The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables проброс порта "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение [ Отслеживать ]

"iptables проброс порта "  +/
Сообщение от parel77 (ok) on 27-Сен-10, 14:19 
Вопрос довольно банален, сделать надо из внутренной сети с адресом 192.168.0.5 пробросить в инет на реальный адрес xx.xx.xx.xx порт 5580

подскажите, где ошибка ?

# Generated by iptables-save v1.4.6 on Mon Sep 27 14:13:03 2010
*nat
:PREROUTING ACCEPT [3270721:171454798]
:POSTROUTING ACCEPT [13136:791510]
:OUTPUT ACCEPT [222162:14039334]
:L - [0:0]
-A PREROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j DNAT --to-destination xx.xx.xx.xx:5580
-A POSTROUTING -d 85.173.112.146/32 -p tcp -m tcp --dport 5580 -j SNAT --to-source 192.168.0.5
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.35
COMMIT
# Completed on Mon Sep 27 14:13:03 2010
# Generated by iptables-save v1.4.6 on Mon Sep 27 14:13:03 2010
*filter
:INPUT ACCEPT [105773:72570216]
:FORWARD DROP [1241:60472]
:OUTPUT ACCEPT [110304:77717608]
:L - [0:0]
-A FORWARD -s 192.168.0.4/32 -j ACCEPT
-A FORWARD -s 192.168.0.55/32 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 25,110 -j ACCEPT
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT
COMMIT
# Completed on Mon Sep 27 14:13:03 2010

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables проброс порта "  +/
Сообщение от Andrey Mitrofanov on 27-Сен-10, 14:58 
>Вопрос довольно банален, сделать надо из внутренной сети с адресом 192.168.0.5 пробросить
>в инет на реальный адрес xx.xx.xx.xx порт 5580
>
>подскажите, где ошибка ?

Ошибка где-то там. (почти-С) Секретные материалы.

# cat ./1p.ort-and-more_firehol.conf
version 5

MELOC=192.168.0.31
IFLOC=eth0
  NETLOC=192.168.0.0/24

MEEXT=85.173.112.146
IFEXT=eth1

#1 port
  SERVER=192.168.0.5
  PT=5580
dnat to "$SERVER:$PT" inface "$IFEXT" dst "$MEEXT" proto tcp dport "$PT"

#SNAT localnet to ext.net
snat to "$MEEXT" outface "$IFEXT" src "$NETLOC"

interface any fromme
        client any 2 accept

router 2ii inface "$IFLOC" outface "$IFEXT" src "$NETLOC"
        client any 1 accept src "192.168.0.4 192.168.0.55"
        client "dns pop3 smtp" accept

        server_p5580_ports="tcp/$PT"
        client_p5580_ports="default"
        server p5580 accept dst "$SERVER"
# firehol ./1port-and-more_firehol.conf debug |./explain-sorter
-N out_2ii_p5580_s5
-A out_2ii_p5580_s5 -p tcp -s 192.168.0.5 --sport 5580 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-N in_2ii_p5580_s5
-A in_2ii_p5580_s5 -p tcp --sport 1024:65535 -d 192.168.0.5 --dport 5580 -m state --state NEW,ESTABLISHED -j ACCEPT
-N out_2ii_smtp_c4
-A out_2ii_smtp_c4 -p tcp --sport 1024:65535 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_2ii_smtp_c4
-A in_2ii_smtp_c4 -p tcp --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-N out_2ii_pop3_c3
-A out_2ii_pop3_c3 -p tcp --sport 1024:65535 --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_2ii_pop3_c3
-A in_2ii_pop3_c3 -p tcp --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-N out_2ii_dns_c2
-A out_2ii_dns_c2 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-A out_2ii_dns_c2 -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_2ii_dns_c2
-A in_2ii_dns_c2 -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-A in_2ii_dns_c2 -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-N out_2ii_any_c1
-A out_2ii_any_c1 -s 192.168.0.4 -m state --state NEW,ESTABLISHED -j ACCEPT
-A out_2ii_any_c1 -s 192.168.0.55 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_2ii_any_c1
-A in_2ii_any_c1 -d 192.168.0.4 -m state --state ESTABLISHED -j ACCEPT
-A in_2ii_any_c1 -d 192.168.0.55 -m state --state ESTABLISHED -j ACCEPT
-N out_2ii
-A out_2ii -j out_2ii_any_c1
-A out_2ii -j out_2ii_dns_c2
-A out_2ii -j out_2ii_pop3_c3
-A out_2ii -j out_2ii_smtp_c4
-A out_2ii -j out_2ii_p5580_s5
-A out_2ii -m state --state RELATED -j ACCEPT
-N in_2ii
-A in_2ii -j in_2ii_any_c1
-A in_2ii -j in_2ii_dns_c2
-A in_2ii -j in_2ii_pop3_c3
-A in_2ii -j in_2ii_smtp_c4
-A in_2ii -j in_2ii_p5580_s5
-A in_2ii -m state --state RELATED -j ACCEPT
-N out_fromme_any_c1
-A out_fromme_any_c1 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_fromme_any_c1
-A in_fromme_any_c1 -m state --state ESTABLISHED -j ACCEPT
-N out_fromme
-A out_fromme -j out_fromme_any_c1
-A out_fromme -m state --state RELATED -j ACCEPT
-A out_fromme -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''OUT-fromme':'
-A out_fromme -j DROP
-N in_fromme
-A in_fromme -j in_fromme_any_c1
-A in_fromme -m state --state RELATED -j ACCEPT
-A in_fromme -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''IN-fromme':'
-A in_fromme -j DROP
-A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -j in_2ii
-A FORWARD -i eth1 -o eth0 -d 192.168.0.0/24 -j out_2ii
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='PASS-unknown:'
-A FORWARD -j DROP
-A OUTPUT -j out_fromme
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='OUT-unknown:'
-A OUTPUT -j DROP
-A INPUT -j in_fromme
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='IN-unknown:'
-A INPUT -j DROP
-t nat -N nat.1
-t nat -A PREROUTING -i eth1 -p tcp -d 85.173.112.146 --dport 5580 -j nat.1
-t nat -A nat.1 -p tcp -j DNAT --to-destination 192.168.0.5:5580
-t nat -N nat.2
-t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j nat.2
-t nat -A nat.2 -j SNAT --to-source 85.173.112.146
# exit

