forum.opennet.ru - "пробросить порт tcp 4662 с помощью iptables" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"пробросить порт tcp 4662 с помощью iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"пробросить порт tcp 4662 с помощью iptables"
Сообщение от asidko (ok) on 27-Сен-08, 21:37
есть маленький linux роутер. На нем использую iptables на провайдера смотит интерфейс eth2 сеть 192.168.1.0/30 В локалке интерфейс eth3 сеть 10.1.1.0/26 В локалке есть компьютер с открытым портами 4662/tcp 4772/udp Пытаюсь проброситиь порт (для начала tcp) вот так: /usr/sbin/iptables -N EDON /usr/sbin/iptables -A EDON -p tcp --source eth2 -m state --state NEW,RELATED,ESTABLISHED --destination-port 4662 --dst 10.1.1.2 -j ACCEPT /usr/sbin/iptables -t nat -N EDON /usr/sbin/iptables -t nat -A EDON -i eth2 -p tcp --dport 4662 -j DNAT --to-destination 10.1.1.2:4662 /usr/sbin/iptables -t nat -A PREROUTING -j EDON /usr/sbin/iptables -I FORWARD -j EDON Но все равно при коннекте получаю lowid. Хотя вижу, что nat правило срабатывает: root@andrew-home:/home/sam# iptables -L -v -t nat \| grep 4662 49 2592 DNAT tcp -- eth2 any anywhere anywhere tcp dpt:4662 to:10.1.1.2:4662 root@andrew-home:/home/sam# а цепочка EDON - нет. root@andrew-home:/home/sam# iptables -L -v \| grep 4662 0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:4662 root@andrew-home:/home/sam# Подскажите, где ошибка? Спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

пробросить порт tcp 4662 с помощью iptables, Alexander Pytlev, 23:14 , 27-Сен-08, (1)

попробуй#2, Andrey Mitrofanov, 13:02 , 29-Сен-08, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "пробросить порт tcp 4662 с помощью iptables"

Сообщение от Alexander Pytlev on 27-Сен-08, 23:14

>есть маленький linux роутер. На нем использую iptables
>
>на провайдера смотит интерфейс eth2 сеть 192.168.1.0/30
>В локалке интерфейс eth3 сеть 10.1.1.0/26
>
>В локалке есть компьютер с открытым портами 4662/tcp 4772/udp
>
>Пытаюсь проброситиь порт (для начала tcp) вот так:
Попробуй так:
REMOTE_IP="10.1.1.2"
REMOTE_PORT="4662"
IN_IP="192.168.1.1"
IN_IFACE="eth2"
iptables -A INPUT -i ${IN_IFACE} -p tcp --dport ${REMOTE_PORT} -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d $IN_IP --dport ${REMOTE_PORT} -j DNAT --to-destination ${REMOTE_IP}:${REMOTE_PORT}
iptables -A FORWARD -s ${REMOTE_IP} -j ACCEPT
iptables -A FORWARD -d ${REMOTE_IP} --dport ${REMOTE_PORT} -j ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "попробуй#2"

Сообщение от Andrey Mitrofanov on 29-Сен-08, 13:02

>>есть маленький linux роутер. На нем использую iptables
>>
>>на провайдера смотит интерфейс eth2 сеть 192.168.1.0/30
>>В локалке интерфейс eth3 сеть 10.1.1.0/26
>>
>>В локалке есть компьютер с открытым портами 4662/tcp 4772/udp
>>
>>Пытаюсь проброситиь порт (для начала tcp) вот так:
>
>Попробуй так:
На firehol -- вот так примерно:
# cat edonk-forward
version 5
OUTIF=eth2
OUTA=192.168.1.2
LANA=10.1.1.1
LANIF=eth3
LANSRV=10.1.1.2
#-server_eserver_ports="tcp/4661 udp/4661 udp/4665"
#-client_eserver_ports="any"
server_eserver_ports="tcp/4662 udp/4672"
client_eserver_ports="any"
dnat to "$LANSRV" inface "$OUTIF" proto tcp dport "4662"
dnat to "$LANSRV" inface "$OUTIF" proto udp dport "4672"
router prtfwd dst "$LANSRV"
server "eserver" accept
# firehol ./edonk-forward debug |./explain-sorter
-N out_prtfwd_eserver_s1
-A out_prtfwd_eserver_s1 -p tcp --sport 4662 -m state --state ESTABLISHED -j ACCEPT
-A out_prtfwd_eserver_s1 -p udp --sport 4672 -m state --state ESTABLISHED -j ACCEPT
-N in_prtfwd_eserver_s1
-A in_prtfwd_eserver_s1 -p tcp --dport 4662 -m state --state NEW\,ESTABLISHED -j ACCEPT
-A in_prtfwd_eserver_s1 -p udp --dport 4672 -m state --state NEW\,ESTABLISHED -j ACCEPT
-N out_prtfwd
-A out_prtfwd -j out_prtfwd_eserver_s1
-A out_prtfwd -m state --state RELATED -j ACCEPT
-N in_prtfwd
-A in_prtfwd -j in_prtfwd_eserver_s1
-A in_prtfwd -m state --state RELATED -j ACCEPT
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'OUT-unknown:\'
-A OUTPUT -j DROP
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'IN-unknown:\'
-A INPUT -j DROP
-A FORWARD -d 10.1.1.2 -j in_prtfwd
-A FORWARD -s 10.1.1.2 -j out_prtfwd
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'PASS-unknown:\'
-A FORWARD -j DROP
-t nat -N nat.1
-t nat -A PREROUTING -i eth2 -p tcp --dport 4662 -j nat.1
-t nat -A nat.1 -p tcp -j DNAT --to-destination 10.1.1.2
-t nat -N nat.2
-t nat -A PREROUTING -i eth2 -p udp --dport 4672 -j nat.2
-t nat -A nat.2 -p udp -j DNAT --to-destination 10.1.1.2
# _
...по следам 1port-forward http://www.opennet.me/openforum/vsluhforumID10/3736.html#3 .
Да! Там ещё где-нибудь надо -- /sbin/sysctl -w net.ipv4.ip_forward=1 -- включать.
+ про port farwarding
http://www.opennet.me/openforum/vsluhforumID13/413.html#3
+ #2, про firehol
http://www.opennet.me/openforum/vsluhforumID10/3764.html#2
http://www.opennet.me/openforum/vsluhforumID1/81486.html#4
http://www.opennet.me/openforum/vsluhforumID1/81413.html#7
и пр., и пр. ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "пробросить порт tcp 4662 с помощью iptables"
Сообщение от Alexander Pytlev on 27-Сен-08, 23:14
>есть маленький linux роутер. На нем использую iptables > >на провайдера смотит интерфейс eth2 сеть 192.168.1.0/30 >В локалке интерфейс eth3 сеть 10.1.1.0/26 > >В локалке есть компьютер с открытым портами 4662/tcp 4772/udp > >Пытаюсь проброситиь порт (для начала tcp) вот так: Попробуй так: REMOTE_IP="10.1.1.2" REMOTE_PORT="4662" IN_IP="192.168.1.1" IN_IFACE="eth2" iptables -A INPUT -i ${IN_IFACE} -p tcp --dport ${REMOTE_PORT} -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d $IN_IP --dport ${REMOTE_PORT} -j DNAT --to-destination ${REMOTE_IP}:${REMOTE_PORT} iptables -A FORWARD -s ${REMOTE_IP} -j ACCEPT iptables -A FORWARD -d ${REMOTE_IP} --dport ${REMOTE_PORT} -j ACCEPT
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "попробуй#2"
	Сообщение от Andrey Mitrofanov on 29-Сен-08, 13:02
	>>есть маленький linux роутер. На нем использую iptables >> >>на провайдера смотит интерфейс eth2 сеть 192.168.1.0/30 >>В локалке интерфейс eth3 сеть 10.1.1.0/26 >> >>В локалке есть компьютер с открытым портами 4662/tcp 4772/udp >> >>Пытаюсь проброситиь порт (для начала tcp) вот так: > >Попробуй так: На firehol -- вот так примерно: # cat edonk-forward version 5 OUTIF=eth2 OUTA=192.168.1.2 LANA=10.1.1.1 LANIF=eth3 LANSRV=10.1.1.2 #-server_eserver_ports="tcp/4661 udp/4661 udp/4665" #-client_eserver_ports="any" server_eserver_ports="tcp/4662 udp/4672" client_eserver_ports="any" dnat to "$LANSRV" inface "$OUTIF" proto tcp dport "4662" dnat to "$LANSRV" inface "$OUTIF" proto udp dport "4672" router prtfwd dst "$LANSRV" server "eserver" accept # firehol ./edonk-forward debug \|./explain-sorter -N out_prtfwd_eserver_s1 -A out_prtfwd_eserver_s1 -p tcp --sport 4662 -m state --state ESTABLISHED -j ACCEPT -A out_prtfwd_eserver_s1 -p udp --sport 4672 -m state --state ESTABLISHED -j ACCEPT -N in_prtfwd_eserver_s1 -A in_prtfwd_eserver_s1 -p tcp --dport 4662 -m state --state NEW\,ESTABLISHED -j ACCEPT -A in_prtfwd_eserver_s1 -p udp --dport 4672 -m state --state NEW\,ESTABLISHED -j ACCEPT -N out_prtfwd -A out_prtfwd -j out_prtfwd_eserver_s1 -A out_prtfwd -m state --state RELATED -j ACCEPT -N in_prtfwd -A in_prtfwd -j in_prtfwd_eserver_s1 -A in_prtfwd -m state --state RELATED -j ACCEPT -A OUTPUT -m state --state RELATED -j ACCEPT -A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'OUT-unknown:\' -A OUTPUT -j DROP -A INPUT -m state --state RELATED -j ACCEPT -A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'IN-unknown:\' -A INPUT -j DROP -A FORWARD -d 10.1.1.2 -j in_prtfwd -A FORWARD -s 10.1.1.2 -j out_prtfwd -A FORWARD -m state --state RELATED -j ACCEPT -A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=\'PASS-unknown:\' -A FORWARD -j DROP -t nat -N nat.1 -t nat -A PREROUTING -i eth2 -p tcp --dport 4662 -j nat.1 -t nat -A nat.1 -p tcp -j DNAT --to-destination 10.1.1.2 -t nat -N nat.2 -t nat -A PREROUTING -i eth2 -p udp --dport 4672 -j nat.2 -t nat -A nat.2 -p udp -j DNAT --to-destination 10.1.1.2 # _ ...по следам 1port-forward http://www.opennet.me/openforum/vsluhforumID10/3736.html#3 . Да! Там ещё где-нибудь надо -- /sbin/sysctl -w net.ipv4.ip_forward=1 -- включать. + про port farwarding http://www.opennet.me/openforum/vsluhforumID13/413.html#3 + #2, про firehol http://www.opennet.me/openforum/vsluhforumID10/3764.html#2 http://www.opennet.me/openforum/vsluhforumID1/81486.html#4 http://www.opennet.me/openforum/vsluhforumID1/81413.html#7 и пр., и пр. ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]