URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3967
[ Назад ]

Исходное сообщение
"Настройка iptables в fedora"
Отправлено Grave , 14-Сен-08 16:05

Существует проблема.
Предисловие:
Жила была кантора, админ стал зам директора, потом все администрировал 1С-сер который путает 2000 SQL sever с MS Windows 2003 server. Т.к. он не справился взяли меня. А старый админ молчит как партизан.
Суть проблемы:
сетка на 70 машин, включая соседние фирмы выходят в инет через нас, стоит "ведро" с Fedora и Squid для доступа в инет и подсчета трафика, ppp соединение на внешней сетевухе с динамическим адресом. Мне стало необходимо пробросить порт из локалки в инет. Вроде пока все просто. НО я не могу найти файла конфига от iptables и мои попытки настроить командой из консоли увенчались дикими тормозами ведра.
Вопрос:
1)Помогите найти файл конфига
2)Можно ли командой добавить проброс порта во вешний мир без файла
P.S. Линуксоид я начинающий и понять как работают iptables никак не могу, хотя раньше работал в техподдержке виндовых фаерволов.

Содержание

Настройка iptables в fedora,angra, 16:55 , 14-Сен-08
- Настройка iptables в fedora,Grave, 17:00 , 14-Сен-08
  - Настройка iptables в fedora,Grave, 17:04 , 14-Сен-08
  - Настройка iptables в fedora,angra, 17:21 , 14-Сен-08
    - Настройка iptables в fedora,reader, 18:36 , 14-Сен-08
Настройка iptables в fedora,Grave, 07:56 , 16-Сен-08

Сообщения в этом обсуждении

"Настройка iptables в fedora"
Отправлено angra , 14-Сен-08 16:55

>1)Помогите найти файл конфига
я федору не использую, но на незнакомой системе сделал бы следущее
1. find /etc -name '*iptables*'
2. grep -R 'какое-нибудь из правил выдаваемых iptables-save' /etc
>2)Можно ли командой добавить проброс порта во вешний мир без файла
Да, в простейшем случае одной командой на DNAT, в более сложных придется добавить еще разрешающие правила в filter и raw
>P.S. Линуксоид я начинающий и понять как работают iptables никак не могу,
>хотя раньше работал в техподдержке виндовых фаерволов.
Ну да, ведь это надо потратить аж пару часиков и почитать доку, для эникейщика непростительная потеря времени :)

"Настройка iptables в fedora"
Отправлено Grave , 14-Сен-08 17:00

>[оверквотинг удален]
>>2)Можно ли командой добавить проброс порта во вешний мир без файла
>
>Да, в простейшем случае одной командой на DNAT, в более сложных придется
>добавить еще разрешающие правила в filter и raw
>
>>P.S. Линуксоид я начинающий и понять как работают iptables никак не могу,
>>хотя раньше работал в техподдержке виндовых фаерволов.
>
>Ну да, ведь это надо потратить аж пару часиков и почитать доку,
>для эникейщика непростительная потеря времени :)
Не подумай что я спрашиваю, только потому, что мне лень доку читать. тот же сквид полюбился еще под виндой и был освоен по докам. Просто я прочел доку и целостной картины у меня не появилось, сижу и перечитываю, но целостно все равно не вижу. В строке целый вагон параметров указывается, а для чего каждый из них я пока не совсем понимаю

"Настройка iptables в fedora"
Отправлено Grave , 14-Сен-08 17:04

>[оверквотинг удален]
>>
>>Ну да, ведь это надо потратить аж пару часиков и почитать доку,
>>для эникейщика непростительная потеря времени :)
>
>Не подумай что я спрашиваю, только потому, что мне лень доку читать.
>тот же сквид полюбился еще под виндой и был освоен по
>докам. Просто я прочел доку и целостной картины у меня не
>появилось, сижу и перечитываю, но целостно все равно не вижу. В
>строке целый вагон параметров указывается, а для чего каждый из них
>я пока не совсем понимаю
Забыл добавить /etc/sysconfig/iptables пустой и /etc/rc.d/init.d/iptables не существует :(

"Настройка iptables в fedora"
Отправлено angra , 14-Сен-08 17:21

Для начала проверим правильную ли доку вы читали. я например предпочитаю http://www.opennet.me/docs/RUS/iptables ну или ее английский вариант. В man iptables лучше заглядывать после освоение концепций.
Не думайте, что я не даю конкретные правила из вредности, просто для них нужно знать вашу текущую конфигурацию. Простейшее правило проброса выглядит так
iptables -t nat -A PREROUTING -p протокол(tcp/udp) -d ip_внешнего_интерфеса --dport нужный_порт -j DNAT --to-destination ip_локальной_машины:порт_локальной_машины
Однако его зачатую может не хватить. Для начала убедитесь что для локальной машины включен SNAT иначе пакеты пройдут только в одну сторону. Дальше нужно проверить таблицы filter и raw. В filter нас интересует цепочка FORWARD, возможно там стоит ACCEPT на все, а может надо добавить правило разрешающее входящий трафик на этот порт. Если raw нет, то все в порядке, иначе нужно разрешить треккинг нашего соединения. На всякий случай напомню, что полный список всех текущих правил дает iptables-save, а не iptables -L

"Настройка iptables в fedora"
Отправлено reader , 14-Сен-08 18:36

многие генераторы правил для iptables делают скрипт и не используют service iptables, выполните iptables-save и увидите правила, а если не увидите, то возможно кто-то решил что iptables роскош.

"Настройка iptables в fedora"
Отправлено Grave , 16-Сен-08 07:56

Всем большое спасибо. Разобрался, порт прокинул, спасибо всем за помощь.
Единственное меня несколько не поняли, мне нужен был маскарад, а не днат.
Читал я именно тот мануал, он поведал мне много нового о работе tcp\ip под виндой такого знания не надо :)