URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73707
[ Назад ]

Исходное сообщение
"Помогите с iptables"
Отправлено Alexandrsid , 25-Апр-07 13:24

Доброво всем времени суток.
Помогите пожалуйста разобраться :
Стоит ASP Linux 10
Все работало нормально с пробросом портов, вот шел iptables
# !/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
iptables -A FORWARD -j REJECT
iptables -A OUTPUT -p tcp --sport 1024: --dport ftp -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 4899 -j DNAT --to 192.168.1.4:4899
iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 3389 -j DNAT --to 192.168.1.1:3389
iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 3387 -j DNAT --to 192.168.1.2:3387
iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 4988 -j DNAT --to 192.168.1.201:4988
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp -m multiport --dport 80,8080,88 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp -m multiport --dport 80,8080,88 -j REDIRECT --to-port 3128
но с недавних пор перестал перебрасываться порт 3387 и 3389, 4899 и 4988 - все нормально, в чем может быть причина, пробовал вводит все команды вручную - не помогает , хотя когда даеш команду service iptables status все на месте, на файерволе тоже все порты открыты, в чем может быть проблема, помогите плиз, начальство уже чуть ли не спички в пальцы вставляет!?!?!?!?

Содержание

Помогите с iptables,reader, 15:25 , 25-Апр-07
Помогите с iptables,kvs, 15:30 , 25-Апр-07
Помогите с iptables,Kliver, 15:56 , 25-Апр-07
- Помогите с iptables,Alexandrsid, 11:35 , 04-Май-07

Сообщения в этом обсуждении

"Помогите с iptables"
Отправлено reader , 25-Апр-07 15:25

какие адреса на каких интервейсах?
вывод ifconfig показывай

"Помогите с iptables"
Отправлено kvs , 25-Апр-07 15:30

>Доброво всем времени суток.
>Помогите пожалуйста разобраться :
>Стоит ASP Linux 10
>Все работало нормально с пробросом портов, вот шел iptables
># !/bin/sh
>
>echo "1" > /proc/sys/net/ipv4/ip_forward
>
>/sbin/modprobe iptable_nat
>/sbin/modprobe ip_nat_ftp
>/sbin/modprobe ip_conntrack_ftp
>iptables -A FORWARD -j REJECT
>iptables -A OUTPUT -p tcp --sport 1024: --dport ftp -j ACCEPT
>iptables -A INPUT -p tcp --sport 1024: --dport 20 -j ACCEPT
>iptables -A INPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
>
>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 4899 -j
>DNAT --to 192.168.1.4:4899
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 3389 -j
>DNAT --to 192.168.1.1:3389
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 3387 -j
>DNAT --to 192.168.1.2:3387
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 4988 -j
>DNAT --to 192.168.1.201:4988
>iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp -m multiport --dport
>80,8080,88 -j REDIRECT --to-port 3128
>iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp -m multiport --dport
>80,8080,88 -j REDIRECT --to-port 3128
>
>но с недавних пор перестал перебрасываться порт 3387 и 3389, 4899 и
>4988 - все нормально, в чем может быть причина, пробовал вводит
>все команды вручную - не помогает , хотя когда даеш команду
>service iptables status все на месте, на файерволе тоже все
>порты открыты, в чем может быть проблема, помогите плиз, начальство уже
>чуть ли не спички в пальцы вставляет!?!?!?!?
Таблицу FORWARD покажи, там у тебя разрешены порты.

"Помогите с iptables"
Отправлено Kliver , 25-Апр-07 15:56

>Доброво всем времени суток.
>Помогите пожалуйста разобраться :
>Стоит ASP Linux 10
>Все работало нормально с пробросом портов, вот шел iptables
># !/bin/sh
>
>echo "1" > /proc/sys/net/ipv4/ip_forward
>
>/sbin/modprobe iptable_nat
>/sbin/modprobe ip_nat_ftp
>/sbin/modprobe ip_conntrack_ftp
>iptables -A FORWARD -j REJECT
Вот из-за этого. Надо разрешить форфард нужных пакетов
Как минимум
iptables -A FORWARD -p tcp -m multiport --dports 3387,3389,4899,4898 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

>iptables -A OUTPUT -p tcp --sport 1024: --dport ftp -j ACCEPT
>iptables -A INPUT -p tcp --sport 1024: --dport 20 -j ACCEPT
>iptables -A INPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
>
>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 4899 -j
>DNAT --to 192.168.1.4:4899
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 3389 -j
>DNAT --to 192.168.1.1:3389
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 3387 -j
>DNAT --to 192.168.1.2:3387
>iptables -t nat -A PREROUTING -p tcp -i eth1 --destination-port 4988 -j
>DNAT --to 192.168.1.201:4988
>iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp -m multiport --dport
>80,8080,88 -j REDIRECT --to-port 3128
>iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp -m multiport --dport
>80,8080,88 -j REDIRECT --to-port 3128
>
>но с недавних пор перестал перебрасываться порт 3387 и 3389, 4899 и
>4988 - все нормально, в чем может быть причина, пробовал вводит
>все команды вручную - не помогает , хотя когда даеш команду
>service iptables status все на месте, на файерволе тоже все
>порты открыты, в чем может быть проблема, помогите плиз, начальство уже
>чуть ли не спички в пальцы вставляет!?!?!?!?

"Помогите с iptables"
Отправлено Alexandrsid , 04-Май-07 11:35

с портами все нормально, и с ip - шниками тоже, оно раньше все работало, просто не воспринимает новые правила.