11, 2014 przez TheKrzysztofa (zobacz historię edycji)

[bybunny 540]

Tymczasowo czy w przypadku awarii tego pierwszego?

[TheKrzysztofa 9]

Tymczasowo, rezygnuje z VPS z w pewnej firmie (Jest jeszcze opłacony przez 3 msc) i chcę przekierować cały ruch (TS3, www, gry)

[bybunny 540]

iptables powinien załatwić sprawę, przez chwile myślałem że rozwiązaniem będzie failover ale wspomniałeś o konkretnych usługach. Wklep w google.com : "redirect ip address to another ip address" to znajdziesz konkretne rozwiązanie.

[tgx 575]

iptables nie pomoże w tym zastosowaniu, nie można pakietom, dla których jesteś celem kazać "lecieć" w świat. Można spróbować sobie tulenelować po np vpn pomiędzy VPS-ami, ale ping skoczy

Edytowano Styczeń 11, 2014 przez tgx (zobacz historię edycji)

[bybunny 540]

iptables nie pomoże w tym zastosowaniu, nie można pakietom, dla których jesteś celem kazać "lecieć" w świat.

 

Jesteś pewien że nie można zastosować iptables by uzyskać routing na adres zewnętrzny?

 

http://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-ip-using-iptables/

Edytowano Styczeń 11, 2014 przez SiXwishlist (zobacz historię edycji)

[Czakoszek 12]

Jakiś VPN + DNAT.

[tgx 575]

 

Jesteś pewien że nie można zastosować iptables by uzyskać routing na adres zewnętrzny?

 

http://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-ip-using-iptables/

 

Edit: fakt, z tym samym ip wyjdą ale zadziała

Edytowano Styczeń 11, 2014 przez tgx (zobacz historię edycji)

[bybunny 540]

Tak oczywiście rozumiem, tylko co w chwili kiedy stworzymy wirtualna kartę - IP tak by ze stałego adresu IP przekierować go na adres sieci wewnętrznej a z niej przenieść dopiero na zewnątrz. Opierając to o konkretny zakres portów. Tu tylko chodzi o przeniesienie użytkowników na inny serwer z usługami a nie przekierowanie całego ruchu jak pełnej bramy.

[TheKrzysztofa 9]

W moim przypadku nie chodzi o przekierowanie danych które są ukierunkowane na serwer A tylko gdy Osoba XYZ podaje IP z portem to ten port kieruje na inne IP z innym lub tym samym portem. Sprawdzę dzisiaj IPtables dokładnie bo go nie ogarniam

 

Dzięki za pomoc.

[TheKrzysztofa 9]

Podbitka

 

Coś mi nie wychodzi:

 

Kieruje na serwerze A > B

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination ADRES_IP:80

Jednak nie mogę się wcale połączyć z serwerem A na porcie 80 :/

 

Wygląda jak by cały ruch zatrzymywał się na serwerze A i dalej nie przechodził.

Edytowano Styczeń 12, 2014 przez TheKrzysztofa (zobacz historię edycji)

[chmuri 89]

sysctl ustawiłeś prerouting ipv4?

[TheKrzysztofa 9]

sysctl ustawiłeś prerouting ipv4?

 

tak

[m0t 0]

 

tak

 

a filtrowanie jest open dla tej kombinacji ?

[TheKrzysztofa 9]

 

a filtrowanie jest open dla tej kombinacji ?

 

 

Można jaśniej? Na iptables nie znam się

[Dentarg 46]

Czy forwarding ipv4 masz włączony?

Pozwalasz potem na FORWARD tych pakietów (reguła albo domyślna polisa)?

 

[m0t 0]

 

 

Można jaśniej? Na iptables nie znam się

 

nie wiem jakie to distro, ale na 99% ma jakies domyslne reguly iptables i poprostu musisz wpuscic i wypuscic ruch, wiekszosc distro w defaulcie blokuje wiekszosc portow nie liczac ssh/dns + ewentualna stanowosc polaczen

odpal sobie na start

iptables -L -n -v i zobacz co tam masz naskrobane

ewentaulnie pozniej -t nat i sprawdz czy aby napewno masz regolke zaladowana tak dla pewnosci

[TheKrzysztofa 9]

Wykonuje tak:

root@s1:~# sysctl net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1
root@s1:~# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 185.36.169.81:80
root@s1:~# iptables -t nat -A POSTROUTING -j MASQUERADE
iptables: No chain/target/match by that name.

Zastanawia mnie to: iptables: No chain/target/match by that name.

