|
|
|
VNIMANIE: Izpolzvaite forumite na saita za da zadadete vashite vuprosi.
| Vupros |
| Ot: HEHO |
Data: 06/16/2003 |
Zdrasti narode!
Abe da mu se nevidi,neshto nemoga da se opravq s tozi DNAT.
Znachi ideqta e slednata:
Imam edna mashina koqto e GW (xxx.xxx.xxx.xxx) i imam i edno
pc koeto e vyv vytreshnata mreja (yyy.yyy.yyy.yyy),koeto ne
e maskaradnato.
Iskam da moga kato izpylnq da rechem "telnet xxx.xxx.xxx.xxx
33333" i zaqvkata da se preroutira na vytreshnoto pc s adres
"yyy.yyy.yyy.yyy:23".
Eto kakvo sym napravil az:
>iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp
--dport 33333 -j DNAT --to-destination yyy.yyy.yyy.yyy:23
>iptables -t nat POSTROUTING -s yyy.yyy.yyy.yyy --sport 23
-j MASQUERADE
Propusnal li sym neshto,che neshte da raboti?Dava mi samo
che se opitva da se vyrje i sled izvestno vreme mi dava time
out.Kato proverq "/proc/net/ip_conntrack" i mi dava che na
paketa ne e otgovoreno [UNREPLIED].
|
| Otgovor #1 |
| Ot: hint |
Data: 06/16/2003 |
po-printsip ti e viarna postanovkata, tova koeto ne mi
hresva:
1. vuv vtoroto pravlo triabva da imash edno -A pred
POSTROUTING, sigurno si go izial pri pisaneto :)
2. Zashto v ednata posoka polzvash DNAT, a v drugata MASQUERADE
?
po-logichno e da polzvash SNAT - triabva da promenish sport ot
23 na 33333 - klienta ochakva da polui otgovora ot sushtiia
port, kum koito e izpratil zaiavkata
nai-dobre pogledni s niakoi snifer do kude stigat paketite -
i v dvete posoki. Nai veroiatno ti poluchavash otgovora na
niakoi proizvolen port (ne 33333), a tova ne se haresva na
klienta :)
|
| Otgovor #2 |
| Ot: HEHO |
Data: 06/16/2003 |
Tova za A-to sym go prospusnal v pisaneto.
Znachi ako pravilno sym te razbral pyrviq rule si ostava
taka i promenqm samo vtoriq da izglejda v tozi vid:
>iptables -t nat -A POSTROUTING -s yyy.yyy.yyy.yyy --sport
23
-j SNAT --to-source xxx.xxx.xxx.xxx:33333
|
| Otgovor #3 |
| Ot: hint |
Data: 06/16/2003 |
da, tochno taka (mozhe da mu slozhish i -p , kakto e v purvoto
pravilo)
probvai go tova i kazhi dali ima uspeh :))
problema mozhe da e drugade, tova e samo predpolozhenie
|
| Otgovor #4 |
| Ot: HEHO |
Data: 06/16/2003 |
Napravih go tova,no shte vidq kato se pribera dovechera dali
shte stane,che neshto ot pc-to tuka v ofisa mi dava syshtiq
rezultat.Pyk ako pak nestane ,togava veche neznam kvo she
pravim :))
|
| Otgovor #5 |
| Ot: HEHO |
Data: 06/16/2003 |
Eiiii da mu se nevidi i taka ne stava.
Abe ima li nqkoi koito e pravil takova neshto che da dade
edin primer tuka
kak stava
|
| Otgovor #6 |
| Ot: hint |
Data: 06/17/2003 |
todava nai-lesniia nachin da razberesh kude e problema e da
pusnesh edin snifer predi i sled GW-to i da vidish kak
izglezhdat telnet paketite
v konfig. skripta imash li drugi pravila, svurzani s
uuu.uuu.uuu.uuu ? ako da - kakvi sa i kude se namirat spriamo
pravilata za SNAT i DNAT (po-nagore ili po-nadalu) ?
|
| Otgovor #7 |
| Ot: HEHO |
Data: 06/17/2003 |
Ami rabotata e slednata:
paketa minava prez GW,otiva do pc-to,to otgovarq,i paketa se
vryshta otnovo v GW i tam se precakva rabotata :))
A pyk otnostno pravila za yyy.yyy.yyy.yyy-nqmam drugi,prosto
reshih da izprobvam da vidq kakvo shte stane,che cheta
iptables manual-a :)).Interesuva me v koi drugi chain-ove
trqbva da ima nqkakvi pravila svyrzani s DNAT,che mai kato
gledam neshtata ne stavat samo s PREROUTING chain-a,i me
navejda na misylta che ima oshte neshto propusnato
|
| Otgovor #8 |
| Ot: HEHO |
Data: 06/17/2003 |
Ami rabotata e slednata:
paketa minava prez GW,otiva do pc-to,to otgovarq,i paketa se
vryshta otnovo v GW i tam se precakva rabotata :))
A pyk otnostno pravila za yyy.yyy.yyy.yyy-nqmam drugi,prosto
reshih da izprobvam da vidq kakvo shte stane,che cheta
iptables manual-a :)).Interesuva me v koi drugi chain-ove
trqbva da ima nqkakvi pravila svyrzani s DNAT,che mai kato
gledam neshtata ne stavat samo s PREROUTING chain-a,i me
navejda na misylta che ima oshte neshto propusnato
|
| Otgovor #9 |
| Ot: hint |
Data: 06/17/2003 |
ami mnogo pravilno si gi naglasil verigite - DNAT-a se slaga
v PREROUTING i LOCAL-OUT verigite, a SNAT-a v POSTROUTING
verigata.
Zatova si mislia che e po-veroiatno da imash drugi pravila,
koito da vlizat v konflikt s tezi dvete
kak tochno se "precakva rabotata" - paketa vliza v GW i neshte
da izleze, ili izliza,ama ne izglezhda kakto triabva ?
|
| Otgovor #10 |
| Ot: HEHO |
Data: 06/17/2003 |
Vliza v GW i neshte da izleze shibania paket :))
Shte se porazrovq malko kato mi ostane vreme da vidq dali
nqma da namerq neshto iz neta kato primer za port
forwarding-a
|
| Otgovor #12 |
| Ot: SADMIN (sadmin__at__abv< dot >bg) |
Data: 06/18/2003 |
vish sq az ko izpolzvam i koeto bachka i sam go testval
shoto taka opravliavam 5 server s edin ip na razlichno
portove :
#!/bin/sh
# added by sadmin
IPTABLES="/usr/src/iptables"
#Flush all rules in INPUT chain
>$IPTABLES -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp
--dport 200 -j DNAT --to-destination yyy.yyy.yyy.yyy:200
ili tam kakavto port si iskash i nemash griji tva e ako ne
shte neshto pratimi tva deto si go napisal v rc.firewall ili
tam kakto ti se kazva firewalla i shti kaja ako ima neshto
dali si obarkal ae uspeh !!! "SADMIN GROUP"
|
| Otgovor #13 |
| Ot: niki |
Data: 06/18/2003 |
zrasti neno,
spored men problema ti e v tova, che dropish vsichki paketi
v GW bzw yyy.yyy....
ima edno pravilo, koeto kazva "vsichko, koeto izliza ot tuk
mu e razresheno da se vryshta"
shte ti prepisha kak razreshavam ssh-to pri men - moje i da
ti pomogne:
iptables -A INPUT -p TCP --dport 22 -i eth1 -d
xxx.xxx.xxx.xxx/32 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 22 -o eth1 -s
xxx.xxx.xxx.xxx/32 -m state --state ESTABLISHED,RELATED -j
ACCEPT
kato kazvash che ot GW ne se vryshta nikakyv paket
predpolagam che tam ti e problem...
uspeh
|
| Otgovor #14 |
| Ot: SGM (sgm __@__ abv[ tochka ]bg) |
Data: 06/18/2003 |
Saglasen sam za state-a, no ne trqbva li toi vse pak da e
vav forward chain-a???
|
| Otgovor #15 |
| Ot: niki (niki78__at__gmx__dot__de) |
Data: 06/19/2003 |
SGM, forward - a mi e stat drop :))
tuk imam edin malyk script, kojto e naj-prostia firewall:
1 zabranjavam vsichko
2 razreshavam neobhodimoto
3 puskam net kym 2-ro pc (za koeto mi pomogna ROSI - mercy)
#!/bin/bash
#
# enabling rosis notebook
#
# 1. enabling masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
# 2. load modules
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_REJECT
# 3. load ruleset
# standard ruleset: alles verbieten = zabranjavam vsichko
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
# ssh-freischaltung = ssh-razreshavane
# /sbin/iptables -A INPUT -p TCP --dport 22 -i eth1 -d
xxx.xxx.xxx.xxx/32 -j ACCEPT
# /sbin/iptables -A OUTPUT -p TCP --sport 22 -o eth1 -s
xxx.xxx.xxx.xxx/32 -m state --state ESTABLISHED,RELATED -j
ACCEPT
# gegen spoofing (adress klau) = s/y krajba na adres
/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j DROP
/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth1 -s 224.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth1 -s xxx.xxx.xxx.xxx/32 -j
DROP
# tcp limit (gut gegen ddos) = s/y ddos
/sbin/iptables -A INPUT -m limit --limit 3/minute
--limit-burst 3 -j LOG
/sbin/iptables -A INPUT -j REJECT --reject-with
icmp-host-unreachable
# alles von rosi hierher = vsichko ot rosi nasam
/sbin/iptables -A INPUT -i eth0 -s 10.0.0.2/32 -j ACCEPT
# alles von hier zu rosi = vsichko ot rosi nasam
/sbin/iptables -A OUTPUT -o eth0 -d 10.0.0.2/32 -j ACCEPT
# es duerfen auch anfragen zurueck = zapitvaniata obratno
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED
-j ACCEPT
# alles von hier in die grosse boese welt = vsichko ot men
kym goljamia losh svjat :))
/sbin/iptables -A OUTPUT -s xxx.xxx.xxx.xxx/2 -j ACCEPT
# rosis masquerade
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.2/32 -o eth1
-j MASQUERADE
ne mu beshe tuk mjastoto, no se nadjavam da mi prostite ;))
shte se radvam na korekzii i predlojenia
|
<< Split na conzoli??? (0
) | recvfrom c++ (2
) >>
|
|
|
|
|
|
