Проброс портов за NAT средствами IPtables для доступа к консольному клиенту IPMI
Для включения
Для перенаправления портов первоначально включим параметр net.ipv4.ip_forward
на уровне ядра в sysctl.conf
sysctl.conf
Для временного включения (до перезагрузки):
echo 1 > /proc/sys/net/ipv4/ip_forward
|
Скрипт для включения:
#!/bin/sh IN_IP=192.168.2.25 EXT_IP=91.1X5.23X.X6 iptables -I INPUT -s $EXT_IP -j ACCEPT iptables -I OUTPUT -s $EXT_IP -j ACCEPT iptables -t nat -I POSTROUTING -s $IN_IP -o eth0 -j MASQUERADE iptables -t nat -I POSTROUTING -s $EXT_IP -o eth1 -j MASQUERADE iptables -t nat -I PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 80 -j DNAT --to $IN_IP:80 iptables -t nat -I PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 443 -j DNAT --to $IN_IP:443 iptables -t nat -I PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 7578 -j DNAT --to $IN_IP:7578 iptables -t nat -I PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 7582 -j DNAT --to $IN_IP:7582 iptables -t nat -I PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 5120 -j DNAT --to $IN_IP:5120 iptables -t nat -I PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 5124 -j DNAT --to $IN_IP:5124 iptables -t nat -I PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 7578 -j DNAT --to $IN_IP:7578 iptables -I FORWARD -s $EXT_IP -j ACCEPT iptables -I FORWARD -d $EXT_IP -j ACCEPT
|
Для отключения
Скрипт для отключения:
#!/bin/sh IN_IP=192.168.2.25 EXT_IP=91.1X5.23X.X6 iptables -D INPUT -s $EXT_IP -j ACCEPT iptables -D OUTPUT -s $EXT_IP -j ACCEPT iptables -t nat -D POSTROUTING -s $IN_IP -o eth0 -j MASQUERADE iptables -t nat -D POSTROUTING -s $EXT_IP/32 -o eth1 -j MASQUERADE iptables -t nat -D PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 80 -j DNAT --to $IN_IP:80 iptables -t nat -D PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 443 -j DNAT --to $IN_IP:443 iptables -t nat -D PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 7578 -j DNAT --to $IN_IP:7578 iptables -t nat -D PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 7582 -j DNAT --to $IN_IP:7582 iptables -t nat -D PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 5120 -j DNAT --to $IN_IP:5120 iptables -t nat -D PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 5124 -j DNAT --to $IN_IP:5124 iptables -t nat -D PREROUTING -s $EXT_IP -i eth0 -p tcp --dport 7578 -j DNAT --to $IN_IP:7578 iptables -D FORWARD -s $EXT_IP -j ACCEPT iptables -D FORWARD -d $EXT_IP -j ACCEPT
|
Какие порты должны быть открыты?
TCP 80: HTTP
TCP 443: HTTPS
TCP 5900, 5901: графическая консоль
TCP 5120, 5123 - трафик Virtual Media
UDP 623: IPMI