форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по IPTABLES и портам"
Сообщение от Lopotuh on 16-Янв-04, 11:08  (MSK)
Я еще только начал заниматься с Linux, поэтому вопрос может показаться идиотским... У меня стоит redhat 9, iptables. Внешний eth0 1.1.1.1 , внутренний eth1 2.2.2.2 . Рядышком моя машина под XP. Хочу для свое машины открыть доступ в внешний мир без всех ограничений (icq, webmoney и т.д.). Как мне это сделать (желательно на примере). Заранее всех благодарю.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос по IPTABLES и портам"
Сообщение от k on 16-Янв-04, 12:02  (MSK)
>Я еще только начал заниматься с Linux, поэтому вопрос может показаться идиотским... >У меня стоит redhat 9, iptables. Внешний eth0 1.1.1.1 , внутренний >eth1 2.2.2.2 . Рядышком моя машина под XP. Хочу для свое >машины открыть доступ в внешний мир без всех ограничений (icq, webmoney >и т.д.). Как мне это сделать (желательно на примере). Заранее всех >благодарю. Надо настроить NAT: iptables -t nat POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1 echo 1 > /proc/sys/net/ipv4/ip_forward Удачи!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 12:10  (MSK)
	>>Я еще только начал заниматься с Linux, поэтому вопрос может показаться идиотским... >>У меня стоит redhat 9, iptables. Внешний eth0 1.1.1.1 , внутренний >>eth1 2.2.2.2 . Рядышком моя машина под XP. Хочу для свое >>машины открыть доступ в внешний мир без всех ограничений (icq, webmoney >>и т.д.). Как мне это сделать (желательно на примере). Заранее всех >>благодарю. > >Надо настроить NAT: >iptables -t nat POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1 >echo 1 > /proc/sys/net/ipv4/ip_forward > >Удачи! Пишет Bad argumet 'POSTROUTING'
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Вопрос по IPTABLES и портам"
	Сообщение от Xela on 16-Янв-04, 13:09  (MSK)
	заменить >>iptables -t nat POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1 на iptables -t nat -А POSTROUTING -s твой_ип -j SNAT --to-source 1.1.1.1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 13:16  (MSK)
	>заменить >>>iptables -t nat POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1 >на >iptables -t nat -А POSTROUTING -s твой_ип -j SNAT --to-source 1.1.1.1 Правило добавилось, но все равно ничего не изменилось. Пинги наружу не идут и webmoney не работает (а в принципе вся проблема именно из-за него).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Вопрос по IPTABLES и портам"
	Сообщение от Xela on 16-Янв-04, 13:25  (MSK)
	>Правило добавилось, но все равно ничего не изменилось. Пинги наружу не идут >и webmoney не работает (а в принципе вся проблема именно из-за >него). Покажи вывод iptables -n -L
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 13:29  (MSK)
	>>Правило добавилось, но все равно ничего не изменилось. Пинги наружу не идут >>и webmoney не работает (а в принципе вся проблема именно из-за >>него). >Покажи вывод iptables -n -L Chain INPUT (policy ACCEPT) target     prot opt source               destination         RH-Lokkit-0-50-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           Chain FORWARD (policy ACCEPT) target     prot opt source               destination         RH-Lokkit-0-50-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT) target     prot opt source               destination         Chain RH-Lokkit-0-50-INPUT (2 references) target     prot opt source               destination         ACCEPT     udp  --  212.26.128.3         0.0.0.0/0          udp spt:53 dpts:1025:65535 ACCEPT     udp  --  212.26.128.2         0.0.0.0/0          udp spt:53 dpts:1025:65535 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:25 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:21 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:23 flags:0x16/0x02 ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:67:68 dpts:67:68 ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:67:68 dpts:67:68 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpts:0:1023 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:2049 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpts:0:1023 reject-with icmp-port-unreachable REJECT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:2049 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpts:6000:6009 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:7100 flags:0x16/0x02 reject-with icmp-port-unreachable
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Вопрос по IPTABLES и портам"
	Сообщение от Xela on 16-Янв-04, 13:36  (MSK)
	iptables -I FORWARD 1 -s твой_ип -j ACCEPT iptables -I FORWARD 2 -d твой_ип -j ACCEPT
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 13:47  (MSK)
	>iptables -I FORWARD 1 -s твой_ип -j ACCEPT >iptables -I FORWARD 2 -d твой_ип -j ACCEPT Chain INPUT (policy ACCEPT) target     prot opt source               destination         RH-Lokkit-0-50-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           Chain FORWARD (policy ACCEPT) target     prot opt source               destination         ACCEPT     all  --  10.10.1.1            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            10.10.1.1           RH-Lokkit-0-50-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT) target     prot opt source               destination         Chain RH-Lokkit-0-50-INPUT (2 references) target     prot opt source               destination         ACCEPT     udp  --  212.26.128.3         0.0.0.0/0          udp spt:53 dpts:1025:65535 ACCEPT     udp  --  212.26.128.2         0.0.0.0/0          udp spt:53 dpts:1025:65535 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:25 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:21 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:23 flags:0x16/0x02 ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:67:68 dpts:67:68 ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:67:68 dpts:67:68 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpts:0:1023 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:2049 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpts:0:1023 reject-with icmp-port-unreachable REJECT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:2049 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpts:6000:6009 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:7100 flags:0x16/0x02 reject-with icmp-port-unreachable   Webmoney все равно не коннектиться
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Вопрос по IPTABLES и портам"
	Сообщение от open on 16-Янв-04, 13:30  (MSK)
	может стоит еще iptables -t filter -P FORWARD ACCEPT  ??? >>заменить >>>>iptables -t nat POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1 >>на >>iptables -t nat -А POSTROUTING -s твой_ип -j SNAT --to-source 1.1.1.1 > > >Правило добавилось, но все равно ничего не изменилось. Пинги наружу не идут >и webmoney не работает (а в принципе вся проблема именно из-за >него).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Вопрос по IPTABLES и портам"
	Сообщение от Xela on 16-Янв-04, 14:00  (MSK)
	Все остальное-то работает??? Если да -- значит проблема в Webmoney. Если это комплексный протокол(т.е. он пытется сам на твою машину законектиться) то его надо прокидывать через НАТ. Надо будет выяснить на какой порт он коннектиться к тебе и сделать iptables -t nat PREROUTING -s webmoney_address -p tcp --dport port -j DNAT --to-destination твой_ип Серьезная проблема в том, что порт на который может хотеть обратиться вебманей может выбираться рандомнно.... Тогда без connection tracking-а это не решить. А conntrack модулей под Webmoney я не видел.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 14:02  (MSK)
	>Все остальное-то работает??? >Если да -- значит проблема в Webmoney. Если это комплексный протокол(т.е. он >пытется сам на твою машину законектиться) то его надо прокидывать через >НАТ. > >Надо будет выяснить на какой порт он коннектиться к тебе и сделать > > >iptables -t nat PREROUTING -s webmoney_address -p tcp --dport port -j DNAT >--to-destination твой_ип > >Серьезная проблема в том, что порт на который может хотеть обратиться вебманей >может выбираться рандомнно.... Тогда без connection tracking-а это не решить. А >conntrack модулей под Webmoney я не видел. Webmoney коннектиться на 5-7 адресов на порт 2802.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Вопрос по IPTABLES и портам"
	Сообщение от Xela on 16-Янв-04, 14:08  (MSK)
	>Webmoney коннектиться на 5-7 адресов на порт 2802. не. ты не понял. это ты коннектишься к ним на 2802 порт. А они могут самостоятельно коннектится к тебе... Как фтп, например. Хотя, я вот сейчас посмотрел... У меня все ходит. правда у меня на файрволе есть такие правила: iptables -I FORWARD 1 -p tcp --dport 2802 -j ACCEPT iptables -I FORWARD 1 -p udp --dport 2802 -j ACCEPT
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 14:13  (MSK)
	>>Webmoney коннектиться на 5-7 адресов на порт 2802. >не. ты не понял. это ты коннектишься к ним на 2802 порт. > >А они могут самостоятельно коннектится к тебе... >Как фтп, например. > > >Хотя, я вот сейчас посмотрел... У меня все ходит. >правда у меня на файрволе есть такие правила: >iptables -I FORWARD 1 -p tcp --dport 2802 -j ACCEPT >iptables -I FORWARD 1 -p udp --dport 2802 -j ACCEPT Только что задал такие же правила, не помогло... Трабл. Кстати, когда я напрямую соеденяю машину (с XP) с инетом, все работает. Даю распечатку Chain INPUT (policy ACCEPT) target     prot opt source               destination         RH-Lokkit-0-50-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           Chain FORWARD (policy ACCEPT) target     prot opt source               destination         ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:2802 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:2802 ACCEPT     all  --  10.10.1.1            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            10.10.1.1           RH-Lokkit-0-50-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT) target     prot opt source               destination         Chain RH-Lokkit-0-50-INPUT (2 references) target     prot opt source               destination         ACCEPT     udp  --  212.26.128.3         0.0.0.0/0          udp spt:53 dpts:1025:65535 ACCEPT     udp  --  212.26.128.2         0.0.0.0/0          udp spt:53 dpts:1025:65535 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:25 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:21 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 flags:0x16/0x02 ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:23 flags:0x16/0x02 ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:67:68 dpts:67:68 ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spts:67:68 dpts:67:68 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpts:0:1023 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:2049 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpts:0:1023 reject-with icmp-port-unreachable REJECT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:2049 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpts:6000:6009 flags:0x16/0x02 reject-with icmp-port-unreachable REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:7100 flags:0x16/0x02 reject-with icmp-port-unreachable
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Вопрос по IPTABLES и портам"
	Сообщение от Xela on 16-Янв-04, 14:15  (MSK)
	ну тогда еще и iptables -n -t nat -L
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 14:18  (MSK)
	>ну тогда еще и >iptables -n -t nat -L Chain PREROUTING (policy ACCEPT) target     prot opt source               destination         DNAT       tcp  --  212.118.48.75        0.0.0.0/0          tcp dpt:2802 to:10.10.1.1 Chain POSTROUTING (policy ACCEPT) target     prot opt source               destination         Chain OUTPUT (policy ACCEPT) target     prot opt source               destination Могу дать доступ по SSH. Кстати, у тебя аська есть?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Вопрос по IPTABLES и портам"
	Сообщение от Xela on 16-Янв-04, 14:27  (MSK)
	Минуточку!!!! Я просил это делать только в случае если сам вебмани лезет на твой комп. Мы уже выяснили что это не так, так что этого не надо. >DNAT       tcp  --  212.118.48.75 >       0.0.0.0/0     >      tcp dpt:2802 to:10.10.1.1 У тебя должно быть только iptables -t nat -A POSTROUTING твой_локальный_ип_адрес -j SNAT -to-source твой_глобальный_ип_адрес где твой_локальный_ип_адрес --- адрес машины с виндами твой_глобальный_ип_адрес --- адрес кторый тебе выдал провайдер.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Вопрос по IPTABLES и портам"
	Сообщение от Lopotuh on 16-Янв-04, 14:32  (MSK)
	>Минуточку!!!! >Я просил это делать только в случае если сам вебмани лезет на >твой комп. >Мы уже выяснили что это не так, так что этого не надо. > > >>DNAT       tcp  --  212.118.48.75 >>       0.0.0.0/0     >>      tcp dpt:2802 to:10.10.1.1 > >У тебя должно быть только >iptables -t nat -A POSTROUTING твой_локальный_ип_адрес -j SNAT -to-source твой_глобальный_ип_адрес > >где >твой_локальный_ип_адрес --- адрес машины с виндами >твой_глобальный_ип_адрес --- адрес кторый тебе выдал провайдер. Ему не нравиться формулировка. Пишет Bad argument 10.10.1.1 Я так понял, что нужно писать -s 10.10.1.1 , а что нужно писать перед моим глобальным айпи?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Вопрос по IPTABLES и портам"
	Сообщение от Junior on 17-Янв-04, 16:40  (MSK)
	Если webmoney сам назначает порт с твоей стороны на который он будет коннектится после установленного соединения, то нужно проверить состояния соединений -m state RELATED разрешить. Я вообще-то не имел опыта работы с webmoney, но не думаю, что чем-то кардинальным отличается. Посмотри в логи на чём затыкается, разрешай по этим сообщениям коннекты, внимательней смотри на то, с каким флагами отброшен пакет, на каких портах работает. Там всё видно. Чтобы меньше получать отетов типа bad argument внимательно ознакомьтесь с Iptables tutorial - там ответы на многие вопросы. Удачи.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Вопрос по IPTABLES и портам"
	Сообщение от zabudkin on 17-Мрт-04, 12:44  (MSK)
	Боже мой :))) Да на машине с XP в качестве шлюза и DNS сервера надо указать адрес Linux машины!!! Грамотеи.....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Вопрос по IPTABLES и портам"
	Сообщение от Sergey on 17-Мрт-04, 12:51  (MSK)
	>Боже мой :))) >Да на машине с XP в качестве шлюза и DNS сервера надо >указать адрес Linux машины!!! Грамотеи..... Какие мы умные... Да я тоже вроде не пальцем деланный... iptables не пропускает пакеты. При чем здесь шлюз и DNS? Просто нужно было прописать на iptables правила, чтоб он с XP все пакеты пропускал туда и назад.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Вопрос по IPTABLES и портам"
	Сообщение от calculator (??) on 22-Июн-04, 10:08  (MSK)
	да по моему тут все проще: iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -j DROP работает без всяких conntrack модулей для вебмани. Почему, догадаться не сложно...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.