The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"помогите, пожалуйста, с файерволом"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"помогите, пожалуйста, с файерволом"  
Сообщение от m12051 (ok) on 24-Фев-07, 13:42 
непонятная проблема с файерволом стоящим в d-link dsl-504t
не могу открыть порты на вход:-(

# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             192.168.1.37       tcp dpt:443
ACCEPT     tcp  --  anywhere             192.168.1.37       tcp dpt:www
ACCEPT     tcp  --  anywhere             192.168.1.37       tcp dpt:ftp
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS set 1360
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       icmp --  anywhere             anywhere           icmp destination-unreachable
DROP       icmp --  anywhere             anywhere           state INVALID
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere           tcp dpt:443 to:192.168.1.37:443
DNAT       tcp  --  anywhere             anywhere           tcp dpt:www to:192.168.1.37:80
DNAT       tcp  --  anywhere             anywhere           tcp dpt:ftp to:192.168.1.37:21

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
#


вроде прописывает он через вебинтерфейс все верно,
а на 37 пакеты из инета не приходят,
т.е. те, которые отправляются на 80 или 21 порт
реального внешнего ip
(да на 37 все настроено и в локалке видно)

в чем может быть проблема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "помогите, пожалуйста, с файерволом"  
Сообщение от Mikhail email(??) on 24-Фев-07, 22:51 
Не совсем понятно, что именно надо, и не видно топологии. Предполагается, что внутри сетка 192.168.1/24, внешний интерфейс с "белым" адресом, требуется проброс снаружи внутрь трафика на 80 и 21 порты?

Если угадал верно, то - вспоминаем, как обычно, что таблица nat переписывает пакеты, но никак не соотносится с разрешением их пропускать/не пропускать. Для разрешений служит -t filter, а в ней в Chain INPUT нет разрешения для этих пакетов.

Еще 5 копеек: policy ACCEPT - вещь на любителя. Лучше бы сделать -P DROP, а перед правилами -j DROP вставить правило -j LOG, на нем будет видно, что доходит до этого правила и будет вырезано следующим DROP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "помогите, пожалуйста, с файерволом"  
Сообщение от pavel_simple (ok) on 26-Фев-07, 23:15 
>разрешений служит -t filter, а в ней в Chain INPUT нет
Совершенно верно про полиси -- только в данном случае -t filter, а в ней в Chain FORWARD

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "помогите, пожалуйста, с файерволом"  
Сообщение от Mikhail email(??) on 27-Фев-07, 12:36 
Если я правильно ошибаюсь, то сначала соединение образуется на внешний порт роутера, для него это - INPUT. И только потом работает DNAT, FORWARD и пр.
Или я не понял топологии.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "помогите, пожалуйста, с файерволом"  
Сообщение от pavel_simple (ok) on 27-Фев-07, 12:44 
да я и не спорю, естественно сначало инпут, просто с данном случае у человека обычный нат, а в инпуте в данном случае обычно динамическое правило -m conntrack --ctstate RELATED,ESTABLISHED
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру