forum.opennet.ru - "IPTABLES Прошу помощи в пробросе NAT" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPTABLES Прошу помощи в пробросе NAT"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPTABLES Прошу помощи в пробросе NAT"	+/–
Сообщение от Bionis (ok) on 14-Окт-10, 14:44
Доброго времени суток. Пытаюсь открыть nat на несколько компов в сети, но ни чего у меня не получается... Перелопатил пол инета все что нашел не помогло да и пробросы отдельных портов в основном попадаются. схема классическая Inet->(ADSL)->("eth0"сервак"eth1")->("hub"local) IP статика -> ADSL eth0 смотрит в модем (192.168.0.2) eth1 локалка (192.168.1.1) воткнут в хаб Собственно КОНФИГ #!/bin/bash IPTABLES="/sbin/iptables" IF_OUT="eth0" IF_LAN="eth1" MASK_LAN="192.168.1.0/24" IF_LO="lo" ADDR_LO="127.0.0.1" LOOPBACK="127.0.0.0/8" sysctl -w net.ipv4.ip_forward=1 sysctl -w net.ipv4.ip_dynaddr=1 sysctl net.ipv4.conf.all.forwarding=1 modprobe ip_nat_ftp $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -X $IPTABLES -t nat -X $IPTABLES -t mangle -X $IPTABLES -N sshguard $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -I INPUT -p tcp --dport 4000 -j DROP $IPTABLES -I FORWARD -p tcp --dport 4000 -j ACCEPT $IPTABLES -I OUTPUT -p tcp --dport 4000 -j ACCEPT $IPTABLES -N common-check $IPTABLES -F common-check $IPTABLES -A common-check -m state --state INVALID -j DROP $IPTABLES -A common-check -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A common-check -p tcp ! --syn -m state --state NEW -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL ALL -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL NONE -j DROP $IPTABLES -A common-check -p tcp --tcp-flags SYN,RST SYN,RST -j DROP $IPTABLES -A common-check -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP $IPTABLES -N icmp-in $IPTABLES -F icmp-in $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type time-exceeded -j ACCEPT $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type destination-unreachable -j ACCEPT $IPTABLES -N statefull $IPTABLES -F statefull $IPTABLES -A statefull -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -j common-check $IPTABLES -I INPUT -p icmp --icmp-type echo-request -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -i $IF_LAN -j ACCEPT $IPTABLES -A sshguard -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 2 -j DROP $IPTABLES -A sshguard -m state --state NEW -m recent --name SSH --set -j ACCEPT $IPTABLES -A sshguard -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j sshguard $IPTABLES -A INPUT -i $IF_LAN -j ACCEPT $IPTABLES -A INPUT -i $IF_LO -d $LOOPBACK -j ACCEPT $IPTABLES -A INPUT -j statefull $IPTABLES -A OUTPUT -j common-check $IPTABLES -A FORWARD -j common-check $IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport 5555 -j DNAT --to 192.168.1.50:5555 iptables -A INPUT -p tcp --dport 5555 -j DROP $IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 192.168.0.2 -j SNAT --to-source 192.168.1.1 # $IPTABLES -t nat -A POSTROUTING -s $MASK_LAN -o $IF_OUT -j MASQUERADE $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080 $IPTABLES -A FORWARD -i $IF_LAN -s $MASK_LAN -j ACCEPT $IPTABLES -A FORWARD -j statefull echo done! # $IPTABLES -t nat -A POSTROUTING -s $MASK_LAN -o $IF_OUT -j MASQUERADE правило открывает нат на локалку Помогите разобраться всю голову сломал, может в конфиге где что не так? или можно оптимизировать его.... Заранее благодарен...
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

IPTABLES Прошу помощи в пробросе NAT, PavelR, 16:48 , 14-Окт-10, (1)
IPTABLES Прошу помощи в пробросе NAT, vehn, 19:10 , 14-Окт-10, (2)
IPTABLES Прошу помощи в пробросе NAT, reader, 22:10 , 14-Окт-10, (3) +1

IPTABLES Прошу помощи в пробросе NAT, Bionis, 09:09 , 15-Окт-10, (4)