 

po sprawdzeniu

 

 

root@s1:~# iptables -L -n -v -t nat

Chain PREROUTING (policy ACCEPT 2 packets, 101 bytes)

pkts bytes target prot opt in out source destination

23 1184 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:185.36.169.81:80

0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:185.36.169.81:80

Chain POSTROUTING (policy ACCEPT 2 packets, 104 bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

 

 

Jednak po wejściu na 91.204.162.189:80 nie kieruje na 185.36.169.81:80

Edytowano Styczeń 12, 2014 przez TheKrzysztofa (zobacz historię edycji)

[patryk 451]

Komunikat wskazuje na to, że Twój VPS nie ma zapewne aktywnego modułu ipt_masquerade. W OpenVZ trzeba to odpalić na poziomie maszyny "matki".

[TheKrzysztofa 9]

Komunikat wskazuje na to, że Twój VPS nie ma zapewne aktywnego modułu ipt_masquerade. W OpenVZ trzeba to odpalić na poziomie maszyny "matki".

 

Czyli nie ma możliwości przekierowania ruchu z A do B?

[bybunny 540]

 

Czyli nie ma możliwości przekierowania ruchu z A do B?

 

W twoim przypadku chodzi o przekierowanie ruchu na poziomie portów. Ruchu którego zapytanie idzie na adres IP - serwera A ,który ma przekierować daną usługę na IP - serwera B. Oparcie takiego modelu zachowań o iptables jest tylko i wyłącznie możliwy w chwili kiedy serwer A posiada włączony odpowiedni moduł. Biorąc pod uwagę że jest to wirtualna maszyna często - lub prawie zawsze (wybież właściwe)taki moduł jest wyłączony ze względu na sposób wykorzystania takiego wirtualnego serwera pod kontem powszechnie znanych usług - serwery www, poczty, głosowe itp. Teoretycznie - zaznaczam teoretycznie można oprzeć cały proces o bardziej skomplikowaną konfigurację przestrzegając zasad dotyczących zainstalowanych modułów i instalując dodatkowe elementy, które spełnią twoje oczekiwania. Pamiętaj jednak że każdy dodatkowy element wymaga dodatkowych zasobów. Brak wspomnianych modułów nie jest przykładem że usługodawca nie dopełnił obowiązków czy pisząc inaczej oferuje produkt, który nie spełnia oczekiwań. Wręcz przeciwnie , świadczy to że usługodawca broni serwera matki by wspomniana wirtualna maszyna nie była wykorzystywana jako transmiter (przekaźnik) przez osoby które chcą w jakimś stopniu uruchomić usługi działające na niekorzyść w oparciu o przepisy prawne lub ich serwer został wykorzystany przez osoby postronne do takich celów - włamania. Jak wspomniałem teoretycznie można pokusić się o napisanie skryptu opierając go o dostępne moduły które posiadasz. Jest sporo rozwiązań ale nie są to rozwiązania które można napisać z "palca" i raczej by trzeba było poznać cała strukturę twojego obecnego oprogramowania i do każdego elementu rozpisać nowe reguły w oparciu o kilka skryptów. Podając tobie sposób z iptables maiłem nadzieję że pomogę opierając to na najprostszym dostępnym rozwiązaniu tak byś ewentualnie mógł to zrobić samodzielnie + wujek google.

[Dentarg 46]

www możesz przekierować sobie przez reverse proxy a na docelowej maszynie użyć MEF zeby mieć porządek w logach i aplikacjach.

[m0t 0]

Hej, mam pytanie jak przekierować cały ruch z serwera A na serwer B (Adres IP a na adres IP b | Wszystkie porty).

 

Pozdrawiam

 

zakladajac ze ipt ci odpadlo, a nie jestes paranoikiem pod wzgledem bezpieczenstwa transmisji

zwykle simpleproxy zalatwi ci sprawe i jest dosc lopatologiczne

http://sourceforge.net/projects/simpleproxy/

 

ewentualnie troche swiezsze sockat czy tcproxy zreszta odpytaj wujka google to znajdziesz tego na tony

od nc po nginxy,gwany czy gdzie cie fantazja i umiejetnosci poniosia

Edytowano Styczeń 12, 2014 przez m0t (zobacz historię edycji)

[TheKrzysztofa 9]

Bardziej mnie interesuje przekierowanie jak to jest w iptables czyli porty w tym przypadku dla teamspeak - strony www przekierowane bez problemu.

[Dentarg 46]

Przekierowanie TSa to troche pokręcony pomysł. Dodasz laga i ten serwer, który przekierowuje będzie pchał ten sam ruch 2 razy (chyba, że nie masz ograniczenia na ruch, wtedy to już nie ma znaczenia).