linux007 (linux007) wrote,
linux007
linux007

Итак, финальное: виртуальная машина eSafe, проброс портов, настройка маршрутизации

1) С теми, кто делает reject до моих пробрасывающих правил, я не разобрался, поэтому загнал болезнь вовнутрь:

[root@cent407 ~]# cat /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other
# You can put your own initialization stuff in here
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
iptables-restore < /etc/sysconfig/iptables.myown
[root@cent407 ~]# cat /etc/sysconfig/iptables.myown
# Generated by iptables-save v1.4.7 on Thu Oct 20 15:05:26 2011
*mangle
:P REROUTING ACCEPT [16772:1976010]
:INPUT ACCEPT [13630:1432778]
:FORWARD ACCEPT [3:606]
:OUTPUT ACCEPT [452:61474]
:P OSTROUTING ACCEPT [455:62080]
-A POSTROUTING -o virbr0 -p udp -m udp –dport 68 -j CHECKSUM –checksum-fill
COMMIT
# Completed on Thu Oct 20 15:05:26 2011
# Generated by iptables-save v1.4.7 on Thu Oct 20 15:05:26 2011
*nat
:P REROUTING ACCEPT [3555:431273]
:P OSTROUTING ACCEPT [19:1300]
:OUTPUT ACCEPT [19:1300]
-A PREROUTING -p tcp -m tcp –dport 3389 -j DNAT –to-destination 10.0.0.3
-A PREROUTING -p tcp -m tcp –dport 25 -j DNAT –to-destination 10.0.0.1
-A PREROUTING -p tcp -m tcp –dport 37233 -j DNAT –to-destination 10.0.0.1
-A PREROUTING -p tcp -m tcp –dport 43970 -j DNAT –to-destination 10.0.0.1
-A PREROUTING -p tcp -m tcp –dport 5432 -j DNAT –to-destination 10.0.0.1
-A PREROUTING -p tcp -m tcp –dport 22 -j DNAT –to-destination 10.0.0.1

-A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -p tcp -j MASQUERADE –to-ports 1024-65535
-A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -p udp -j MASQUERADE –to-ports 1024-65535
-A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Oct 20 15:05:26 2011
# Generated by iptables-save v1.4.7 on Thu Oct 20 15:05:26 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [32:5180]
-A INPUT -i virbr0 -p udp -m udp –dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp –dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp –dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp –dport 67 -j ACCEPT
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp –dport 8022 -j ACCEPT
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -d 10.0.0.0/24 -o virbr0 -m state –state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -p tcp -m tcp –dport 3389 -j ACCEPT
-A FORWARD -d 10.0.0.1/32 -p tcp -m tcp –dport 22 -j ACCEPT
-A FORWARD -d 10.0.0.1/32 -p tcp -m tcp –dport 43970 -j ACCEPT
-A FORWARD -d 10.0.0.1/32 -p tcp -m tcp –dport 37233 -j ACCEPT
-A FORWARD -d 10.0.0.1/32 -p tcp -m tcp –dport 25 -j ACCEPT
-A FORWARD -d 10.0.0.1/32 -p tcp -m tcp –dport 5432 -j ACCEPT

-A FORWARD -s 10.0.0.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT –reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT –reject-with icmp-port-unreachable
-A FORWARD -m physdev –physdev-is-bridged -j ACCEPT
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Oct 20 15:05:26 2011
[root@cent407 ~]#

В обоих файлах выделены мои строки. Остальное – это то, что было создано для создания виртуальной сети для виртуальных машин. Сохранялся в этот файл вывод команды iptables-save.

2) После создания этих правил категорически не хотели работать пробросы портов на 10.0.0.1 – чистая шелковистая система eSafe. Как оказалось, таблицу маршрутизации и default route она формирует при первичной установке, а следовательно, порты пробрасываются, но ответы машины не направляются куда надо.
В том же сегменте виртуальном создана машина windows, на которой крутится internet explorer, из которого выполняется первоначальная настройка, а после этого уже можно лезть и через браузер извне, и через клиента eSafe под винду.

3) Полная перезагрузка системы (от нажатия reboot в консоли хоста и до полной загрузки eSafe) выполняется где-то три минуты пятьдесят секунд.

4) Есть некоторая неоднозначность: если хостовая машина имеет адрес такой же, как наш почтовый домен, то какое имя должна иметь машина виртуальная с eSafe?

(c)
Tags: centos, esafe, iptables, kvm, linux
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments