The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables"  +/
Сообщение от dbelokursky (ok) on 25-Авг-10, 16:31 
Есть прокси со статистическим ip xx.xx.105.6 (локальный ip 192.168.1.200). Настроен форвардинг с xx.xx.105.6:8080 на 192.168.1.11:80(сервер в на котором бежит приложение). Из локальной сети это не работает(из интернета работает). Т.е. запрос вида http://xx.xx.105.6:8080/cgi-bin/.../Search.exe? из локальной сети результата не дает, но если обратиться по локальному ip http://192.168.1.11/cgi-bin/.../Search.exe? все ок.


nat:

Chain PREROUTING (policy ACCEPT 80231 packets, 5884K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     148K 9346K portfw     0    --  *      *       0.0.0.0/0            0.0.0.0/0
2     128K 7753K jmpsquid   0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
3    67632 4820K jmpim      0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
4    67632 4820K jmpp3scan  0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
5    67632 4820K jmpsip     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
6    12614 1064K MINIUPNPD  0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
7        0     0 MINIUPNPD  0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
8        0     0 MINIUPNPD  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
9       15   760 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.105.6         tcp dpt:8080 to:192.168.1.11

Chain POSTROUTING (policy ACCEPT 8710 packets, 583K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     104K 6326K MASQUERADE  0    --  *      ppp0    0.0.0.0/0            0.0.0.0/0
2        0     0 MASQUERADE  0    --  *      ippp0   0.0.0.0/0            0.0.0.0/0
3        0     0 MASQUERADE  0    --  *      eth1    0.0.0.0/0            0.0.0.0/0
4       13   684 SNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.11        tcp dpt:80 to:192.168.1.200
5       96  4964            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
6       95  4912            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 101K packets, 6176K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain MINIUPNPD (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53137 to:192.168.1.128:53137
2        0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53137 to:192.168.1.128:53137
3        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2534 to:192.168.1.51:7734

Chain im (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain jmpim (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      114  6334 RETURN     0    --  *      *       0.0.0.0/0            10.0.0.0/8
2       61  8138 RETURN     0    --  *      *       0.0.0.0/0            172.16.0.0/12
3    29606 2182K RETURN     0    --  *      *       0.0.0.0/0            192.168.0.0/16
4        0     0 RETURN     0    --  *      *       0.0.0.0/0            169.254.0.0/16
5    37851 2624K im         0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain jmpp3scan (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      114  6334 RETURN     0    --  *      *       0.0.0.0/0            10.0.0.0/8
2       61  8138 RETURN     0    --  *      *       0.0.0.0/0            172.16.0.0/12
3    29606 2182K RETURN     0    --  *      *       0.0.0.0/0            192.168.0.0/16
4        0     0 RETURN     0    --  *      *       0.0.0.0/0            169.254.0.0/16
5    37851 2624K p3scan     0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain jmpsip (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      114  6334 RETURN     0    --  *      *       0.0.0.0/0            10.0.0.0/8
2       61  8138 RETURN     0    --  *      *       0.0.0.0/0            172.16.0.0/12
3    29606 2182K RETURN     0    --  *      *       0.0.0.0/0            192.168.0.0/16
4        0     0 RETURN     0    --  *      *       0.0.0.0/0            169.254.0.0/16
5    37851 2624K sip        0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain jmpsquid (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      114  6334 RETURN     0    --  *      *       0.0.0.0/0            10.0.0.0/8
2       61  8138 RETURN     0    --  *      *       0.0.0.0/0            172.16.0.0/12
3    29606 2182K RETURN     0    --  *      *       0.0.0.0/0            192.168.0.0/16
4        0     0 RETURN     0    --  *      *       0.0.0.0/0            169.254.0.0/16
5    97945 5557K squid      0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain p3scan (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain portfw (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1       41  2140 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.105.6         tcp dpt:53137 to:192.168.1.128:53137
2       43  3200 DNAT       udp  --  *      *       0.0.0.0/0            xx.xx.105.6         udp dpt:53137 to:192.168.1.128:53137
3        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.105.6         tcp dpt:5901 to:192.168.1.112:5901
4        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.105.6         tcp dpt:8081 to:192.168.1.112:80
5        5   268 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.105.6         tcp dpt:8080 to:192.168.1.11:80

Chain sip (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain squid (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    60094 2933K REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 800

filter:

Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    1823K 1768M ipblock    0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
2        0     0 ipblock    0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
3        0     0 ipblock    0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
4    3194K 2016M timedaccess  0    --  *      *       0.0.0.0/0            0.0.0.0/0
5    1823K 1768M advnet     0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
6        0     0 advnet     0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
7        0     0 advnet     0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
8    1823K 1768M spoof      0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
9        0     0 spoof      0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
10       0     0 spoof      0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
11   30254 3249K ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
12   1340K  244M ACCEPT     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
13   1823K 1768M secin      0    --  *      *       0.0.0.0/0            0.0.0.0/0
14   1823K 1768M block      0    --  *      *       0.0.0.0/0            0.0.0.0/0
15    4842  400K LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
16    4842  400K REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    2512K 2950M ipblock    0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
2        0     0 ipblock    0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
3        0     0 ipblock    0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
4    4167K 3418M timedaccess  0    --  *      *       0.0.0.0/0            0.0.0.0/0
5    4167K 3418M secout     0    --  *      *       0.0.0.0/0            0.0.0.0/0
6    1614K  464M ACCEPT     0    --  *      ppp0    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
7    2502K 2950M ACCEPT     0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
8    38893 2691K outbound   0    --  *      ppp0    0.0.0.0/0            0.0.0.0/0           state NEW
9        0     0 ACCEPT     0    --  *      ippp0   0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
10       0     0 ACCEPT     0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
11       0     0 outbound   0    --  *      ippp0   0.0.0.0/0            0.0.0.0/0           state NEW
12       0     0 ACCEPT     0    --  *      eth1    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
13       0     0 ACCEPT     0    --  eth1   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
14       0     0 outbound   0    --  *      eth1    0.0.0.0/0            0.0.0.0/0           state NEW
15    9557  643K portfwf    0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
16       0     0 portfwf    0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
17       0     0 portfwf    0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
18    1202 62840 portfwf    0    --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match 0x1
19       0     0 ACCEPT     0    --  eth0   ipsec0  0.0.0.0/0            0.0.0.0/0
20       0     0 ACCEPT     0    --  ipsec0 eth0    0.0.0.0/0            0.0.0.0/0
21       0     0 MINIUPNPD  0    --  ppp0   !ppp0   0.0.0.0/0            0.0.0.0/0
22       0     0 MINIUPNPD  0    --  ippp0  !ippp0  0.0.0.0/0            0.0.0.0/0
23       0     0 MINIUPNPD  0    --  eth1   !eth1   0.0.0.0/0            0.0.0.0/0
24   36329 2505K LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
25   36329 2505K REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 3761K packets, 2154M bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain MINIUPNPD (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.128       tcp dpt:53137
2        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.128       udp dpt:53137
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.51        tcp dpt:7734

Chain advnet (3 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain allows (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      386 22768 ACCEPT     0    --  *      *       192.168.1.115        0.0.0.0/0
2      125  6000 ACCEPT     0    --  *      *       192.168.1.130        0.0.0.0/0
3      282 13564 ACCEPT     0    --  *      *       192.168.1.132        0.0.0.0/0

Chain badtraffic (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain block (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    1810K 1767M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
3    13195 1101K xtaccess   0    --  *      *       0.0.0.0/0            0.0.0.0/0
4    13187 1101K ipsec      0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
5        0     0 ipsec      0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
6        0     0 ipsec      0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
7    13187 1101K siprtpports  0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
8        0     0 siprtpports  0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
9        0     0 siprtpports  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
10    8345  700K ACCEPT     icmp --  ppp0   *       0.0.0.0/0            0.0.0.0/0
11       0     0 ACCEPT     icmp --  ippp0  *       0.0.0.0/0            0.0.0.0/0
12       0     0 ACCEPT     icmp --  eth1   *       0.0.0.0/0            0.0.0.0/0
13    4842  400K badtraffic  0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain dmzholes (0 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain ipblock (6 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain ipsec (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:500
2        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:4500
3        0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0

Chain outbound (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1      154 13912 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
2    38739 2677K allows     0    --  *      *       0.0.0.0/0            0.0.0.0/0
3    36219 2540K outgreen   0    --  eth0   *       0.0.0.0/0            0.0.0.0/0

Chain outgreen (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
2        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:22
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
4        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:23
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5631
6        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5631
7        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
8        2   265 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:21
9        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:115
10       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:115
11       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
12       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:25
13       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:109
14       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:109
15     214 10272 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110
16       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:110
17       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143
18       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:143
19       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465
20       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:465
21       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995
22       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:995
23       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993
24       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993
25       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:119
26       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:119
27       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:563
28       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:563
29       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1863
30       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1863
31       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4000
32       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:4000
33      12   616 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5190
34       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5190
35      14   672 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:6667:7000
36     330 42130 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:6667:7000
37       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5050
38       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5050
39       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:7070
40       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:7070
41       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:47624
42       1   131 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:47624
43       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
44      19  1880 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:80
45     705 34740 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
46       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:443