Как-то так, если с копи-пастой ничего не напутал.

И да, после сборки  _обработать _напильником!!

+++http://www.google.ru/search?q=mitrofanov+firehol+site%3...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "iptables проброс порта "  +/
Сообщение от reader (ok) on 27-Сен-10, 15:18 
>[оверквотинг удален]
>-A FORWARD -s 192.168.0.55/32 -j ACCEPT
>-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
>-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
>-A FORWARD -p tcp -m multiport --dports 25,110 -j ACCEPT
>-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
>
>-A FORWARD -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT
>
>COMMIT
># Completed on Mon Sep 27 14:13:03 2010

машина с 192.168.0.5 влокалке?
откуда будет обращение на 192.168.0.5 из инете или из локалки?
вы уверены что пакет для 192.168.0.5 пришел на эту машину?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "iptables проброс порта "  +/
Сообщение от parel77 (ok) on 27-Сен-10, 15:30 
>[оверквотинг удален]
>>-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
>>
>>-A FORWARD -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT
>>
>>COMMIT
>># Completed on Mon Sep 27 14:13:03 2010
>
>машина с 192.168.0.5 влокалке?
>откуда будет обращение на 192.168.0.5 из инете или из локалки?
>вы уверены что пакет для 192.168.0.5 пришел на эту машину?

машина в локале 192.168.0.5
обращение будет с инета (клиент банк)
не уверен

схема:
192.168.0.5(внут локалка)----- шлюз (192.168.0.2)--------xx.xx.xx.xx(Сервер клиент банка)
                      


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "iptables проброс порта "  +/
Сообщение от reader (ok) on 27-Сен-10, 15:46 
>[оверквотинг удален]
>>>
>>>COMMIT
>>># Completed on Mon Sep 27 14:13:03 2010
>>
>>машина с 192.168.0.5 влокалке?
>>откуда будет обращение на 192.168.0.5 из инете или из локалки?
>>вы уверены что пакет для 192.168.0.5 пришел на эту машину?
>
>машина в локале 192.168.0.5
>обращение будет с инета (клиент банк)

192.168.0.5 это серый ip как к нему буду обращаться?
может с 192.168.0.5 будут обращаться к xx.xx.xx.xx(Сервер клиент банка)?
если все таки с xx.xx.xx.xx(Сервер клиент банка) то обращение наверна на ваш внешний ip

>не уверен

tcpdump покажит что есть

>
>схема:
>192.168.0.5(внут локалка)----- шлюз (192.168.0.2)--------xx.xx.xx.xx(Сервер клиент банка)
>

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "iptables проброс порта "  +/
Сообщение от parel77 (ok) on 27-Сен-10, 15:49 
>[оверквотинг удален]
>внешний ip
>
>>не уверен
>
>tcpdump покажит что есть
>
>>
>>схема:
>>192.168.0.5(внут локалка)----- шлюз (192.168.0.2)--------xx.xx.xx.xx(Сервер клиент банка)
>>

может с 192.168.0.5 будут обращаться к xx.xx.xx.xx(Сервер клиент банка) именно так выход просто через шлюз, на шлюзе 2 сетевые карты
192.168.0.2 смотрит в локальную сеть
192.168.1.35 смотрит в инет (ADSL)
192.168.0.5 (комп буха где стоит прога клиент банка )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "iptables проброс порта "  +/
Сообщение от reader (ok) on 27-Сен-10, 16:05 
>[оверквотинг удален]
>>>
>>>схема:
>>>192.168.0.5(внут локалка)----- шлюз (192.168.0.2)--------xx.xx.xx.xx(Сервер клиент банка)
>>>
>
>может с 192.168.0.5 будут обращаться к xx.xx.xx.xx(Сервер клиент банка) именно так выход
>просто через шлюз, на шлюзе 2 сетевые карты
>192.168.0.2 смотрит в локальную сеть
>192.168.1.35 смотрит в инет (ADSL)
>192.168.0.5 (комп буха где стоит прога клиент банка )

на 192.168.0.5 шлюзом указать 192.168.0.2 и прописать dns сервера если обращения по имени , а не по ip будет.

убрать это
-A PREROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j DNAT --to-destination xx.xx.xx.xx:5580
-A POSTROUTING -d 85.173.112.146/32 -p tcp -m tcp --dport 5580 -j SNAT --to-source 192.168.0.5

изменить
-A FORWARD -d 192.168.0.55/32 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
на
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


-A FORWARD -d 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT
на
-A FORWARD -s 192.168.0.5/32 -p tcp -m tcp --dport 5580 -j ACCEPT

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру