Возможно ли передать гостевой ip на локальную машину?

Question

[Кирилл Казаков]

OS Debian 8 , pure-ftpd - сервер , все vps - openvz контейнеры.

Есть ftp сервер на vps2 с локальным ip , есть vps1 с реальным ip откуда идет перенаправление(с помощью iptables) трафика на нужный локальный ip.
При подключении к ftp серверу ( с локальным ip ) в логах пишется информация только внешнего ip ( с vps1) , а нужна информация о ip клиента ( а не самого vps1).
Можно ли как-то передать ip клиента в логи vps2?
UPD1:
Перенаправляю сейчас по этому правилу:

iptables -t nat -A PREROUTING --dst %YOU_PUBLIC_ADDRESS% -p tcp -m multiport --dport 21,50000:51000 -j DNAT --to-destination 192.168.10.10
iptables -t nat -A POSTROUTING --dst 192.168.10.10 -p tcp -m multiport --dport 21,50000:51000 -j SNAT --to-source %YOU_PUBLIC_ADDRESS%

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 1 -i venet0 -o venet0 -d 192.168.10.10 -p tcp -m multiport --dport 21,50000:51000 -j ACCEPT

В логах отображается %YOU_PUBLIC_ADDRESS% , а не адрес клиента.

UPD2:
Возможно стоит описать более детально сеть.
Есть PVE (Proxmox на базе debian) - имеет физический eth0 и белый ip. На нем же бридж поднят.
Есть vps1 - имеет подключение через хоста , имеет белый ip, интерфейс venet.
Есть vps2 - имеет подключение через хоста, имеет локальный ip, подключен к бриджу,имеет выход в инет.

На vps1 поднят nginx , который слушает все на 80;443 порту и перенаправляет на vps2 в случае соответствующей записи vhosts .

Была задача - дать доступ по ftp к vps2 , где вместо ip - имя домена.
Сейчас эта схема работает, но как сказано выше ip адрес определяется vps1.

Comments

[Кирилл Казаков]

Нужно правильно пробросить порты за nat

iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp --dport 21-20 -j DNAT --to-destination 192.168.122.25 
iptables -I FORWARD -m state -d 192.168.122.25/32 --state NEW,RELATED,ESTABLISHED -j ACCEPT

Где xxx.xxx.xxx.xxx - внешний ip ,
В в данном случае нужно коннектиться к DS и оттуда пробрасывать порт до vps2 (без посредника vps1)

Answer 1

[Сергей]

я не знаю как у вас там фурычит проброс портов, но при нормальных настройках внутренний сервак видит айпишники извне

Answer 2

[Клёвый Админ]

При классической нат трансляции эту информацию передать нельзя (точно так же нельзя передать наружу ваш локальный адрес при src nat - в этом смысл и суть технологии).

В иных протоколах (например, http и его проксировании) для этих целей используется расширение протокола.

Но конечно нужно смотреть что у вас там за софт, есть виды NAT, позволяющие пропускать через себя адреса публичных хостов.

Comments

[lega]

На внешнем сервере можно сделать просто проброс на локальный сервер с сохранением src адреса (iptables -t nat -A PREROUTING ... -j DNAT --to-destination ...), если на локальном сервере шлюз=этот внешний сервер, то ответный пакет прилетит обратно - на внешний сервер, где останется только подменить src этого сервера (что происходит автоматом) и переправить в инет.

[Клёвый Админ]

lega: да, это (в терминах NAT) - full clone nat, при таком раскладе подмена src addr не происходит, только замена dst addr.

Кирилл Казаков вот дельный ответ.
A PREROUTING -t nat -d %YOU_PUBLIC_ADDRESS% -p tcp -m tcp --dport 3389 -j DNAT --to-destination %YOU_LOCAL_SERVER%

при таком раскладе происходит подмена только адреса назначения, адрес источника остаётся в пакете неизменным.

[Кирилл Казаков]

Евгений Быченко: У меня примерно так и есть
iptables -t nat -A PREROUTING --dst %YOU_PUBLIC_ADDRESS% -p tcp -m multiport --dport 21,50000:51000 -j DNAT --to-destination 192.168.10.10
iptables -t nat -A POSTROUTING --dst 192.168.10.10 -p tcp -m multiport --dport 21,50000:51000 -j SNAT --to-source %YOU_PUBLIC_ADDRESS%

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD 1 -i venet0 -o venet0 -d 192.168.10.10 -p tcp -m multiport --dport 21,50000:51000 -j ACCEPT

Но в логах почему-то именно этот адрес %YOU_PUBLIC_ADDRESS%

[Клёвый Админ]

Кирилл Казаков: ну более наглядно я ничего не нашёл www.e-reading.club/chapter.php/79424/57/Andreasson...
вот тут всё описано. Если у вас только эти правила - то просто не то логируете. SRC адрес при DNAT (такого типа) остаётся неизменным.

Возможно где-то есть лишний src nat.

[lega]

Кирилл Казаков: у вас 2-я команда как раз и убивает адрес клиента

[Кирилл Казаков]

Евгений Быченко: Только эти правила. Логирует pure-ftpd , доп. настроек по логированию не делал.

[Кирилл Казаков]

lega: Без 2-й не достучаться до машины.

[Клёвый Админ]

lega: спасибо, я не доглядел =)

Кирилл Казаков: смотрите какие правила должны быть:
iptables -t nat -A PREROUTING -d 205.254.211.17 -j DNAT --to-destination 192.168.100.17
iptables -t nat -A POSTROUTING -s 192.168.100.17 -j SNAT --to-destination 205.254.211.17
во втором правиле директивы не те

linux-ip.net/html/nat-dnat.html

[Кирилл Казаков]

Евгений Быченко: Это странно , но после добавления такого правила

iptables -t nat -A POSTROUTING -s 192.168.10.10  -p tcp -m multiport --dport 21,50000:51000 -j SNAT --to-destination %YOU_PUBLIC_ADDRESS%

, появляется такая ошибка

iptables v1.4.21: unknown option "--to-destination"
Try `iptables -h' or 'iptables --help' for more information.

[Клёвый Админ]

Кирилл Казаков: тогда вместо него просто вот такое
ptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

[Кирилл Казаков]

Евгений Быченко: FTP работает, но в логах по прежнему ip от vps1 . Буду на досуге думать.
Возможно это как-то связано с особенностями openvz venet ...

[lega]

Кирилл Казаков: >Без 2-й не достучаться до машины.

Возможно шлюз на vs2 не тот, не vs1.

Так же ещё можете на Ubuntu форуме спросить, там крутые сетивики отвечают.

[Кирилл Казаков]

lega: Да, шлюзом является бридж на хосте, а не vs1. Но доменные имена ловит именно vs1.

[lega]

> Но доменные имена ловит именно vs1.

Это не важно, получается что пакеты от клиента до vs2 долетают через vs1 (с пом. 1-го правила), а vs2 отвечает не обратно через vs1, а куда-то в 3-ее место, которое не знает куда пакет отправлять и он дропается, поэтому и не получается достучатся до сервера.

в теории если это 3-ее место будет правильно отправлять пакет клиенту (с src адресом = внешнему vs1), то такой крюк может заработать.

[Кирилл Казаков]

lega: Ясно . Спасибо за то , что дошли до финала игры в угадайку )
Конечно не хватает теории, надо более обстоятельно подходить к подобным вопросам.