next Опубликовано 20 Июня 2014 Жалоба Поделиться Опубликовано 20 Июня 2014 Здравствуйте!Обновил координатор с 3.7.1 до 3.7.4, а ОС с Debian 6 (ядро 2.6.32 ) на Debian 7 (ядро 3.2.57).Мне нужен проброс rdp-подключения снаружи на машину внутри сети, что реализовано следующим образом, допустим внешний IP координатора (eth1) 1.2.3.4, внутренний (eth0) 192.168.0.1 проброс нужен на 192.168.0.10 и разрешен для внешней машины 5.6.7.8firewall.conf:[nat]rule= num 21 proto tcp from anyip to 1.2.3.4:3389 change dst=192.168.0.10:3389[forward]rule= num 100 proto tcp from 5.6.7.8 to 192.168.0.10:3389 passНа 3.7.1 это работало, на 3.7.4 пакеты режутся по причине "104 - Connection already exists".вывод iplir view:06/20 12:17:40xeth0x<D---Tx tcpx 5.6.7.8x51363x 192.168.0.10x 3389104 - Connection already existsInterface : eth0Есть ли вариант починить, не откатываясь на 3.7.1? Может, по другому проброс сделать или настройки какие есть чтоб не резал эти пакеты. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
vadim4egvadim Опубликовано 20 Июня 2014 Жалоба Поделиться Опубликовано 20 Июня 2014 iptables не забыл выпилить? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
next Опубликовано 20 Июня 2014 Автор Жалоба Поделиться Опубликовано 20 Июня 2014 iptables не забыл выпилить?iptables не включены, кроме того режет пакет именно координатор. С самого координатора пингуются и 5.6.7.8 и 192.168.0.10, т.е. с маршрутами тоже все хорошо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
next Опубликовано 21 Июня 2014 Автор Жалоба Поделиться Опубликовано 21 Июня 2014 В общем, докладываю - версия координатора не причем.При абсолютно одинаковых конфигурацинооых файлах, проброс порта НЕ работает в Debian 7 (ядро 3.2.57) в координаторе 2.7.1 и 2.7.4. В Debian 6 (ядро 2.6.32 ) - работает.Все остальные функции координатора работают.В обоих случаях использовался патч ядра, ошибок при установке никаких нет. Видимо, координатор криво работает с третьим ядром?Откатился на 6 дебиан, благо он поддерживается до февраля 2016.Вообще, грустно все это - приходится сидеть на древних, потенциально дырявых дистрибутивах, обеспечивая "защиту" сети.Видимо, надо настраивать два файерволла - один для защиты на самом деле, на iptables, а уже за ним координатор для выполнения всяких требований.P.S. Инструкция для установки координатора на чистый Debian 6, вдруг кому пригодится:1. Качаем например здесь http://gemmei.acc.um...386-netinst.iso2. Устанавливаем, при выборе пакетов оставляем только SSH сервер, больше ничего не надо.3. Обновляемся, ставим пакеты для сборки ядра и корректной работы iplir:apt-get update && apt-get upgradeapt-get install build-essential kernel-package linux-source-2.6 fakeroot zlib1g-dev ethtool psmisc4. Разворачиваем дистрибутив координатора, патчим ядро:cd /home/next/tar xvzf distribute-i386-linux2.x-3.7.4-4464.tar.gzcd /usr/src/tar xvjf linux-source-2.6.32.tar.bz2ln -s ./linux-source-2.6.32 ./linuxpatch -p0 < /home/next/distribute/patch/iplir.patch.2.6.27-2.6.345. Собираем и устанавливаем ядро, воспользовавшись старым конфигом. При make oldconfig на все вопросы отвечаем y, кроме блокировки всех пакетов по умолчанию.cd /usr/src/linuxcp /boot/config-2.6.32-5-686 .configmake oldconfigfakeroot make-kpkg --initrd --revision=01 --append-to-version=.vipnet kernel-imagefakeroot make-kpkg --initrd --revision=01 --append-to-version=.vipnet kernel-headersdpkg -i ../linux-image-2.6.32.vipnet_01_i386.debdpkg -i ../linux-headers-2.6.32.vipnet_01_i386.deb6. Перезагружаемся в новое ядро. uname -r должен выдать 2.6.32.vipnet7. Блокируем обновление ядра (по желанию), дабы спокойно обновлять все остальное.echo "linux-headers-2.6-686 hold"| dpkg --set-selectionsecho "linux-image-2.6-686 hold"| dpkg --set-selections8. Собственно, ставим координатор. Dst файл должен быть наготове.cd /home/next/cp abn_001.dst ./distributecd distribute./install.sh9. ...10. profit! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.