Chain outorange (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain outpurple (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 reject-with icmp-port-unreachable
2        0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:22 reject-with icmp-port-unreachable
3        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23 reject-with icmp-port-unreachable
4        0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:23 reject-with icmp-port-unreachable
5        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5631 reject-with icmp-port-unreachable
6        0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5631 reject-with icmp-port-unreachable
7        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable
8        0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:80 reject-with icmp-port-unreachable
9        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 reject-with icmp-port-unreachable
10       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:443 reject-with icmp-port-unreachable
11       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 reject-with icmp-port-unreachable
12       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:21 reject-with icmp-port-unreachable
13       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:115 reject-with icmp-port-unreachable
14       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:115 reject-with icmp-port-unreachable
15       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
16       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:25 reject-with icmp-port-unreachable
17       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:109 reject-with icmp-port-unreachable
18       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:109 reject-with icmp-port-unreachable
19       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 reject-with icmp-port-unreachable
20       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:110 reject-with icmp-port-unreachable
21       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 reject-with icmp-port-unreachable
22       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:143 reject-with icmp-port-unreachable
23       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465 reject-with icmp-port-unreachable
24       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:465 reject-with icmp-port-unreachable
25       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995 reject-with icmp-port-unreachable
26       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:995 reject-with icmp-port-unreachable
27       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993 reject-with icmp-port-unreachable
28       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993 reject-with icmp-port-unreachable
29       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:119 reject-with icmp-port-unreachable
30       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:119 reject-with icmp-port-unreachable
31       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:563 reject-with icmp-port-unreachable
32       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:563 reject-with icmp-port-unreachable
33       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1863 reject-with icmp-port-unreachable
34       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1863 reject-with icmp-port-unreachable
35       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4000 reject-with icmp-port-unreachable
36       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:4000 reject-with icmp-port-unreachable
37       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5190 reject-with icmp-port-unreachable
38       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5190 reject-with icmp-port-unreachable
39       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:6667:7000 reject-with icmp-port-unreachable
40       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:6667:7000 reject-with icmp-port-unreachable
41       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5050 reject-with icmp-port-unreachable
42       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5050 reject-with icmp-port-unreachable
43       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:7070 reject-with icmp-port-unreachable
44       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:7070 reject-with icmp-port-unreachable
45       0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:47624 reject-with icmp-port-unreachable
46       0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:47624 reject-with icmp-port-unreachable
47       0     0 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0

Chain portfwf (4 references)
num   pkts bytes target     prot opt in     out     source               destination
1       49  2548 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.128       state NEW tcp dpt:53137
2       93  6941 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.128       state NEW udp dpt:53137
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.112       state NEW tcp dpt:5901
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.112       state NEW tcp dpt:80
5        5   268 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.11        state NEW tcp dpt:80

Chain secin (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     0    --  ipsec0 *       0.0.0.0/0            0.0.0.0/0

Chain secout (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     0    --  ipsec0 *       0.0.0.0/0            0.0.0.0/0

Chain siprtpports (3 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain spoof (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       0    --  *      *       192.168.1.0/24       0.0.0.0/0

Chain timedaccess (2 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain timedaction (0 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `Denied-by-Timed-Access:-'
2        0     0 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain xtaccess (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
2        0     0 ACCEPT     tcp  --  ippp0  *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
3        7   312 ACCEPT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:441
4        0     0 ACCEPT     tcp  --  ippp0  *       0.0.0.0/0            0.0.0.0/0           tcp dpt:441
5        1    48 ACCEPT     tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:222
6        0     0 ACCEPT     tcp  --  ippp0  *       0.0.0.0/0            0.0.0.0/0           tcp dpt:222

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • iptables, Vivi, 16:43 , 25-Авг-10, (1)  
    • iptables, dbelokursky, 22:08 , 25-Авг-10, (4)  
  • iptables, tux2002, 16:46 , 25-Авг-10, (2) +1  
    • iptables, dbelokursky, 22:04 , 25-Авг-10, (3)  
      • iptables, Aquarius, 22:24 , 25-Авг-10, (5) +1  
        • iptables, dbelokursky, 10:27 , 26-Авг-10, (10)  
      • iptables, reader, 23:46 , 25-Авг-10, (6)  
        • iptables, dbelokursky, 09:44 , 26-Авг-10, (8)  
          • iptables, reader, 10:27 , 26-Авг-10, (9) +1  
            • iptables, dbelokursky, 10:44 , 26-Авг-10, (11)  
              • iptables, reader, 11:07 , 26-Авг-10, (12)  
                • iptables, dbelokursky, 11:43 , 26-Авг-10, (15)  
                  • iptables, reader, 12:24 , 26-Авг-10, (17) +1  
                    • iptables, dbelokursky, 12:39 , 26-Авг-10, (19)  
    • iptables, dbelokursky, 09:36 , 26-Авг-10, (7)  
      • iptables, tux2002, 11:26 , 26-Авг-10, (13) +1  
        • iptables, tux2002, 11:27 , 26-Авг-10, (14)  
          • iptables, dbelokursky, 12:28 , 26-Авг-10, (18)  
        • iptables, dbelokursky, 11:56 , 26-Авг-10, (16)  
          • iptables, dbelokursky, 13:08 , 26-Авг-10, (20)  

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables"  +/
Сообщение от Vivi on 25-Авг-10, 16:43 
так и должно быть.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "iptables"  +/
Сообщение от dbelokursky (ok) on 25-Авг-10, 22:08 
>так и должно быть.

ОК. Если не затруднит расскажите почему или как поправить.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "iptables"  +1 +/
Сообщение от tux2002 (ok) on 25-Авг-10, 16:46 
>Есть прокси со статистическим ip xx.xx.105.6 (локальный ip 192.168.1.200). Настроен форвардинг с
>xx.xx.105.6:8080 на 192.168.1.11:80(сервер в на котором бежит приложение). Из локальной сети
>это не работает(из интернета работает). Т.е. запрос вида http://xx.xx.105.6:8080/cgi-bin/.../Search.exe? из локальной
>сети результата не дает, но если обратиться по локальному ip http://192.168.1.11/cgi-bin/.../Search.exe?
>все ок.
>9       15   760 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.105.6         tcp dpt:8080 to:192.168.1.11

Добавь чтобы было
10       15   760 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.200         tcp dpt:8080 to:192.168.1.11

Я бы так не делал, а сделал бы чтобы DNS имя сервера в локальной сети разрешалось в 192.168.1.11.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "iptables"  +/
Сообщение от dbelokursky (ok) on 25-Авг-10, 22:04 
>Добавь чтобы было
>10       15   760 DNAT
>      tcp  --  *
>     *      
> 0.0.0.0/0          
>  192.168.1.200        
>tcp dpt:8080 to:192.168.1.11
>
>Я бы так не делал, а сделал бы чтобы DNS имя сервера
>в локальной сети разрешалось в 192.168.1.11.

Спасибо за ответ. Сейчас возможности проверить нет. Странно в туториале: http://www.opennet.me/docs/RUS/iptables/#DNATTARGET написано, что достаточно двух правил.
1) iptables -t nat -A PREROUTING --dst xx.xx.78.36 -p tcp --dport 8080 -j DNAT \
--to-destination 192.168.1.11

2) iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80 -j SNAT \
--to-source $192.168.1.200

Извините за ламерские вопросы просто пытаюсь разобраться :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "iptables"  +1 +/
Сообщение от Aquarius (ok) on 25-Авг-10, 22:24 
>[оверквотинг удален]
>что достаточно двух правил.
>1) iptables -t nat -A PREROUTING --dst xx.xx.78.36 -p tcp --dport 8080
>-j DNAT \
>--to-destination 192.168.1.11
>
>2) iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80
>-j SNAT \
>--to-source $192.168.1.200
>
>Извините за ламерские вопросы просто пытаюсь разобраться :)

просто туториалы пишут для нормальных ситуаций;
совмещение шлюза, веб-сервера, жнеца и на дуде игреца на одном хосте не является нормальной ситуацией, так сказать, канонически;
обычно, тоесть, канонически, веб-сервер должен быть в демилитаризованной зоне (DMZ) межсетевого экрана

P.S. прошу прощения, немного не в том контексте высказался
в данном случае совмещения веб-сервера с со шлюзом нет, зато есть совмещение DMZ с локалкой, что, опять-таки, выводит ситуацию из ряда рассматриваемых в туториалах

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 10:27 
>в данном случае совмещения веб-сервера с со шлюзом нет, зато есть совмещение
>DMZ с локалкой, что, опять-таки, выводит ситуацию из ряда рассматриваемых в
>туториалах

Совершенно верно. На данный момент нет возможности сервер вынести в DMZ. Можно ли исходя из сложившейся ситуации как то заставить это работать?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "iptables"  +/
Сообщение от reader (ok) on 25-Авг-10, 23:46 
>[оверквотинг удален]
>>     *      
>> 0.0.0.0/0          
>>  192.168.1.200        
>>tcp dpt:8080 to:192.168.1.11
>>
>>Я бы так не делал, а сделал бы чтобы DNS имя сервера
>>в локальной сети разрешалось в 192.168.1.11.
>
>Спасибо за ответ. Сейчас возможности проверить нет. Странно в туториале: http://www.opennet.me/docs/RUS/iptables/#DNATTARGET написано,
>что достаточно двух правил.

все правильно там написано и даже рассказано какое правило для чего нужно, но DMZ было бы лучше.

с SNAT в логах вы будите видеть обращения от имени шлюза, а не ip клиента, да и в случай если поломают сервак , то хоть в локалку не заберутся

>1) iptables -t nat -A PREROUTING --dst xx.xx.78.36 -p tcp --dport 8080
>-j DNAT \
>--to-destination 192.168.1.11
>
>2) iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80
>-j SNAT \
>--to-source $192.168.1.200
>
>Извините за ламерские вопросы просто пытаюсь разобраться :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 09:44 
>все правильно там написано и даже рассказано какое правило для чего нужно,
>но DMZ было бы лучше.

Наверно правильно. Но к сожалению у меня не работает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "iptables"  +1 +/
Сообщение от reader (ok) on 26-Авг-10, 10:27 
>>все правильно там написано и даже рассказано какое правило для чего нужно,
>>но DMZ было бы лучше.
>
>Наверно правильно. Но к сожалению у меня не работает.

когда что-то не работает, то правила уменьшают до минимума и добиваются работы, а потом уже начинают добавлять понемногу правил и проверять.

в приведенном виде смотреть правила что-то тосклива, покажите вывод iptables-save

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 10:44 
>>>все правильно там написано и даже рассказано какое правило для чего нужно,
>>>но DMZ было бы лучше.
>>
>>Наверно правильно. Но к сожалению у меня не работает.
>
>когда что-то не работает, то правила уменьшают до минимума и добиваются работы,
>а потом уже начинают добавлять понемногу правил и проверять.
>
>в приведенном виде смотреть правила что-то тосклива, покажите вывод iptables-save

Спасибо. Вот результат iptables-save:

:jmpim - [0:0]
:jmpp3scan - [0:0]
:jmpsip - [0:0]
:jmpsquid - [0:0]
:p3scan - [0:0]
:portfw - [0:0]
:sip - [0:0]
:squid - [0:0]
-A PREROUTING -j portfw
-A PREROUTING -i eth0 -j jmpsquid
-A PREROUTING -i eth0 -j jmpim
-A PREROUTING -i eth0 -j jmpp3scan
-A PREROUTING -i eth0 -j jmpsip
-A PREROUTING -i ppp0 -j MINIUPNPD
-A PREROUTING -i ippp0 -j MINIUPNPD
-A PREROUTING -i eth1 -j MINIUPNPD
-A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11
-A PREROUTING -d 192.168.1.200 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ippp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.200
-A POSTROUTING -p tcp
-A POSTROUTING -p tcp
-A MINIUPNPD -p tcp -m tcp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A MINIUPNPD -p udp -m udp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A MINIUPNPD -p tcp -m tcp --dport 2534 -j DNAT --to-destination 192.168.1.51:7734
-A jmpim -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpim -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpim -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpim -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpim -j im
-A jmpp3scan -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpp3scan -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpp3scan -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpp3scan -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpp3scan -j p3scan
-A jmpsip -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpsip -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpsip -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpsip -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpsip -j sip
-A jmpsquid -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpsquid -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpsquid -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpsquid -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpsquid -j squid
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A portfw -d xx.xx.105.6 -p udp -m udp --dport 53137 -j DNAT --to-destination 192.168.1.128:53137
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 5901 -j DNAT --to-destination 192.168.1.112:5901
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.1.112:80
-A portfw -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11:80
-A squid -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 800
COMMIT
# Completed on Thu Aug 26 10:40:40 2010
# Generated by iptables-save v1.3.7 on Thu Aug 26 10:40:40 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7583567:5415769679]
:MINIUPNPD - [0:0]
:advnet - [0:0]
:allows - [0:0]
:badtraffic - [0:0]
:block - [0:0]
:dmzholes - [0:0]
:ipblock - [0:0]
:ipsec - [0:0]
:outbound - [0:0]
:outgreen - [0:0]
:outorange - [0:0]
:outpurple - [0:0]
:portfwf - [0:0]
:secin - [0:0]
:secout - [0:0]
:siprtpports - [0:0]
:spoof - [0:0]
:timedaccess - [0:0]
:timedaction - [0:0]
:xtaccess - [0:0]
-A INPUT -i ppp0 -j ipblock
-A INPUT -i ippp0 -j ipblock
-A INPUT -i eth1 -j ipblock
-A INPUT -j timedaccess
-A INPUT -i ppp0 -j advnet
-A INPUT -i ippp0 -j advnet
-A INPUT -i eth1 -j advnet
-A INPUT -i ppp0 -j spoof
-A INPUT -i ippp0 -j spoof
-A INPUT -i eth1 -j spoof
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -j secin
-A INPUT -j block
-A INPUT -j LOG
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i ppp0 -j ipblock
-A FORWARD -i ippp0 -j ipblock
-A FORWARD -i eth1 -j ipblock
-A FORWARD -j timedaccess
-A FORWARD -j secout
-A FORWARD -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -j outbound
-A FORWARD -o ippp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ippp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ippp0 -m state --state NEW -j outbound
-A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth1 -m state --state NEW -j outbound
-A FORWARD -i ppp0 -j portfwf
-A FORWARD -i ippp0 -j portfwf
-A FORWARD -i eth1 -j portfwf
-A FORWARD -m mark --mark 0x1 -j portfwf
-A FORWARD -i eth0 -o ipsec0 -j ACCEPT
-A FORWARD -i ipsec0 -o eth0 -j ACCEPT
-A FORWARD -i ppp0 -o ! ppp0 -j MINIUPNPD
-A FORWARD -i ippp0 -o ! ippp0 -j MINIUPNPD
-A FORWARD -i eth1 -o ! eth1 -j MINIUPNPD
-A FORWARD -j LOG
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A MINIUPNPD -d 192.168.1.128 -p tcp -m tcp --dport 53137 -j ACCEPT
-A MINIUPNPD -d 192.168.1.128 -p udp -m udp --dport 53137 -j ACCEPT
-A MINIUPNPD -d 192.168.1.51 -p tcp -m tcp --dport 7734 -j ACCEPT
-A allows -s 192.168.1.115 -j ACCEPT
-A allows -s 192.168.1.130 -j ACCEPT
-A allows -s 192.168.1.132 -j ACCEPT
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i eth0 -j ACCEPT
-A block -j xtaccess
-A block -i ppp0 -j ipsec
-A block -i ippp0 -j ipsec
-A block -i eth1 -j ipsec
-A block -i ppp0 -j siprtpports
-A block -i ippp0 -j siprtpports
-A block -i eth1 -j siprtpports
-A block -i ppp0 -p icmp -j ACCEPT
-A block -i ippp0 -p icmp -j ACCEPT
-A block -i eth1 -p icmp -j ACCEPT
-A block -j badtraffic
-A ipsec -p udp -m udp --dport 500 -j ACCEPT
-A ipsec -p udp -m udp --dport 4500 -j ACCEPT
-A ipsec -p esp -j ACCEPT
-A ipsec -p ah -j ACCEPT
-A outbound -p icmp -j ACCEPT
-A outbound -j allows
-A outbound -i eth0 -j outgreen
-A outgreen -p tcp -m tcp --dport 22 -j ACCEPT
-A outgreen -p udp -m udp --dport 22 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 23 -j ACCEPT
-A outgreen -p udp -m udp --dport 23 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 5631 -j ACCEPT
-A outgreen -p udp -m udp --dport 5631 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 21 -j ACCEPT
-A outgreen -p udp -m udp --dport 21 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 115 -j ACCEPT
-A outgreen -p udp -m udp --dport 115 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 25 -j ACCEPT
-A outgreen -p udp -m udp --dport 25 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 109 -j ACCEPT
-A outgreen -p udp -m udp --dport 109 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 110 -j ACCEPT
-A outgreen -p udp -m udp --dport 110 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 143 -j ACCEPT
-A outgreen -p udp -m udp --dport 143 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 465 -j ACCEPT
-A outgreen -p udp -m udp --dport 465 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 995 -j ACCEPT
-A outgreen -p udp -m udp --dport 995 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 993 -j ACCEPT
-A outgreen -p udp -m udp --dport 993 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 119 -j ACCEPT
-A outgreen -p udp -m udp --dport 119 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 563 -j ACCEPT
-A outgreen -p udp -m udp --dport 563 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 1863 -j ACCEPT
-A outgreen -p udp -m udp --dport 1863 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 4000 -j ACCEPT
-A outgreen -p udp -m udp --dport 4000 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 5190 -j ACCEPT
-A outgreen -p udp -m udp --dport 5190 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 6667:7000 -j ACCEPT
-A outgreen -p udp -m udp --dport 6667:7000 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 5050 -j ACCEPT
-A outgreen -p udp -m udp --dport 5050 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 7070 -j ACCEPT
-A outgreen -p udp -m udp --dport 7070 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 47624 -j ACCEPT
-A outgreen -p udp -m udp --dport 47624 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 80 -j ACCEPT
-A outgreen -p udp -m udp --dport 80 -j ACCEPT
-A outgreen -p tcp -m tcp --dport 443 -j ACCEPT
-A outgreen -p udp -m udp --dport 443 -j ACCEPT
-A outorange -j ACCEPT
-A outpurple -p tcp -m tcp --dport 22 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 22 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 23 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 23 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 5631 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 5631 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 443 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 21 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 21 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 115 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 115 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 109 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 109 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 110 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 143 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 143 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 465 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 465 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 995 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 995 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 993 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 993 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 119 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 119 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 563 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 563 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 1863 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 1863 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 4000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 4000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 5190 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 5190 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 6667:7000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 6667:7000 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 5050 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 5050 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 7070 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 7070 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p tcp -m tcp --dport 47624 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -p udp -m udp --dport 47624 -j REJECT --reject-with icmp-port-unreachable
-A outpurple -j ACCEPT
-A portfwf -d 192.168.1.128 -p tcp -m state --state NEW -m tcp --dport 53137 -j ACCEPT
-A portfwf -d 192.168.1.128 -p udp -m state --state NEW -m udp --dport 53137 -j ACCEPT
-A portfwf -d 192.168.1.112 -p tcp -m state --state NEW -m tcp --dport 5901 -j ACCEPT
-A portfwf -d 192.168.1.112 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A portfwf -d 192.168.1.11 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A secin -i ipsec0 -j ACCEPT
-A secout -i ipsec0 -j ACCEPT
-A spoof -s 192.168.1.0/255.255.255.0 -j DROP
-A timedaction -j LOG --log-prefix "Denied-by-Timed-Access:-"
-A timedaction -j REJECT --reject-with icmp-port-unreachable
-A xtaccess -i ppp0 -p tcp -m tcp --dport 113 -j ACCEPT
-A xtaccess -i ippp0 -p tcp -m tcp --dport 113 -j ACCEPT
-A xtaccess -i ppp0 -p tcp -m tcp --dport 441 -j ACCEPT
-A xtaccess -i ippp0 -p tcp -m tcp --dport 441 -j ACCEPT
-A xtaccess -i ppp0 -p tcp -m tcp --dport 222 -j ACCEPT
-A xtaccess -i ippp0 -p tcp -m tcp --dport 222 -j ACCEPT
COMMIT


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "iptables"  +/
Сообщение от reader (ok) on 26-Авг-10, 11:07 
>[оверквотинг удален]
>-A PREROUTING -j portfw
>-A PREROUTING -i eth0 -j jmpsquid
>-A PREROUTING -i eth0 -j jmpim
>-A PREROUTING -i eth0 -j jmpp3scan
>-A PREROUTING -i eth0 -j jmpsip
>-A PREROUTING -i ppp0 -j MINIUPNPD
>-A PREROUTING -i ippp0 -j MINIUPNPD
>-A PREROUTING -i eth1 -j MINIUPNPD
>-A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT
>--to-destination 192.168.1.11

по моему тут получится перенаправление с xx.xx.105.6:8080 на 192.168.1.11:8080, а не на 80 порт

>-A PREROUTING -d 192.168.1.200 -p tcp -m tcp --dport 80 -j DNAT
>--to-destination 192.168.1.11

это зачем? если обращение из локалки по xx.xx.105.6:8080, то это лишнее

>-A POSTROUTING -o ppp0 -j MASQUERADE
>-A POSTROUTING -o ippp0 -j MASQUERADE
>-A POSTROUTING -o eth1 -j MASQUERADE
>-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT
>--to-source 192.168.1.200

если перенаправление все таки с xx.xx.105.6:8080 на 192.168.1.11:8080, то SNAT для них работать не будет, попробуйте убрать --dport 80, что бы SNAT был для всего что идет на 192.168.1.11

и в целом у вас много не нужных правил для протокола UDP

>[оверквотинг удален]
>
>-A xtaccess -i ppp0 -p tcp -m tcp --dport 441 -j ACCEPT
>
>-A xtaccess -i ippp0 -p tcp -m tcp --dport 441 -j ACCEPT
>
>-A xtaccess -i ppp0 -p tcp -m tcp --dport 222 -j ACCEPT
>
>-A xtaccess -i ippp0 -p tcp -m tcp --dport 222 -j ACCEPT
>
>COMMIT

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 11:43 
>>-A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT
>>--to-destination 192.168.1.11
>
>по моему тут получится перенаправление с xx.xx.105.6:8080 на 192.168.1.11:8080, а не на
>80 порт

Поменял на -A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11:80
Тут перенаправление с
>>-A PREROUTING -d 192.168.1.200 -p tcp -m tcp --dport 80 -j DNAT
>>--to-destination 192.168.1.11
>
>это зачем? если обращение из локалки по xx.xx.105.6:8080, то это лишнее

Этот вот тут http://www.opennet.me/openforum/vsluhforumID1/89679.html#3 посоветовали удаляю

>>-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT
>>--to-source 192.168.1.200
>
>если перенаправление все таки с xx.xx.105.6:8080 на 192.168.1.11:8080, то SNAT для них
>работать не будет, попробуйте убрать --dport 80, что бы SNAT был
>для всего что идет на 192.168.1.11

Перенаправление с xx.xx.105.6:8080 на 192.168.1.11:80. Убрал --dport
-A POSTROUTING -d 192.168.1.11 -p tcp -j SNAT --to-source 192.168.1.200

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "iptables"  +1 +/
Сообщение от reader (ok) on 26-Авг-10, 12:24 
>[оверквотинг удален]
>
>>>-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 80 -j SNAT
>>>--to-source 192.168.1.200
>>
>>если перенаправление все таки с xx.xx.105.6:8080 на 192.168.1.11:8080, то SNAT для них
>>работать не будет, попробуйте убрать --dport 80, что бы SNAT был
>>для всего что идет на 192.168.1.11
>
>Перенаправление с xx.xx.105.6:8080 на 192.168.1.11:80. Убрал --dport
>-A POSTROUTING -d 192.168.1.11 -p tcp -j SNAT --to-source 192.168.1.200

и не заработало?

iptables -I FORWARD -p tcp -s 192.168.1.11 -m state --state ESTABLISHED -j ACCEPT
iptables -I FORWARD -p tcp -d 192.168.1.11 -m state --state ESTABLISHED,NEW -j ACCEPT

если и после этого не заработает , то запускайте tcpdump на 192.168.1.11, делайте обращение из локалки к xx.xx.105.6:8080 и вывод tcpdump покажите

192.168.1.200 - это какой интерфейс?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 12:39 
>[оверквотинг удален]
>>>для всего что идет на 192.168.1.11
>>
>>Перенаправление с xx.xx.105.6:8080 на 192.168.1.11:80. Убрал --dport
>>-A POSTROUTING -d 192.168.1.11 -p tcp -j SNAT --to-source 192.168.1.200
>
>и не заработало?
>
>iptables -I FORWARD -p tcp -s 192.168.1.11 -m state --state ESTABLISHED -j
>ACCEPT
>iptables -I FORWARD -p tcp -d 192.168.1.11 -m state --state ESTABLISHED,NEW -j

ACCEPT
>
>если и после этого не заработает , то запускайте tcpdump на 192.168.1.11,
>делайте обращение из локалки к xx.xx.105.6:8080 и вывод tcpdump покажите
>
>192.168.1.200 - это какой интерфейс?

192.168.1.200 - это локальный ip прокси

После добавления этого правила:
iptables -I FORWARD -p tcp -d 192.168.1.11 -m state --state ESTABLISHED,NEW -j
ACCEPT
все заработало.
Большое вам спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 09:36 
Chain PREROUTING (policy ACCEPT 95930 packets, 7108K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     175K   11M portfw     0    --  *      *       0.0.0.0/0            0.0.0.0/0
2     146K 8844K jmpsquid   0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
3    77201 5502K jmpim      0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
4    77201 5502K jmpp3scan  0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
5    77201 5502K jmpsip     0    --  eth0   *       0.0.0.0/0            0.0.0.0/0
6    18744 1607K MINIUPNPD  0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
7        0     0 MINIUPNPD  0    --  ippp0  *       0.0.0.0/0            0.0.0.0/0
8        0     0 MINIUPNPD  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
9       15   760 DNAT       tcp  --  *      *       0.0.0.0/0            xx.xx.105.6         tcp dpt:8080 to:192.168.1.11
10       0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.200       tcp dpt:8080 to:192.168.1.11

Добавил. Ситуация не изменилась.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "iptables"  +1 +/
Сообщение от tux2002 (ok) on 26-Авг-10, 11:26 
>[оверквотинг удален]
>  xx.xx.105.6        
>tcp dpt:8080 to:192.168.1.11
>10       0    
>0 DNAT       tcp  --
> *      *    
>   0.0.0.0/0        
>    192.168.1.200      
>tcp dpt:8080 to:192.168.1.11
>
>Добавил. Ситуация не изменилась.

Пока не знаю почему у Вас не получается, но навскидку что сразу бросается в глаза:

--to-destination 192.168.1.11:80

укажите порт.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "iptables"  +/
Сообщение от tux2002 (ok) on 26-Авг-10, 11:27 
>10       0     0 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.200       tcp dpt:8080 to:192.168.1.11

            ^       ^  и счётчики пустые - пакеты не попадают в это правило.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 12:28 
        
>^       ^  и счётчики
>пустые - пакеты не попадают в это правило.

Насколько я понял они попадают в таблицу filter в цепочку portfwf
Chain portfwf (4 references)
num   pkts bytes target     prot opt in     out     source               destination
5       37  1924 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.11        state NEW tcp dpt:80

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 11:56 
>--to-destination 192.168.1.11:80
>
>укажите порт.

Порт указал. -A PREROUTING -d xx.xx.105.6 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.11:80


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "iptables"  +/
Сообщение от dbelokursky (ok) on 26-Авг-10, 13:08 
Всем спасибо за помощь. Проблема решена.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру