|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: HEHO |
Дата: 06/16/2003 |
Zdrasti narode!
Abe da mu se nevidi,neshto nemoga da se opravq s tozi DNAT.
Znachi ideqta e slednata:
Imam edna mashina koqto e GW (xxx.xxx.xxx.xxx) i imam i edno
pc koeto e vyv vytreshnata mreja (yyy.yyy.yyy.yyy),koeto ne
e maskaradnato.
Iskam da moga kato izpylnq da rechem "telnet xxx.xxx.xxx.xxx
33333" i zaqvkata da se preroutira na vytreshnoto pc s adres
"yyy.yyy.yyy.yyy:23".
Eto kakvo sym napravil az:
>iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp
--dport 33333 -j DNAT --to-destination yyy.yyy.yyy.yyy:23
>iptables -t nat POSTROUTING -s yyy.yyy.yyy.yyy --sport 23
-j MASQUERADE
Propusnal li sym neshto,che neshte da raboti?Dava mi samo
che se opitva da se vyrje i sled izvestno vreme mi dava time
out.Kato proverq "/proc/net/ip_conntrack" i mi dava che na
paketa ne e otgovoreno [UNREPLIED].
|
Отговор #1 |
От: hint |
Дата: 06/16/2003 |
по-принцип ти е вярна постановката, това което не ми
хресва:
1. във второто правло трябва да имаш едно -А пред
POSTROUTING, сигурно си го изял при писането :)
2. Защо в едната посока ползваш DNAT, а в другата MASQUERADE
?
по-логично е да ползваш SNAT - трябва да промениш sport от
23 на 33333 - клиента очаква да полуи отговора от същия
порт, към който е изпратил заявката
най-добре погледни с някой снифер до къде стигат пакетите -
и в двете посоки. Най вероятно ти получаваш отговора на
някой произволен порт (не 33333), а това не се харесва на
клиента :)
|
Отговор #2 |
От: HEHO |
Дата: 06/16/2003 |
Tova za A-to sym go prospusnal v pisaneto.
Znachi ako pravilno sym te razbral pyrviq rule si ostava
taka i promenqm samo vtoriq da izglejda v tozi vid:
>iptables -t nat -A POSTROUTING -s yyy.yyy.yyy.yyy --sport
23
-j SNAT --to-source xxx.xxx.xxx.xxx:33333
|
Отговор #3 |
От: hint |
Дата: 06/16/2003 |
да, точно така (може да му сложиш и -p , както е в първото
правило)
пробвай го това и кажи дали има успех :))
проблема може да е другаде, това е само предположение
|
Отговор #4 |
От: HEHO |
Дата: 06/16/2003 |
Napravih go tova,no shte vidq kato se pribera dovechera dali
shte stane,che neshto ot pc-to tuka v ofisa mi dava syshtiq
rezultat.Pyk ako pak nestane ,togava veche neznam kvo she
pravim :))
|
Отговор #5 |
От: HEHO |
Дата: 06/16/2003 |
Eiiii da mu se nevidi i taka ne stava.
Abe ima li nqkoi koito e pravil takova neshto che da dade
edin primer tuka
kak stava
|
Отговор #6 |
От: hint |
Дата: 06/17/2003 |
тодава най-лесния начин да разбереш къде е проблема е да
пуснеш един снифер преди и след GW-то и да видиш как
изглеждат телнет пакетите
в конфиг. скрипта имаш ли други правила, свързани с
ууу.ууу.ууу.ууу ? ако да - какви са и къде се намират спрямо
правилата за SNAT и DNAT (по-нагоре или по-надалу) ?
|
Отговор #7 |
От: HEHO |
Дата: 06/17/2003 |
Ami rabotata e slednata:
paketa minava prez GW,otiva do pc-to,to otgovarq,i paketa se
vryshta otnovo v GW i tam se precakva rabotata :))
A pyk otnostno pravila za yyy.yyy.yyy.yyy-nqmam drugi,prosto
reshih da izprobvam da vidq kakvo shte stane,che cheta
iptables manual-a :)).Interesuva me v koi drugi chain-ove
trqbva da ima nqkakvi pravila svyrzani s DNAT,che mai kato
gledam neshtata ne stavat samo s PREROUTING chain-a,i me
navejda na misylta che ima oshte neshto propusnato
|
Отговор #8 |
От: HEHO |
Дата: 06/17/2003 |
Ami rabotata e slednata:
paketa minava prez GW,otiva do pc-to,to otgovarq,i paketa se
vryshta otnovo v GW i tam se precakva rabotata :))
A pyk otnostno pravila za yyy.yyy.yyy.yyy-nqmam drugi,prosto
reshih da izprobvam da vidq kakvo shte stane,che cheta
iptables manual-a :)).Interesuva me v koi drugi chain-ove
trqbva da ima nqkakvi pravila svyrzani s DNAT,che mai kato
gledam neshtata ne stavat samo s PREROUTING chain-a,i me
navejda na misylta che ima oshte neshto propusnato
|
Отговор #9 |
От: hint |
Дата: 06/17/2003 |
ами много правилно си ги нагласил веригите - DNAT-а се слага
в PREROUTING и LOCAL-OUT веригите, а SNAT-а в POSTROUTING
веригата.
Затова си мисля че е по-вероятно да имаш други правила,
които да влизат в конфликт с тези двете
как точно се "precakva rabotata" - пакета влиза в GW и неще
да излезе, или излиза,ама не изглежда както трябва ?
|
Отговор #10 |
От: HEHO |
Дата: 06/17/2003 |
Vliza v GW i neshte da izleze shibania paket :))
Shte se porazrovq malko kato mi ostane vreme da vidq dali
nqma da namerq neshto iz neta kato primer za port
forwarding-a
|
Отговор #12 |
От: SADMIN (sadmin__at__abv< dot >bg) |
Дата: 06/18/2003 |
vish sq az ko izpolzvam i koeto bachka i sam go testval
shoto taka opravliavam 5 server s edin ip na razlichno
portove :
#!/bin/sh
# added by sadmin
IPTABLES="/usr/src/iptables"
#Flush all rules in INPUT chain
>$IPTABLES -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp
--dport 200 -j DNAT --to-destination yyy.yyy.yyy.yyy:200
ili tam kakavto port si iskash i nemash griji tva e ako ne
shte neshto pratimi tva deto si go napisal v rc.firewall ili
tam kakto ti se kazva firewalla i shti kaja ako ima neshto
dali si obarkal ae uspeh !!! "SADMIN GROUP"
|
Отговор #13 |
От: niki |
Дата: 06/18/2003 |
zrasti neno,
spored men problema ti e v tova, che dropish vsichki paketi
v GW bzw yyy.yyy....
ima edno pravilo, koeto kazva "vsichko, koeto izliza ot tuk
mu e razresheno da se vryshta"
shte ti prepisha kak razreshavam ssh-to pri men - moje i da
ti pomogne:
iptables -A INPUT -p TCP --dport 22 -i eth1 -d
xxx.xxx.xxx.xxx/32 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 22 -o eth1 -s
xxx.xxx.xxx.xxx/32 -m state --state ESTABLISHED,RELATED -j
ACCEPT
kato kazvash che ot GW ne se vryshta nikakyv paket
predpolagam che tam ti e problem...
uspeh
|
Отговор #14 |
От: SGM (sgm (a) abv __точка__ bg) |
Дата: 06/18/2003 |
Saglasen sam za state-a, no ne trqbva li toi vse pak da e
vav forward chain-a???
|
Отговор #15 |
От: niki (niki78< at >gmx[ точка ]de) |
Дата: 06/19/2003 |
SGM, forward - a mi e stat drop :))
tuk imam edin malyk script, kojto e naj-prostia firewall:
1 zabranjavam vsichko
2 razreshavam neobhodimoto
3 puskam net kym 2-ro pc (za koeto mi pomogna ROSI - mercy)
#!/bin/bash
#
# enabling rosis notebook
#
# 1. enabling masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
# 2. load modules
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_REJECT
# 3. load ruleset
# standard ruleset: alles verbieten = zabranjavam vsichko
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
# ssh-freischaltung = ssh-razreshavane
# /sbin/iptables -A INPUT -p TCP --dport 22 -i eth1 -d
xxx.xxx.xxx.xxx/32 -j ACCEPT
# /sbin/iptables -A OUTPUT -p TCP --sport 22 -o eth1 -s
xxx.xxx.xxx.xxx/32 -m state --state ESTABLISHED,RELATED -j
ACCEPT
# gegen spoofing (adress klau) = s/y krajba na adres
/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j DROP
/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth1 -s 224.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth1 -s xxx.xxx.xxx.xxx/32 -j
DROP
# tcp limit (gut gegen ddos) = s/y ddos
/sbin/iptables -A INPUT -m limit --limit 3/minute
--limit-burst 3 -j LOG
/sbin/iptables -A INPUT -j REJECT --reject-with
icmp-host-unreachable
# alles von rosi hierher = vsichko ot rosi nasam
/sbin/iptables -A INPUT -i eth0 -s 10.0.0.2/32 -j ACCEPT
# alles von hier zu rosi = vsichko ot rosi nasam
/sbin/iptables -A OUTPUT -o eth0 -d 10.0.0.2/32 -j ACCEPT
# es duerfen auch anfragen zurueck = zapitvaniata obratno
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED
-j ACCEPT
# alles von hier in die grosse boese welt = vsichko ot men
kym goljamia losh svjat :))
/sbin/iptables -A OUTPUT -s xxx.xxx.xxx.xxx/2 -j ACCEPT
# rosis masquerade
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.2/32 -o eth1
-j MASQUERADE
ne mu beshe tuk mjastoto, no se nadjavam da mi prostite ;))
shte se radvam na korekzii i predlojenia
|
<< Split na conzoli??? (0
) | recvfrom c++ (2
) >>
|
|
|
|
|