IPTABLES Прошу помощи в пробросе NAT, reader, 10:03 , 15-Окт-10, (5) +1

IPTABLES Прошу помощи в пробросе NAT, Bionis, 10:23 , 15-Окт-10, (6)

IPTABLES Прошу помощи в пробросе NAT, reader, 13:27 , 15-Окт-10, (7)

IPTABLES Прошу помощи в пробросе NAT, Bionis, 14:20 , 15-Окт-10, (8)

IPTABLES Прошу помощи в пробросе NAT, reader, 15:17 , 15-Окт-10, (9) +1

IPTABLES Прошу помощи в пробросе NAT, Bionis, 16:05 , 15-Окт-10, (10)
IPTABLES Прошу помощи в пробросе NAT, rishard, 07:26 , 19-Окт-10, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от PavelR (??) on 14-Окт-10, 16:48

> Доброго времени суток.
> Пытаюсь открыть nat на несколько компов в сети, но ни чего у
> меня не получается...
> Перелопатил пол инета все что нашел не помогло да и пробросы отдельных
> портов в основном попадаются.
> схема классическая Inet->(ADSL)->("eth0"сервак"eth1")->("hub"local)
> Помогите разобраться всю голову сломал, может в конфиге где что не так?
> или можно оптимизировать его....
Не пользуйтесь чужими конфигами бездумно, напишите свой с нуля, тогда будет понятно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от vehn (ok) on 14-Окт-10, 19:10

> Доброго времени суток.
> Пытаюсь открыть nat на несколько компов в сети, но ни чего у
> меня не получается...
> Перелопатил пол инета все что нашел не помогло да и пробросы отдельных
> портов в основном попадаются.
Для того, чтобы заработало:
echo 1 > /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
В точке ADSL, возможно, необходимо указазать статический маршрут до локальной сети (man route).
Выше вам правильно указали: катать такую простыню не понимая, как это работает -- опрометчиво.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "IPTABLES Прошу помощи в пробросе NAT" +1 +/–

Сообщение от reader (ok) on 14-Окт-10, 22:10

>[оверквотинг удален]
> $IPTABLES -A OUTPUT -j common-check
> $IPTABLES -A FORWARD -j common-check
> $IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j
> ACCEPT #
> iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport
> 5555 -j DNAT --to 192.168.1.50:5555
> iptables -A INPUT -p tcp --dport 5555 -j DROP
> $IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 192.168.0.2 -j
> SNAT --to-source 192.168.1.1
-p tcp и -d 192.168.0.2 - убрать, и указать -o eth0
вместо 192.168.1.1 - 192.168.0.2
> # $IPTABLES -t nat -A POSTROUTING -s $MASK_LAN -o $IF_OUT -j MASQUERADE
> $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport
> 80 -j REDIRECT --to-port 8080
если 192.168.1.0/24 за eth1, то почему -i eth0
и в целом, порядок следования правил имеет значение.
поэтому для начала оставить только SNAT и добиться работы, а потом уже добавлять по немного что захотите
> $IPTABLES -A FORWARD -i $IF_LAN -s $MASK_LAN -j ACCEPT
> $IPTABLES -A FORWARD -j statefull
> echo done!
> # $IPTABLES -t nat -A POSTROUTING -s $MASK_LAN -o $IF_OUT -j MASQUERADE
> правило открывает нат на локалку
> Помогите разобраться всю голову сломал, может в конфиге где что не так?
> или можно оптимизировать его....
> Заранее благодарен...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от Bionis (ok) on 15-Окт-10, 09:09

> Не пользуйтесь чужими конфигами бездумно, напишите свой с нуля, тогда будет понятно.
конфиг писал сам, пользуясь примерами других и различными примерами...

> В точке ADSL, возможно, необходимо указазать статический маршрут до локальной сети (man route).
ip у модема 192.168.0.1
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
если 192.168.1.0/24 за eth1, то почему -i eth0
> -p tcp и -d 192.168.0.2 - убрать, и указать -o eth0
> вместо 192.168.1.1 - 192.168.0.2
Благодарю... )))
> > echo 1 > /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
мне нужно не на все 30 компов открыть нат а только на некоторые по ip

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "IPTABLES Прошу помощи в пробросе NAT" +1 +/–

Сообщение от reader (ok) on 15-Окт-10, 10:03

>[оверквотинг удален]
> ip у модема 192.168.0.1
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports
> 8080
> если 192.168.1.0/24 за eth1, то почему -i eth0
>> -p tcp и -d 192.168.0.2 - убрать, и указать -o eth0
>> вместо 192.168.1.1 - 192.168.0.2
> Благодарю... )))
>> > echo 1 > /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> мне нужно не на все 30 компов открыть нат а только на
> некоторые по ip
nat сделать для всего, а в таблице фильтров уже разрешать|запрещать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от Bionis (ok) on 15-Окт-10, 10:23

> nat сделать для всего, а в таблице фильтров уже разрешать|запрещать.
разрешить всем и вся не проблема, раскоментировать одно правило...  может дадите пример фильтра? :-[ буду признателен )))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от reader (ok) on 15-Окт-10, 13:27

>> nat сделать для всего, а в таблице фильтров уже разрешать|запрещать.
> разрешить всем и вся не проблема, раскоментировать одно правило...  может дадите
> пример фильтра? :-[ буду признателен )))
-P FORWARD DROP
-A FORWARD -s 192.168.1.10 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.11 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
со статусом INVALID через nat не пойдут, поэтому убиваем. начинать соединение будет разрешено из локалки, из инета только ответные пакеты (почти только из-за RELATED)
на время отладки что бы в логах было видно что заблокировалось.
-A FORWARD -j LOG --log-prefix "IPT FORWARD: " --log-level 7

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от Bionis (ok) on 15-Окт-10, 14:20

Пришел к слеующему... Не могу понять если закомментировать
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
нат пропадает везде это все понятно, но почему не идет инет на указанные ip 192.168.1.* в цепочке если закомментровать  (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE)....
Вопрос остается открытым (Как открыть нат некоторым компам в сети (полный доступ))

!/bin/bash
IPTABLES="/sbin/iptables"
IF_OUT="eth0"
IF_LAN="eth1"
MASK_LAN="192.168.1.0/24"
IF_LO="lo"
ADDR_LO="127.0.0.1"
LOOPBACK="127.0.0.0/8"
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.ip_dynaddr=1
sysctl net.ipv4.conf.all.forwarding=1
modprobe ip_nat_ftp
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IPTABLES -N sshguard
$IPTABLES -P INPUT      DROP
$IPTABLES -P FORWARD    ACCEPT
$IPTABLES -P OUTPUT     ACCEPT
$IPTABLES -I INPUT    -p tcp --dport 4000 -j DROP
$IPTABLES -I FORWARD  -p tcp --dport 4000 -j ACCEPT
$IPTABLES -I OUTPUT   -p tcp --dport 4000 -j ACCEPT
$IPTABLES -N common-check
$IPTABLES -F common-check
$IPTABLES -A common-check -m state --state INVALID -j DROP
$IPTABLES -A common-check -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A common-check -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A common-check -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A common-check -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A common-check -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPTABLES -A common-check -p tcp --tcp-flags ALL NONE -j DROP
$IPTABLES -A common-check -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPTABLES -A common-check -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPTABLES -N icmp-in
$IPTABLES -F icmp-in
$IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type time-exceeded -j ACCEPT
$IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPTABLES -N statefull
$IPTABLES -F statefull
$IPTABLES -A statefull -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -j common-check
$IPTABLES -I INPUT -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -i $IF_LAN -j ACCEPT
$IPTABLES -A sshguard -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 2 -j DROP
$IPTABLES -A sshguard -m state --state NEW -m recent --name SSH --set -j ACCEPT
$IPTABLES -A sshguard -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j sshguard
$IPTABLES -A INPUT -i $IF_LAN -j ACCEPT
$IPTABLES -A INPUT -i $IF_LO -d $LOOPBACK -j ACCEPT
$IPTABLES -A INPUT -j statefull
$IPTABLES -A OUTPUT -j common-check
$IPTABLES -A FORWARD -j common-check
$IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT #
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport 5555 -j DNAT --to 192.168.1.50:5555
iptables -A INPUT -p tcp --dport 5555 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#-------------------------------------------------------------------------------------------
iptables -N check_ours_sp00f # Создаем цепочку, в которой будут проверяться MAC-адреса
iptables -A check_ours_sp00f -s 192.168.1.199 -m mac --mac-source 6c:62:6d:53:0e:32 -j RETURN
iptables -A check_ours_sp00f -s 192.168.1.50 -m mac --mac-source 00:1f:c6:bc:xx:xx -j RETURN # Alex
iptables -A check_ours_sp00f -s 192.168.1.60 -m mac --mac-source 00:1a:92:9d:xx:xx -j RETURN # Boss
iptables -A check_ours_sp00f -s 192.168.1.30 -m mac --mac-source 00:19:d1:8b:xx:xx -j RETURN # адамова
iptables -A check_ours_sp00f -s 192.168.1.70 -m mac --mac-source 6c:f0:49:a3:xx:xx -j RETURN # Galy
iptables -A check_ours_sp00f -s 192.168.1.72 -m mac --mac-source 00:19:66:53:xx:xx -j RETURN # makeeva
# iptables -A check_ours_sp00f -s 192.168.1. -m mac --mac-source  -j RETURN
     # Аналогичным образом проверяем все адреса нашей подсети
     # И в конце обязательно добаляем правило для НЕ прошедших проверку
iptables -A check_ours_sp00f -j DROP
iptables -N check_ours # Создаем цепочку, которая будет описывать логику работы с нашей подсетью
iptables -A check_ours ! -i eth1 -j DROP # С других интерфейсов пакеты от них придти не могут
iptables -A check_ours -j check_ours_sp00f # Прогоняем их через проверку на спуфинг
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Как обычно, пропускаем все, что идет по установленным соединениям
iptables -A INPUT -s 192.168.1.0/24 -j check_ours # Тех, кто претендует на звание своих, прогоняем через проверку
# Прошедшим проверку разрешаем пользовать нащей проксей и самбой, а также соединяться по ssh
iptables -A INPUT -s 192.168.1.0/24 -m multiport --dports 22,8080,139,445,25,110 -j ACCEPT
iptables -P INPUT DROP # Остальных блокируем
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Как обычно, пропускаем все, что идет по установленным соединениям
iptables -A FORWARD -s 192.168.1.0/24 -j check_ours # Проверка
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # Прошедшим проверку разрешеам передавать через нас транзитный трафик
iptables -P FORWARD DROP # Остальных блокируем
iptables -P OUTPUT ACCEPT # Исходящий трафик разрешаем
#-------------------------------------------------------------------------------------------
$IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
echo done!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "IPTABLES Прошу помощи в пробросе NAT" +1 +/–

Сообщение от reader (ok) on 15-Окт-10, 15:17

> Пришел к слеующему... Не могу понять если закомментировать
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> нат пропадает везде это все понятно, но почему не идет инет на
> указанные ip 192.168.1.* в цепочке если закомментровать  (iptables -t nat
> -A POSTROUTING -o eth0 -j MASQUERADE)....
у вас только одно правило для SNAT (-j MASQUERADE), если его убрать ,то инета в локалке не будет
> Вопрос остается открытым (Как открыть нат некоторым компам в сети (полный доступ))
а я вам что выше предложил.
что значит "полный доступ"? из локалки в инет. из инета в локалку?
>[оверквотинг удален]
> пропускаем все, что идет по установленным соединениям
> iptables -A FORWARD -s 192.168.1.0/24 -j check_ours # Проверка
> iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # Прошедшим проверку разрешеам передавать
> через нас транзитный трафик
> iptables -P FORWARD DROP # Остальных блокируем
> iptables -P OUTPUT ACCEPT # Исходящий трафик разрешаем
> #-------------------------------------------------------------------------------------------
> $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport
> 80 -j REDIRECT --to-port 8080
> echo done!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от Bionis (ok) on 15-Окт-10, 16:05

> а я вам что выше предложил.
> что значит "полный доступ"? из локалки в инет. из инета в локалку?
ипать как все просто то.... Удалил весь конфиг оставил то что посоветовали и самое необходимое.... и воуля.. работает.. осталось вернуть некоторые моменты обратно...
CПАСИБО....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "IPTABLES Прошу помощи в пробросе NAT" +/–

Сообщение от rishard (ok) on 19-Окт-10, 07:26

Попробуйте воспользоваться скриптом для создания конфига iptables и сравнить.
http://masterpro.ws/easyfwgen

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPTABLES Прошу помощи в пробросе NAT"	+/–
Сообщение от PavelR (??) on 14-Окт-10, 16:48
> Доброго времени суток. > Пытаюсь открыть nat на несколько компов в сети, но ни чего у > меня не получается... > Перелопатил пол инета все что нашел не помогло да и пробросы отдельных > портов в основном попадаются. > схема классическая Inet->(ADSL)->("eth0"сервак"eth1")->("hub"local) > Помогите разобраться всю голову сломал, может в конфиге где что не так? > или можно оптимизировать его.... Не пользуйтесь чужими конфигами бездумно, напишите свой с нуля, тогда будет понятно.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

2. "IPTABLES Прошу помощи в пробросе NAT"	+/–
Сообщение от vehn (ok) on 14-Окт-10, 19:10
> Доброго времени суток. > Пытаюсь открыть nat на несколько компов в сети, но ни чего у > меня не получается... > Перелопатил пол инета все что нашел не помогло да и пробросы отдельных > портов в основном попадаются. Для того, чтобы заработало: echo 1 > /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE В точке ADSL, возможно, необходимо указазать статический маршрут до локальной сети (man route). Выше вам правильно указали: катать такую простыню не понимая, как это работает -- опрометчиво.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

3. "IPTABLES Прошу помощи в пробросе NAT"	+1 +/–
Сообщение от reader (ok) on 14-Окт-10, 22:10
>[оверквотинг удален] > $IPTABLES -A OUTPUT -j common-check > $IPTABLES -A FORWARD -j common-check > $IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j > ACCEPT # > iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport > 5555 -j DNAT --to 192.168.1.50:5555 > iptables -A INPUT -p tcp --dport 5555 -j DROP > $IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 192.168.0.2 -j > SNAT --to-source 192.168.1.1 -p tcp и -d 192.168.0.2 - убрать, и указать -o eth0 вместо 192.168.1.1 - 192.168.0.2 > # $IPTABLES -t nat -A POSTROUTING -s $MASK_LAN -o $IF_OUT -j MASQUERADE > $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport > 80 -j REDIRECT --to-port 8080 если 192.168.1.0/24 за eth1, то почему -i eth0 и в целом, порядок следования правил имеет значение. поэтому для начала оставить только SNAT и добиться работы, а потом уже добавлять по немного что захотите > $IPTABLES -A FORWARD -i $IF_LAN -s $MASK_LAN -j ACCEPT > $IPTABLES -A FORWARD -j statefull > echo done! > # $IPTABLES -t nat -A POSTROUTING -s $MASK_LAN -o $IF_OUT -j MASQUERADE > правило открывает нат на локалку > Помогите разобраться всю голову сломал, может в конфиге где что не так? > или можно оптимизировать его.... > Заранее благодарен...
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "IPTABLES Прошу помощи в пробросе NAT"	+/–
	Сообщение от Bionis (ok) on 15-Окт-10, 09:09
	> Не пользуйтесь чужими конфигами бездумно, напишите свой с нуля, тогда будет понятно. конфиг писал сам, пользуясь примерами других и различными примерами... > В точке ADSL, возможно, необходимо указазать статический маршрут до локальной сети (man route). ip у модема 192.168.0.1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 если 192.168.1.0/24 за eth1, то почему -i eth0 > -p tcp и -d 192.168.0.2 - убрать, и указать -o eth0 > вместо 192.168.1.1 - 192.168.0.2 Благодарю... ))) > > echo 1 > /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE мне нужно не на все 30 компов открыть нат а только на некоторые по ip
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "IPTABLES Прошу помощи в пробросе NAT"	+1 +/–
	Сообщение от reader (ok) on 15-Окт-10, 10:03
	>[оверквотинг удален] > ip у модема 192.168.0.1 > iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports > 8080 > если 192.168.1.0/24 за eth1, то почему -i eth0 >> -p tcp и -d 192.168.0.2 - убрать, и указать -o eth0 >> вместо 192.168.1.1 - 192.168.0.2 > Благодарю... ))) >> > echo 1 > /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > мне нужно не на все 30 компов открыть нат а только на > некоторые по ip nat сделать для всего, а в таблице фильтров уже разрешать\|запрещать.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "IPTABLES Прошу помощи в пробросе NAT"	+/–
	Сообщение от Bionis (ok) on 15-Окт-10, 10:23
	> nat сделать для всего, а в таблице фильтров уже разрешать\|запрещать. разрешить всем и вся не проблема, раскоментировать одно правило... может дадите пример фильтра? :-[ буду признателен )))
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "IPTABLES Прошу помощи в пробросе NAT"	+/–
	Сообщение от reader (ok) on 15-Окт-10, 13:27
	>> nat сделать для всего, а в таблице фильтров уже разрешать\|запрещать. > разрешить всем и вся не проблема, раскоментировать одно правило... может дадите > пример фильтра? :-[ буду признателен ))) -P FORWARD DROP -A FORWARD -s 192.168.1.10 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.1.11 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT со статусом INVALID через nat не пойдут, поэтому убиваем. начинать соединение будет разрешено из локалки, из инета только ответные пакеты (почти только из-за RELATED) на время отладки что бы в логах было видно что заблокировалось. -A FORWARD -j LOG --log-prefix "IPT FORWARD: " --log-level 7
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "IPTABLES Прошу помощи в пробросе NAT"	+/–
	Сообщение от Bionis (ok) on 15-Окт-10, 14:20
	Пришел к слеующему... Не могу понять если закомментировать iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE нат пропадает везде это все понятно, но почему не идет инет на указанные ip 192.168.1.* в цепочке если закомментровать (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE).... Вопрос остается открытым (Как открыть нат некоторым компам в сети (полный доступ)) !/bin/bash IPTABLES="/sbin/iptables" IF_OUT="eth0" IF_LAN="eth1" MASK_LAN="192.168.1.0/24" IF_LO="lo" ADDR_LO="127.0.0.1" LOOPBACK="127.0.0.0/8" sysctl -w net.ipv4.ip_forward=1 sysctl -w net.ipv4.ip_dynaddr=1 sysctl net.ipv4.conf.all.forwarding=1 modprobe ip_nat_ftp $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -X $IPTABLES -t nat -X $IPTABLES -t mangle -X $IPTABLES -N sshguard $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -I INPUT -p tcp --dport 4000 -j DROP $IPTABLES -I FORWARD -p tcp --dport 4000 -j ACCEPT $IPTABLES -I OUTPUT -p tcp --dport 4000 -j ACCEPT $IPTABLES -N common-check $IPTABLES -F common-check $IPTABLES -A common-check -m state --state INVALID -j DROP $IPTABLES -A common-check -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A common-check -p tcp ! --syn -m state --state NEW -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL ALL -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP $IPTABLES -A common-check -p tcp --tcp-flags ALL NONE -j DROP $IPTABLES -A common-check -p tcp --tcp-flags SYN,RST SYN,RST -j DROP $IPTABLES -A common-check -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP $IPTABLES -N icmp-in $IPTABLES -F icmp-in $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type echo-request -j ACCEPT $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type time-exceeded -j ACCEPT $IPTABLES -A icmp-in -m state --state NEW -p icmp --icmp-type destination-unreachable -j ACCEPT $IPTABLES -N statefull $IPTABLES -F statefull $IPTABLES -A statefull -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -j common-check $IPTABLES -I INPUT -p icmp --icmp-type echo-request -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -i $IF_LAN -j ACCEPT $IPTABLES -A sshguard -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 2 -j DROP $IPTABLES -A sshguard -m state --state NEW -m recent --name SSH --set -j ACCEPT $IPTABLES -A sshguard -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j sshguard $IPTABLES -A INPUT -i $IF_LAN -j ACCEPT $IPTABLES -A INPUT -i $IF_LO -d $LOOPBACK -j ACCEPT $IPTABLES -A INPUT -j statefull $IPTABLES -A OUTPUT -j common-check $IPTABLES -A FORWARD -j common-check $IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j ACCEPT # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport 5555 -j DNAT --to 192.168.1.50:5555 iptables -A INPUT -p tcp --dport 5555 -j DROP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #------------------------------------------------------------------------------------------- iptables -N check_ours_sp00f # Создаем цепочку, в которой будут проверяться MAC-адреса iptables -A check_ours_sp00f -s 192.168.1.199 -m mac --mac-source 6c:62:6d:53:0e:32 -j RETURN iptables -A check_ours_sp00f -s 192.168.1.50 -m mac --mac-source 00:1f:c6:bc:xx:xx -j RETURN # Alex iptables -A check_ours_sp00f -s 192.168.1.60 -m mac --mac-source 00:1a:92:9d:xx:xx -j RETURN # Boss iptables -A check_ours_sp00f -s 192.168.1.30 -m mac --mac-source 00:19:d1:8b:xx:xx -j RETURN # адамова iptables -A check_ours_sp00f -s 192.168.1.70 -m mac --mac-source 6c:f0:49:a3:xx:xx -j RETURN # Galy iptables -A check_ours_sp00f -s 192.168.1.72 -m mac --mac-source 00:19:66:53:xx:xx -j RETURN # makeeva # iptables -A check_ours_sp00f -s 192.168.1. -m mac --mac-source -j RETURN # Аналогичным образом проверяем все адреса нашей подсети # И в конце обязательно добаляем правило для НЕ прошедших проверку iptables -A check_ours_sp00f -j DROP iptables -N check_ours # Создаем цепочку, которая будет описывать логику работы с нашей подсетью iptables -A check_ours ! -i eth1 -j DROP # С других интерфейсов пакеты от них придти не могут iptables -A check_ours -j check_ours_sp00f # Прогоняем их через проверку на спуфинг iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Как обычно, пропускаем все, что идет по установленным соединениям iptables -A INPUT -s 192.168.1.0/24 -j check_ours # Тех, кто претендует на звание своих, прогоняем через проверку # Прошедшим проверку разрешаем пользовать нащей проксей и самбой, а также соединяться по ssh iptables -A INPUT -s 192.168.1.0/24 -m multiport --dports 22,8080,139,445,25,110 -j ACCEPT iptables -P INPUT DROP # Остальных блокируем iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Как обычно, пропускаем все, что идет по установленным соединениям iptables -A FORWARD -s 192.168.1.0/24 -j check_ours # Проверка iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # Прошедшим проверку разрешеам передавать через нас транзитный трафик iptables -P FORWARD DROP # Остальных блокируем iptables -P OUTPUT ACCEPT # Исходящий трафик разрешаем #------------------------------------------------------------------------------------------- $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080 echo done!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "IPTABLES Прошу помощи в пробросе NAT"	+1 +/–
	Сообщение от reader (ok) on 15-Окт-10, 15:17
	> Пришел к слеующему... Не могу понять если закомментировать > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > нат пропадает везде это все понятно, но почему не идет инет на > указанные ip 192.168.1.* в цепочке если закомментровать (iptables -t nat > -A POSTROUTING -o eth0 -j MASQUERADE).... у вас только одно правило для SNAT (-j MASQUERADE), если его убрать ,то инета в локалке не будет > Вопрос остается открытым (Как открыть нат некоторым компам в сети (полный доступ)) а я вам что выше предложил. что значит "полный доступ"? из локалки в инет. из инета в локалку? >[оверквотинг удален] > пропускаем все, что идет по установленным соединениям > iptables -A FORWARD -s 192.168.1.0/24 -j check_ours # Проверка > iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # Прошедшим проверку разрешеам передавать > через нас транзитный трафик > iptables -P FORWARD DROP # Остальных блокируем > iptables -P OUTPUT ACCEPT # Исходящий трафик разрешаем > #------------------------------------------------------------------------------------------- > $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport > 80 -j REDIRECT --to-port 8080 > echo done!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "IPTABLES Прошу помощи в пробросе NAT"	+/–
	Сообщение от Bionis (ok) on 15-Окт-10, 16:05
	> а я вам что выше предложил. > что значит "полный доступ"? из локалки в инет. из инета в локалку? ипать как все просто то.... Удалил весь конфиг оставил то что посоветовали и самое необходимое.... и воуля.. работает.. осталось вернуть некоторые моменты обратно... CПАСИБО....
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "IPTABLES Прошу помощи в пробросе NAT"	+/–
	Сообщение от rishard (ok) on 19-Окт-10, 07:26
	Попробуйте воспользоваться скриптом для создания конфига iptables и сравнить. http://masterpro.ws/easyfwgen
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору