The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"переброска портов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"переброска портов"  +/
Сообщение от czech (ok) on 16-Май-13, 09:44 
есть сервер Mandriva Enterprise Server
на одной сетевой внешний ip
на второй локалка 192.168.0.1
как с внешнего перебосить порт 9000 на локальный 192.168.0.223
т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
пробовал:
sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip -j DNAT --to-destination 192.168.0.223
sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "переброска портов"  +/
Сообщение от reader (ok) on 16-Май-13, 09:59 
> есть сервер Mandriva Enterprise Server
> на одной сетевой внешний ip
> на второй локалка 192.168.0.1
> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
> пробовал:
> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
> -j DNAT --to-destination 192.168.0.223
> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT

а в другую сторону разрешение и смотрите куда правила добавились, ибо порядок имеет значение

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "переброска портов"  +/
Сообщение от Дядя_Федор on 16-Май-13, 10:35 
nat POSTROUTING, однако, забыли. :) Он же - NAT. Чтобы трафик из LAN транслировался во внешний IP.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "переброска портов"  +/
Сообщение от reader (ok) on 16-Май-13, 10:46 
> nat POSTROUTING, однако, забыли. :) Он же - NAT. Чтобы трафик из
> LAN транслировался во внешний IP.

nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту, в данном случае помоему такой вероятности нет, а обратная трансляция будет автоматом

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "переброска портов"  +/
Сообщение от Дядя_Федор on 16-Май-13, 16:47 
> nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту,
> в данном случае помоему такой вероятности нет, а обратная трансляция будет
> автоматом

Да неужели? Если явно не задать трансляцию с LAN-адресов на WAN (белый IP, если угодно) _ Вас ожидает очень много интересного. Сети вида 192.168.0.0/16 не маршрутизируются


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "переброска портов"  +/
Сообщение от reader (ok) on 16-Май-13, 17:44 
>> nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту,
>> в данном случае помоему такой вероятности нет, а обратная трансляция будет
>> автоматом
>  Да неужели? Если явно не задать трансляцию с LAN-адресов на WAN
> (белый IP, если угодно) _ Вас ожидает очень много интересного. Сети
> вида 192.168.0.0/16 не маршрутизируются

только это относится к выходу локалки ( например 192.168.0.0/16 ) в инет, а не к пробросу с белого ip в локалку. При пробросе snat на WAN не нужен

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

29. "переброска портов"  +/
Сообщение от LSTemp (ok) on 24-Май-13, 03:21 
>> nat POSTROUTING нужен если есть вероятность что ответы пойдут по другому маршруту,
>> в данном случае помоему такой вероятности нет, а обратная трансляция будет
>> автоматом
>  Да неужели? Если явно не задать трансляцию с LAN-адресов на WAN
> (белый IP, если угодно) _ Вас ожидает очень много интересного. Сети
> вида 192.168.0.0/16 не маршрутизируются

подобные проблемы могут возникать при организацмм ДМЗ. при простом НАТе их нет.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

4. "переброска портов"  +/
Сообщение от elevator (ok) on 16-Май-13, 10:58 
> есть сервер Mandriva Enterprise Server
> на одной сетевой внешний ip
> на второй локалка 192.168.0.1
> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
> пробовал:
> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
> -j DNAT --to-destination 192.168.0.223
> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT

--to-destination 192.168.0.223:9000

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "переброска портов"  +/
Сообщение от ALex_hha (ok) on 16-Май-13, 11:35 
>> есть сервер Mandriva Enterprise Server
>> на одной сетевой внешний ip
>> на второй локалка 192.168.0.1
>> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
>> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
>> пробовал:
>> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
>> -j DNAT --to-destination 192.168.0.223
>> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT
> --to-destination 192.168.0.223:9000

нет необходимости явно задавать, если sport и dport совпадают

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "переброска портов"  +/
Сообщение от elevator (ok) on 16-Май-13, 11:59 
>[оверквотинг удален]
>>> на одной сетевой внешний ip
>>> на второй локалка 192.168.0.1
>>> как с внешнего перебосить порт 9000 на локальный 192.168.0.223
>>> т.е. набирая в интернете внешний_ip:9000 подключиться к 192.168.0.223:9000
>>> пробовал:
>>> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
>>> -j DNAT --to-destination 192.168.0.223
>>> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT
>> --to-destination 192.168.0.223:9000
> нет необходимости явно задавать, если sport и dport совпадают

тогда возможно такое, глянул у себя, форвард идет к, а не из -d и --dport

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "переброска портов"  +/
Сообщение от czech (ok) on 17-Май-13, 10:11 

> --to-destination 192.168.0.223:9000

sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip -j DNAT --to-destination 192.168.0.223:9000
не дает результата
и просьба довать ответы с полным примером

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "переброска портов"  +/
Сообщение от Mr. Mistoffelees on 16-Май-13, 13:04 
Привет,

> sudo iptables -t nat -A PREROUTING -p tcp --dport 9000 -d внешний_ip
> -j DNAT --to-destination 192.168.0.223

Эт' хорошо.

> sudo iptables -A FORWARD -p tcp --sport 9000 -s 192.168.0.223 -j ACCEPT

Эт' надо только если у вас дефолтное полиси в FORWARD отличается от ACCEPT.

А вот это не забыли?

echo "1" > /proc/sys/net/ipv4/ip_forward

WWell,


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "переброска портов"  +/
Сообщение от czech (ok) on 17-Май-13, 10:13 

> А вот это не забыли?
> echo "1" > /proc/sys/net/ipv4/ip_forward

где это надо прописать?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "переброска портов"  +/
Сообщение от Дядя_Федор on 17-Май-13, 10:44 
> где это надо прописать?

В консоли, ;%:№"! Если глобально (чтобы не похерилось при перезагрузке), то см. /etc/sysctl.conf - там этот параметр наверняка есть - надо его в "единицу" выставить. Ну и для начала проверить cat /proc/sys/net/ipv4/ip_forward


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "переброска портов"  +/
Сообщение от czech (ok) on 20-Май-13, 08:22 
>>cat /proc/sys/net/ipv4/ip_forward

на это выдает 1


вот что в sysctl.conf
====================================================================
# Kernel sysctl configuration file for Mandriva Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.

# Disables IP dynaddr
net.ipv4.ip_dynaddr = 0
# Disable ECN
net.ipv4.tcp_ecn = 0
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0

# Controls the System Request debugging functionality of the kernel
#kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1

# If you set this variable to 1 then cd tray will close automatically when the
# cd drive is being accessed.
# Setting this to 1 is not advised when supermount is enabled
# (as it has been known to cause problems)
dev.cdrom.autoclose=1
# removed to fix some digital extraction problems
# dev.cdrom.check_media=1

# to be able to eject via the device eject button (magicdev)
dev.cdrom.lock=0
net.ipv4.icmp_ignore_bogus_error_responses=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=0
net.ipv4.icmp_echo_ignore_all=0
net.ipv4.conf.all.log_martians=1
kernel.sysrq=1
====================================================================

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "переброска портов"  +/
Сообщение от Дядя_Федор on 20-Май-13, 08:39 
>>>cat /proc/sys/net/ipv4/ip_forward
> на это выдает 1

Значит все нормально. Раз этот параметр не выставляется в sysctl.conf - значит в каком-то другом стартующем скрипте. Например, в скрипте установки начальных правил iptables.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "переброска портов"  +/
Сообщение от czech (ok) on 20-Май-13, 08:45 
>>>>cat /proc/sys/net/ipv4/ip_forward
>> на это выдает 1
>  Значит все нормально. Раз этот параметр не выставляется в sysctl.conf -
> значит в каком-то другом стартующем скрипте. Например, в скрипте установки начальных
> правил iptables.

но переброса портов все равно нет

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "переброска портов"  +/
Сообщение от Дядя_Федор on 20-Май-13, 10:21 
>  но переброса портов все равно нет

"Уж сколько раз твердили миру". Запускает тцпдамп на внешнем интерфейсе - слушаем, потом - на внутреннем интерфейсе, слушаем. После чего - думаем. Как вариант - маршрутизация на машине в LAN, к которой Вы пытается присодиниться.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "переброска портов"  +/
Сообщение от czech (ok) on 20-Май-13, 18:49 
>>  но переброса портов все равно нет
>  "Уж сколько раз твердили миру". Запускает тцпдамп на внешнем интерфейсе -
> слушаем, потом - на внутреннем интерфейсе, слушаем. После чего - думаем.
> Как вариант - маршрутизация на машине в LAN, к которой Вы
> пытается присодиниться.

сорри а можно команду как запускать дамп

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "переброска портов"  +/
Сообщение от reader (ok) on 20-Май-13, 19:35 
>>>  но переброса портов все равно нет
>>  "Уж сколько раз твердили миру". Запускает тцпдамп на внешнем интерфейсе -
>> слушаем, потом - на внутреннем интерфейсе, слушаем. После чего - думаем.
>> Как вариант - маршрутизация на машине в LAN, к которой Вы
>> пытается присодиниться.
> сорри а можно команду как запускать дамп

tcpdump -n -i any port 9000
и обращаетесь на внешний ip, вывод сюда. И так же iptables-save уже давно нужно было показать

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "переброска портов"  +/
Сообщение от czech (ok) on 21-Май-13, 08:28 

> и обращаетесь на внешний ip, вывод сюда. И так же iptables-save уже
> давно нужно было показать

08:22:09.132687 IP 192.168.0.5.1162 > внешний_ip.9000: S 1814991:1814991(0) win 65535 <mss 1460,nop,nop,sackOK>
08:22:09.132771 IP внешний_ip.9000 > 192.168.0.5.1162: R 0:0(0) ack 1814992 win 0
08:22:09.584812 IP 192.168.0.5.1162 > внешний_ip.9000: S 1814991:1814991(0) win 65535 <mss 1460,nop,nop,sackOK>
08:22:09.584872 IP внешний_ip.9000 > 192.168.0.5.1162: R 0:0(0) ack 1 win 0
08:22:10.131690 IP 192.168.0.5.1162 > внешний_ip.9000: S 1814991:1814991(0) win 65535 <mss 1460,nop,nop,sackOK>
08:22:10.131741 IP внешний_ip.9000 > 192.168.0.5.1162: R 0:0(0) ack 1 win 0

iptables-save
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*raw
:PREROUTING ACCEPT [30968193:5291718836]
:OUTPUT ACCEPT [22278252:5148751522]
COMMIT
# Completed on Tue May 21 08:24:40 2013
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*nat
:PREROUTING ACCEPT [2505036:123358820]
:POSTROUTING ACCEPT [6219:490369]
:OUTPUT ACCEPT [6180:488809]
:eth0_masq - [0:0]
-A PREROUTING -d внешний_ip/32 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 192.168.0.223
-A PREROUTING -d внешний_ip/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.223:8080
-A POSTROUTING -o eth0 -j eth0_masq
-A eth0_masq -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Tue May 21 08:24:40 2013
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*mangle
:PREROUTING ACCEPT [30968193:5291718836]
:INPUT ACCEPT [22839434:3373888396]
:FORWARD ACCEPT [8126196:1917696066]
:OUTPUT ACCEPT [22278252:5148751522]
:POSTROUTING ACCEPT [30404960:7066585052]
:tcfor - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Tue May 21 08:24:40 2013
# Generated by iptables-save v1.4.1.1 on Tue May 21 08:24:40 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:Drop - [0:0]
:Ifw - [0:0]
:Reject - [0:0]
:all2fw - [0:0]
:all2loc - [0:0]
:all2net - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth0_out - [0:0]
:eth1_fwd - [0:0]
:eth1_in - [0:0]
:eth1_out - [0:0]
:fw2all - [0:0]
:fw2loc - [0:0]
:fw2net - [0:0]
:loc2all - [0:0]
:loc2fw - [0:0]
:loc2net - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:net2fw - [0:0]
:net2loc - [0:0]
:reject - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
-A INPUT -j Ifw
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j Reject
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
-A INPUT -j reject
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -i eth1 -j eth1_fwd
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j Reject
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
-A FORWARD -j reject
-A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 9000 -j ACCEPT
-A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 8080 -j ACCEPT
-A OUTPUT -o eth0 -j eth0_out
-A OUTPUT -o eth1 -j eth1_out
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j Reject
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJECT:" --log-level 6
-A OUTPUT -j reject
-A Drop -p tcp -m tcp --dport 113 -j reject
-A Drop -j dropBcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Drop -j dropInvalid
-A Drop -p udp -m multiport --dports 135,445 -j DROP
-A Drop -p udp -m udp --dport 137:139 -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A Drop -p udp -m udp --dport 1900 -j DROP
-A Drop -p tcp -j dropNotSyn
-A Drop -p udp -m udp --sport 53 -j DROP
-A Ifw -m set --set ifw_wl src -j RETURN
-A Ifw -m set --set ifw_bl src -j DROP
-A Ifw -m state --state INVALID,NEW -m psd --psd-weight-threshold 10 --psd-delay-threshold 10000 --psd-lo-ports-weight 2 --psd-hi-ports-weight 1 -j IFWLOG --log-prefix "SCAN"
-A Ifw -p udp -m state --state NEW -m udp --dport 53 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 137 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 138 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 139 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m udp --dport 445 -j IFWLOG --log-prefix "NEW"
-A Ifw -p udp -m state --state NEW -m multiport --dports 1024:1100 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 80 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 443 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 53 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 22 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 20 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 21 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 25 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 109 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 110 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 143 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 137 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 138 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 139 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 445 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m multiport --dports 1024:1100 -j IFWLOG --log-prefix "NEW"
-A Ifw -p tcp -m state --state NEW -m tcp --dport 8080 -j IFWLOG --log-prefix "NEW"
-A Reject -p tcp -m tcp --dport 113 -j reject
-A Reject -j dropBcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Reject -j dropInvalid
-A Reject -p udp -m multiport --dports 135,445 -j reject
-A Reject -p udp -m udp --dport 137:139 -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -j reject
-A Reject -p udp -m udp --dport 1900 -j DROP
-A Reject -p tcp -j dropNotSyn
-A Reject -p udp -m udp --sport 53 -j DROP
-A all2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2fw -j Reject
-A all2fw -j LOG --log-prefix "Shorewall:all2fw:REJECT:" --log-level 6
-A all2fw -j reject
-A all2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2loc -j Reject
-A all2loc -j LOG --log-prefix "Shorewall:all2loc:REJECT:" --log-level 6
-A all2loc -j reject
-A all2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A all2net -j Reject
-A all2net -j LOG --log-prefix "Shorewall:all2net:REJECT:" --log-level 6
-A all2net -j reject
-A dropBcast -m addrtype --dst-type BROADCAST -j DROP
-A dropBcast -d 224.0.0.0/4 -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_fwd -o eth1 -j net2loc
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -j net2fw
-A eth0_out -j fw2net
-A eth1_fwd -m state --state INVALID,NEW -j dynamic
-A eth1_fwd -o eth0 -j loc2net
-A eth1_in -m state --state INVALID,NEW -j dynamic
-A eth1_in -j loc2fw
-A eth1_out -j fw2loc
-A fw2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2all -j Reject
-A fw2all -j LOG --log-prefix "Shorewall:fw2all:REJECT:" --log-level 6
-A fw2all -j reject
-A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -j ACCEPT
-A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2net -j ACCEPT
-A loc2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2all -j Reject
-A loc2all -j LOG --log-prefix "Shorewall:loc2all:REJECT:" --log-level 6
-A loc2all -j reject
-A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2fw -j ACCEPT
-A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2net -j ACCEPT
-A logdrop -j DROP
-A logreject -j reject
-A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2fw -p udp -m multiport --dports 53,137,138,139,445,8080,1024:1100 -j ACCEPT
-A net2fw -p tcp -m multiport --dports 80,443,53,22,20,21,25,109,110,143,137,138,139,445 -j ACCEPT
-A net2fw -p tcp -m multiport --dports 1024:1100,8080 -j ACCEPT
-A net2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A net2fw -j Drop
-A net2fw -j LOG --log-prefix "Shorewall:net2fw:DROP:" --log-level 6
-A net2fw -j DROP
-A net2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2loc -j Drop
-A net2loc -j LOG --log-prefix "Shorewall:net2loc:DROP:" --log-level 6
-A net2loc -j DROP
-A reject -m addrtype --src-type BROADCAST -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A smurfs -s 0.0.0.0/32 -j RETURN
-A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -m addrtype --src-type BROADCAST -j DROP
-A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/4 -j DROP
COMMIT
# Completed on Tue May 21 08:24:40 2013

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "переброска портов"  +/
Сообщение от reader (ok) on 21-Май-13, 11:07 
>[оверквотинг удален]
> -A INPUT -j LOG --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6
> -A INPUT -j reject
> -A FORWARD -i eth0 -j eth0_fwd
> -A FORWARD -i eth1 -j eth1_fwd
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -j Reject
> -A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:REJECT:" --log-level 6
> -A FORWARD -j reject
> -A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 9000 -j ACCEPT
> -A FORWARD -s 192.168.0.223/32 -p tcp -m tcp --sport 8080 -j ACCEPT

правила после  -j reject уже не будут срабатывать, поднимите в начало FORWARD.
в сторону 192.168.0.223 тоже нужно разрешать.
да и проверяете из той же подсети , а при этом есть свои нюансы, читайте пояснения в http://www.opennet.dev/docs/RUS/iptables/#DNATTARGET


>[оверквотинг удален]
> -A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
> -A reject -j REJECT --reject-with icmp-host-prohibited
> -A smurfs -s 0.0.0.0/32 -j RETURN
> -A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:"
> --log-level 6
> -A smurfs -m addrtype --src-type BROADCAST -j DROP
> -A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
> -A smurfs -s 224.0.0.0/4 -j DROP
> COMMIT
> # Completed on Tue May 21 08:24:40 2013

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "переброска портов"  +/
Сообщение от czech (ok) on 21-Май-13, 19:04 
>[оверквотинг удален]
>> -A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
>> -A reject -j REJECT --reject-with icmp-host-prohibited
>> -A smurfs -s 0.0.0.0/32 -j RETURN
>> -A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:"
>> --log-level 6
>> -A smurfs -m addrtype --src-type BROADCAST -j DROP
>> -A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
>> -A smurfs -s 224.0.0.0/4 -j DROP
>> COMMIT
>> # Completed on Tue May 21 08:24:40 2013

странно нет файла /etc/sysconfig/iptables
где могут прятаться настройки?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "переброска портов"  +1 +/
Сообщение от reader (ok) on 21-Май-13, 22:31 
>[оверквотинг удален]
>>> -A smurfs -s 0.0.0.0/32 -j RETURN
>>> -A smurfs -m addrtype --src-type BROADCAST -j LOG --log-prefix "Shorewall:smurfs:DROP:"
>>> --log-level 6
>>> -A smurfs -m addrtype --src-type BROADCAST -j DROP
>>> -A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
>>> -A smurfs -s 224.0.0.0/4 -j DROP
>>> COMMIT
>>> # Completed on Tue May 21 08:24:40 2013
> странно нет файла /etc/sysconfig/iptables
> где могут прятаться настройки?

у Вас правила генерит Shorewall, iptables-save > /etc/sysconfig/iptables , Shorewall отключите , а iptables включите , почистите /etc/sysconfig/iptables от хлама и изучайте iptables

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

19. "переброска портов"  –1 +/
Сообщение от Дядя_Федор on 20-Май-13, 20:53 
> сорри а можно команду как запускать дамп

Вам бы матчасть поучить, любезнейший, прежде, чем серьезными делами заниматься.


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "переброска портов"  +/
Сообщение от czech (ok) on 21-Май-13, 08:14 
>> сорри а можно команду как запускать дамп
>  Вам бы матчасть поучить, любезнейший, прежде, чем серьезными делами заниматься.

а кто вам сказал что это серьезное дело? это хобби любезнейший

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "переброска портов"  +/
Сообщение от Дядя_Федор on 21-Май-13, 08:45 
> а кто вам сказал что это серьезное дело? это хобби любезнейший

Хобби должно начинаться с чтения документации и освоения команды man.


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "переброска портов"  +/
Сообщение от czech (ok) on 21-Май-13, 18:34 
>> а кто вам сказал что это серьезное дело? это хобби любезнейший
>  Хобби должно начинаться с чтения документации и освоения команды man.

я очень вам благодарен за технические ответы
но тыкать мне на учебники глупо
вы же заходите на форумы с темой вам не близкой и если каждый раз вам будут тыкать типа почитай мануал или закон - то у вас возникнет вопрос а на кой тогда форум?!
вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из головы эту информацию (у меня ее своей хватает)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "переброска портов"  –1 +/
Сообщение от Дядя_Федор on 21-Май-13, 20:34 
> вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из
> головы эту информацию (у меня ее своей хватает)

Ясно. Удачи. Клинический случай.


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "переброска портов"  +1 +/
Сообщение от ALex_hha (ok) on 22-Май-13, 11:25 
>>> а кто вам сказал что это серьезное дело? это хобби любезнейший
>>  Хобби должно начинаться с чтения документации и освоения команды man.
> я очень вам благодарен за технические ответы
> но тыкать мне на учебники глупо
> вы же заходите на форумы с темой вам не близкой и если
> каждый раз вам будут тыкать типа почитай мануал или закон -
> то у вас возникнет вопрос а на кой тогда форум?!
> вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из
> головы эту информацию (у меня ее своей хватает)

пора уже привыкнуть, что в мире linux картинка примерно такая - http://i.piccy.info/i7/a45804dd6a832c0369b6854a6c7dd38a/4-59...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "переброска портов"  +/
Сообщение от LSTemp (ok) on 24-Май-13, 03:31 
>>> а кто вам сказал что это серьезное дело? это хобби любезнейший
>>  Хобби должно начинаться с чтения документации и освоения команды man.
> я очень вам благодарен за технические ответы
> но тыкать мне на учебники глупо
> вы же заходите на форумы с темой вам не близкой и если
> каждый раз вам будут тыкать типа почитай мануал или закон -
> то у вас возникнет вопрос а на кой тогда форум?!
> вот на хрена мне читать мануалы?! мне надо настроить и выкинуть из
> головы эту информацию (у меня ее своей хватает)

Не Обижайтесь. Это технический форум и знание обсуждаемого предмета здесь ставится в первую очередь. Хобби - это хорошо, но тыкать Вам на учебники будут. Если интересно - читайте их (я бы даже посоветовал спросить про книги рекомендуемые для чтения в соотвествующем форуме программирование/итд).


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру