URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3205
[ Назад ]
Исходное сообщение
"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 12:39 
Так уже получилось, что администрирую линукс-сервера без какого либо опыта с ними, поэтому приходится разбираться на ходу.
Существует необходимость в удаленном подключении к машине, находящейся в локальной сети через Remote Admin.
По мануалу, находящемся на этом сайте, вбиваю следующие строки на роутере:

iptables -t nat -A PREROUTING -p tcp -d 194.*.*.* --dport 4900 -j DNAT --to-destination 192.168.1.129:4900

iptables -A FORWARD -i eth0 -d 192.168.1.129 -p tcp --dport 4900 -j ACCEPT

разумеется, сконектится с машиной через Remote Admin не получается.

Подскажите, в чем может быть проблема?

Содержание
Сообщения в этом обсуждении
"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 12:57 
обратный forward пропиши

"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 12:58 
>обратный forward пропиши

можно поподробней, как это сделать? что надо написать?

"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 13:00 
iptables -A FORWARD -s 192.168.1.129 -p tcp -m contrack --ctstate RELATED,ESTABLISHED -j ACCEPT
"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 13:08 
>iptables -A FORWARD -s 192.168.1.129 -p tcp -m contrack --ctstate RELATED,ESTABLISHED -j
>ACCEPT

Пишет вот что:

iptables v1.3.0: Couldn't load match `contrack':/lib/iptables/libipt_contrack.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 13:24 
не скомпилено наверное -- ядро какое??
можно по другому немного

iptables -A FORWARD -s 192.168.1.129 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 13:27 
>не скомпилено наверное -- ядро какое??
>можно по другому немного
>
>iptables -A FORWARD -s 192.168.1.129 -p tcp -m state --state RELATED,ESTABLISHED -j
>ACCEPT

теперь ошибок нету, но соединения по прежнему нема =(

"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 13:33 
а вот теперь самое главное.
остальные правила FW этому работань не мешают???
поставь вот это до вешперечисленных

iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129"
iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129"

и после

iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129-DROP"


в свободной консоли
tail -f /var/log/syslog | grep 1-129

и наблюдай как оно работает.

"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 14:49 
>а вот теперь самое главное.
>остальные правила FW этому работань не мешают???
>поставь вот это до вешперечисленных
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129"
>
>и после
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>
>
>в свободной консоли
>tail -f /var/log/syslog | grep 1-129
>
>и наблюдай как оно работает.

Как понять, до вышеперечисленных? нужно сначала первые две строки, потом правило, потом вторые две строки? (простите за тупость) =)

"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 15:08 
>Как понять, до вышеперечисленных? нужно сначала первые две строки, потом правило, потом
>вторые две строки? (простите за тупость) =)

почти
нужно сначала первые две строки, потом !!!правилА!!!, потом вторые две строки

"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 15:19 
>а вот теперь самое главное.
>остальные правила FW этому работань не мешают???
>поставь вот это до вешперечисленных
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129"
>
>и после
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>
>
>в свободной консоли
>tail -f /var/log/syslog | grep 1-129
>
>и наблюдай как оно работает.

нету папочки "syslog" =(
как узнать, куда он логи сохраняет?

"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 15:25 

>нету папочки "syslog" =(
>как узнать, куда он логи сохраняет?

это не папочка -- это файлик
должен ещё и в /var/log/messages писАть.

"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 15:44 
>
>>нету папочки "syslog" =(
>>как узнать, куда он логи сохраняет?
>
>это не папочка -- это файлик
>должен ещё и в /var/log/messages писАть.


Не могу лог прочитать. Пишу # tail -f /var/log/messages|grep 1-129
Выводит пустышку какую та... =(

"Помогите чайнику с iptables"
Отправлено samson_la , 14-Мрт-07 15:25 
попробуйте сделать так:

# iptables -I FORWARD -d 192.168.1.129 -j ACCEPT
# iptables -I FORWARD -s 192.168.1.129 -j ACCEPT

так iptables добавит правила в начало.
Работает?

"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 15:41 
>попробуйте сделать так:
>
># iptables -I FORWARD -d 192.168.1.129 -j ACCEPT
># iptables -I FORWARD -s 192.168.1.129 -j ACCEPT
>
>так iptables добавит правила в начало.
>Работает?

Неа, не работает

"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 15:51 
а порт то не тот
может всё таки 4899
"Помогите чайнику с iptables"
Отправлено Jason , 14-Мрт-07 15:53 
>а порт то не тот
>может всё таки 4899

порт я ручками правил на сервере. стоит 4900

"Помогите чайнику с iptables"
Отправлено pavel_simple , 14-Мрт-07 16:08 
блин и задача не сложная, и решить похоже не удасться.жжжаль

если не страшно то вывод iptables --list -n
реальные айпишники лучше заменить -- поменять там пару цифр чтоли.

"Помогите чайнику с iptables"
Отправлено ALex_hha , 15-Мрт-07 13:21 
>Так уже получилось, что администрирую линукс-сервера без какого либо опыта с ними,
>поэтому приходится разбираться на ходу.
>Существует необходимость в удаленном подключении к машине, находящейся в локальной сети через
>Remote Admin.
>По мануалу, находящемся на этом сайте, вбиваю следующие строки на роутере:
>
>iptables -t nat -A PREROUTING -p tcp -d 194.*.*.* --dport 4900 -j
>DNAT --to-destination 192.168.1.129:4900
>
>iptables -A FORWARD -i eth0 -d 192.168.1.129 -p tcp --dport 4900 -j
>ACCEPT
>
>разумеется, сконектится с машиной через Remote Admin не получается.
>
>Подскажите, в чем может быть проблема?

# iptables -A PREROUTING -t nat -d xxx.xxx.xxx.xxx -p tcp --dport 4900 -j DNAT --to-destination 192.168.1.129:4900

# iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 4900 -j ACCEPT

Возможно еще надо такое правило

# iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 4900 -j ACCEPT

или

# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

eth0 - смотрит в локалку
eth1 - смотрит в мир

На 192.168.1.129 фаера нет?

"Помогите чайнику с iptables"
Отправлено sidsoft , 21-Мрт-07 16:44 
Здравствуйте Господа!
Помогите пожалуйста с хорошим мануалом под Linux Gentoo 2006.1, или может кто это уже много раз делал, а дело вот в чем:
Поставил (кое-как правда) ОС Linux Gentoo 2006.1, эта система сейчас работает, встал вопрос, о безопасности, а именно как с нуля поставить IPTABLES и с ним-же прокомпилировать ядро? Сам я в Gentoo неделю только, тонкостей и прочих вещей еще не успел познать :( , но я стараюсь.

Пожалуйста помогите.

"Помогите чайнику с iptables"
Отправлено slepnogaGentoo , 24-Мрт-07 21:14 
#USE="extensions" emerge -av iptables :)
Ne obizaisa ,no postav Mandrivu i ne mucaisa, na gentoo sidat te,kogo ostalnie user_frendly sistemi uze dostali.
Nu zaemerzis iptables, tak stazu naches svoi skript pisat dla nego.
Esli po teme kak to 4 adresa s kotorih nado nacinat:
www.gentoo.org{hendbook,doc,forum}
www.gentooo-wiki.com
www.gentoo.ru
P.S "Gentoo 2006.1" Gena versii ne imeet :))

"Помогите чайнику с iptables"
Отправлено AntreKotik , 04-Май-07 11:30 
>Подскажите, в чем может быть проблема?

Проблема еще существует?