The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Зашел  в тупик с пробросом портов"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Зашел  в тупик с пробросом портов"  
Сообщение от Dron0 (ok) on 31-Окт-07, 14:23 
политика по умолчанию для FORWARD ACCEPT
хочу пробросить из локальной сети 192.168.1.1:25 (через eth0)
сеть 10.159.0.0/16 на ppp0, это локальная сеть провайдера
Задача состоит чтобы из локалки провайдера достучаться до моего мэйл сервера.
iptables -t nat -A PREROUTING -p tcp -d 10.159.31.234 --dport 25 -j DNAT --to-destination 192.168.1.1:25
почему то не работает, куда копать не понятно.
Ядро 2.6.5.17, необходимые опции ядра вроде включены, модуль ip_nat загружен.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зашел  в тупик с пробросом портов"  
Сообщение от angra (ok) on 31-Окт-07, 16:04 
Попробуйте явно указать ppp0 интерфейс.
На всякий случай что в /proc/sys/net/ipv4/ip_forward.
Посмотрите что выдает iptables-save.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Зашел  в тупик с пробросом портов"  
Сообщение от Dron0 (ok) on 31-Окт-07, 16:29 
>Попробуйте явно указать ppp0 интерфейс.

пробовал, результат  нулевой

/proc/sys/net/ipv4/ip_forward включено

>Посмотрите что выдает iptables-save

тут тоже гладко
может в ядре чтото не включено, в доках для старых ядер опции указаны, а для 2.6 может что то  еще надо?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Зашел  в тупик с пробросом портов"  
Сообщение от Kliver on 31-Окт-07, 16:58 
>[оверквотинг удален]
>
>пробовал, результат  нулевой
>
>/proc/sys/net/ipv4/ip_forward включено
>
>>Посмотрите что выдает iptables-save
>
>тут тоже гладко
>может в ядре чтото не включено, в доках для старых ядер опции
>указаны, а для 2.6 может что то  еще надо?

А на компе 192.168.1.1 настроен шлюз по умолчанию?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Зашел  в тупик с пробросом портов"  
Сообщение от Dron0 (ok) on 31-Окт-07, 20:16 

>А на компе 192.168.1.1 настроен шлюз по умолчанию?

шлюз по умолчанию задан,а для ppp0
route add -net 10.159.0.0 netmask 255.255.0.0 ppp0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Зашел  в тупик с пробросом портов"  
Сообщение от AnzUl (??) on 01-Ноя-07, 12:42 
давай вывод iptables-save а то так гадать можно бесконечно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Зашел  в тупик с пробросом портов"  
Сообщение от Dron0 (ok) on 01-Ноя-07, 14:45 
>давай вывод iptables-save а то так гадать можно бесконечно

изменил ppp1(теперь это локалка провайдера) и ppp0(это инет)

asterisk:~# iptables-save
# Generated by iptables-save v1.3.6 on Thu Nov  1 14:44:55 2007
*nat
:PREROUTING ACCEPT [1011070:324922486]
:POSTROUTING ACCEPT [18671:1542669]
:OUTPUT ACCEPT [17938:1506202]
-A PREROUTING -d 10.159.54.234 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.1:25
COMMIT
# Completed on Thu Nov  1 14:44:55 2007
# Generated by iptables-save v1.3.6 on Thu Nov  1 14:44:55 2007
*filter
:INPUT DROP [39145:4283810]
:FORWARD ACCEPT [15117:726324]
:OUTPUT DROP [196:39544]
-A INPUT -i ppp1 -p icmp -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.2 -p udp -m udp --dport 137:138 -j ACCEPT
-A INPUT -s 192.168.1.2 -p udp -m udp --sport 137:138 -j ACCEPT
-A INPUT -s 192.168.1.2 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.1.2 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -s 10.159.21.121 -i ppp1 -p udp -m udp --dport 137:138 -j ACCEPT
-A INPUT -s 10.159.21.121 -i ppp1 -p udp -m udp --sport 137:138 -j ACCEPT
-A INPUT -s 10.159.21.121 -i ppp1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 10.159.21.121 -i ppp1 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -s 10.159.21.121 -i ppp1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 10.159.13.245 -i ppp1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 10.159.21.121 -i ppp1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 10.159.13.245 -i ppp1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 10.159.1.41 -i ppp1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p udp -m udp --dport 5004:5082 -j ACCEPT
-A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A OUTPUT -o ppp1 -p icmp -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Nov  1 14:44:55 2007

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Зашел  в тупик с пробросом портов"  
Сообщение от tux2002 email on 05-Ноя-07, 12:08 
Допустим пакеты доходят до 192.168.1.1:25. Как он без SNAT на шлюзе может отвечать на них? Нужно обратное преобразование.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Зашел  в тупик с пробросом портов"  
Сообщение от tux2002 email on 05-Ноя-07, 12:16 
P.S. при политиках по умолчанию ACCEPT чего Вы пытаетесь добиться своими правилами?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Зашел  в тупик с пробросом портов"  
Сообщение от Dron0 (ok) on 08-Ноя-07, 17:29 
>P.S. при политиках по умолчанию ACCEPT чего Вы пытаетесь добиться своими правилами

*filter
:INPUT DROP [39145:4283810]
:FORWARD ACCEPT [15117:726324]
:OUTPUT DROP [196:39544]
фильтрация работает прекрасно, не жалуюсь, ACCEPT только для FORWARD или я чего то не понимаю??
про SNAT можете подробно , чтобы я не плодил кучу левых постов :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Зашел  в тупик с пробросом портов"  
Сообщение от tux2002 email on 08-Ноя-07, 20:13 
>>P.S. при политиках по умолчанию ACCEPT чего Вы пытаетесь добиться своими правилами
>
>*filter
>:INPUT DROP [39145:4283810]
>:FORWARD ACCEPT [15117:726324]
>:OUTPUT DROP [196:39544]
>фильтрация работает прекрасно, не жалуюсь, ACCEPT только для FORWARD или я чего
>то не понимаю??

Это я с бадуна не всё посмотрел :)
>про SNAT можете подробно , чтобы я не плодил кучу левых постов
>:(

Могу, по памяти примерно можно так, проверь по мануалу:
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.1 --sport 25 -j SNAT --to-source 10.159.31.234

Удачи


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Зашел  в тупик с пробросом портов"  
Сообщение от tux2002 email on 09-Ноя-07, 07:48 
--to-source 10.159.31.234:25


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Зашел  в тупик с пробросом портов"  
Сообщение от Dron0 (ok) on 09-Ноя-07, 13:07 
Спасибо! Все работает как надо!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру