服务器内外网 iptables 配置的问题

2015-09-28 21:36:50 +08:00
 gladuo
学校有一台 E3 , 16G 内存, ubuntu 的服务器。
神奇的是上层路由设置了默认的网卡只能被外网 ping 通,却完全不能连接外网。这样系统更新,包下载什么的就完全没法搞了。

现在有 2 个可尝试方案:

1. 另接一根网线到另一个网卡,用普通学生账号。但是理所当然的这个网卡是不能被外网访问到(还是上层路由的限制)。这样的话,访问回包完全是乱的,单插任意一根网线可以实现进 /出的单向操作,但都插上之后进出都不对了。 baidu 的结果是 iptables 配置的东西,但我还没想清楚问题在哪里,所以也不会配。

2. 用一台远程机器做“跳板机”,这台机器可以访问在内网且可以访问外网,在 ssh 的时候把数据包进出(不确定)都转发到这台远程的机器内?

因为这个路由配置太神奇了以至于我在网上搜不到完全相同的情况,还请有类似经验的 V 友出出主意。
1465 次点击
所在节点   科技
8 条回复
gladuo
2015-09-28 21:39:44 +08:00
太迷了
oott123
2015-09-28 22:20:41 +08:00
这不就是拨个 VPN 到跳板机的事情?
或者 NAT ?
gladuo
2015-09-28 22:27:39 +08:00
@oott123 跳板机——也就是我这台电脑,在这个内网的更下一级网络,只有 10 开头的 ip 。
oott123
2015-09-28 22:32:30 +08:00
@gladuo 那就从跳板机拨 vpn 到上面呗。然后 iptables 转发之类的?
adrianzhang
2015-09-28 22:46:18 +08:00
这没什么神奇的,反向防火墙。
通常在超级加固的 web 端会用到,因此,有可能的是,这个上层路由也负责一个 http 服务器(不一定跟你这机器在同一个网段)。可以测试一下,建立 socket ,从本地 1~1024 ,找能出去的端口。或许, mail 也许可能性更大点。
如果有特殊目的,源端口从 1-1024 也都被禁止了,那么再想跳板的办法。
跳板的话, ssh tunnel 可能会比较可行。
ryd994
2015-09-29 01:10:34 +08:00
能改 iptables 的话就是加一条例外到软件源的事一般 -I OUTPUT -d 目标 -j ACCEPT ,不过实际情况不知道。
你 iptables-save 贴一下

跳板开 squid , ssh -R squid 端口到服务器上,
服务器上用 localhost 做代理就行了
gladuo
2015-09-29 23:07:44 +08:00
@adrianzhang 似乎是怕学生把服务器做离线下载。这个路由下有几十台服务器都是单向的。
adrianzhang
2015-09-30 00:33:42 +08:00
@gladuo 既然服务器出的去,做个 socks5 代理,将本机任何端口都代理到 80 或服务器端口。这样伪装是 http 服务器向外响应。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/224344

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX