Так уже получилось, что администрирую линукс-сервера без какого либо опыта с ними, поэтому приходится разбираться на ходу.
Существует необходимость в удаленном подключении к машине, находящейся в локальной сети через Remote Admin.
По мануалу, находящемся на этом сайте, вбиваю следующие строки на роутере:iptables -t nat -A PREROUTING -p tcp -d 194.*.*.* --dport 4900 -j DNAT --to-destination 192.168.1.129:4900
iptables -A FORWARD -i eth0 -d 192.168.1.129 -p tcp --dport 4900 -j ACCEPT
разумеется, сконектится с машиной через Remote Admin не получается.
Подскажите, в чем может быть проблема?
обратный forward пропиши
>обратный forward пропишиможно поподробней, как это сделать? что надо написать?
iptables -A FORWARD -s 192.168.1.129 -p tcp -m contrack --ctstate RELATED,ESTABLISHED -j ACCEPT
>iptables -A FORWARD -s 192.168.1.129 -p tcp -m contrack --ctstate RELATED,ESTABLISHED -j
>ACCEPTПишет вот что:
iptables v1.3.0: Couldn't load match `contrack':/lib/iptables/libipt_contrack.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
не скомпилено наверное -- ядро какое??
можно по другому немногоiptables -A FORWARD -s 192.168.1.129 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
>не скомпилено наверное -- ядро какое??
>можно по другому немного
>
>iptables -A FORWARD -s 192.168.1.129 -p tcp -m state --state RELATED,ESTABLISHED -j
>ACCEPTтеперь ошибок нету, но соединения по прежнему нема =(
а вот теперь самое главное.
остальные правила FW этому работань не мешают???
поставь вот это до вешперечисленныхiptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129"
iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129"и после
iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
в свободной консоли
tail -f /var/log/syslog | grep 1-129и наблюдай как оно работает.
>а вот теперь самое главное.
>остальные правила FW этому работань не мешают???
>поставь вот это до вешперечисленных
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129"
>
>и после
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>
>
>в свободной консоли
>tail -f /var/log/syslog | grep 1-129
>
>и наблюдай как оно работает.Как понять, до вышеперечисленных? нужно сначала первые две строки, потом правило, потом вторые две строки? (простите за тупость) =)
>Как понять, до вышеперечисленных? нужно сначала первые две строки, потом правило, потом
>вторые две строки? (простите за тупость) =)почти
нужно сначала первые две строки, потом !!!правилА!!!, потом вторые две строки
>а вот теперь самое главное.
>остальные правила FW этому работань не мешают???
>поставь вот это до вешперечисленных
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129"
>
>и после
>
>iptables -A FORWARD -s 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>iptables -A FORWARD -d 192.168.1.129 -j LOG --log-prefix "1-129-DROP"
>
>
>в свободной консоли
>tail -f /var/log/syslog | grep 1-129
>
>и наблюдай как оно работает.нету папочки "syslog" =(
как узнать, куда он логи сохраняет?
>нету папочки "syslog" =(
>как узнать, куда он логи сохраняет?это не папочка -- это файлик
должен ещё и в /var/log/messages писАть.
>
>>нету папочки "syslog" =(
>>как узнать, куда он логи сохраняет?
>
>это не папочка -- это файлик
>должен ещё и в /var/log/messages писАть.
Не могу лог прочитать. Пишу # tail -f /var/log/messages|grep 1-129
Выводит пустышку какую та... =(
попробуйте сделать так:# iptables -I FORWARD -d 192.168.1.129 -j ACCEPT
# iptables -I FORWARD -s 192.168.1.129 -j ACCEPTтак iptables добавит правила в начало.
Работает?
>попробуйте сделать так:
>
># iptables -I FORWARD -d 192.168.1.129 -j ACCEPT
># iptables -I FORWARD -s 192.168.1.129 -j ACCEPT
>
>так iptables добавит правила в начало.
>Работает?Неа, не работает
а порт то не тот
может всё таки 4899
>а порт то не тот
>может всё таки 4899порт я ручками правил на сервере. стоит 4900
блин и задача не сложная, и решить похоже не удасться.жжжальесли не страшно то вывод iptables --list -n
реальные айпишники лучше заменить -- поменять там пару цифр чтоли.
>Так уже получилось, что администрирую линукс-сервера без какого либо опыта с ними,
>поэтому приходится разбираться на ходу.
>Существует необходимость в удаленном подключении к машине, находящейся в локальной сети через
>Remote Admin.
>По мануалу, находящемся на этом сайте, вбиваю следующие строки на роутере:
>
>iptables -t nat -A PREROUTING -p tcp -d 194.*.*.* --dport 4900 -j
>DNAT --to-destination 192.168.1.129:4900
>
>iptables -A FORWARD -i eth0 -d 192.168.1.129 -p tcp --dport 4900 -j
>ACCEPT
>
>разумеется, сконектится с машиной через Remote Admin не получается.
>
>Подскажите, в чем может быть проблема?# iptables -A PREROUTING -t nat -d xxx.xxx.xxx.xxx -p tcp --dport 4900 -j DNAT --to-destination 192.168.1.129:4900
# iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 4900 -j ACCEPT
Возможно еще надо такое правило
# iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 4900 -j ACCEPT
или
# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
eth0 - смотрит в локалку
eth1 - смотрит в мирНа 192.168.1.129 фаера нет?
Здравствуйте Господа!
Помогите пожалуйста с хорошим мануалом под Linux Gentoo 2006.1, или может кто это уже много раз делал, а дело вот в чем:
Поставил (кое-как правда) ОС Linux Gentoo 2006.1, эта система сейчас работает, встал вопрос, о безопасности, а именно как с нуля поставить IPTABLES и с ним-же прокомпилировать ядро? Сам я в Gentoo неделю только, тонкостей и прочих вещей еще не успел познать :( , но я стараюсь.Пожалуйста помогите.
#USE="extensions" emerge -av iptables :)
Ne obizaisa ,no postav Mandrivu i ne mucaisa, na gentoo sidat te,kogo ostalnie user_frendly sistemi uze dostali.
Nu zaemerzis iptables, tak stazu naches svoi skript pisat dla nego.
Esli po teme kak to 4 adresa s kotorih nado nacinat:
www.gentoo.org{hendbook,doc,forum}
www.gentooo-wiki.com
www.gentoo.ru
P.S "Gentoo 2006.1" Gena versii ne imeet :))
>Подскажите, в чем может быть проблема?Проблема еще существует?