Изпечатай

[VladSun]

Цитат (KPETEH @ Май 28 2007,13:54)

Vladsun знаеш много добре че при такава политика на OUTPUT му остава само да забрани портове,които не му трябват пък и от къде да знаеш може да реши да си браузва през links от рутера :-) Аз от време на време го правя защото моята щайга постоянно има проблеми а пък рутерченцето ми милото си бачка на шест. '>

За по-голяма сигурност обикновено се прави обратното - забранява се целия трафик и се разрешава само този от/към определени портове.

А и "портове,които не му трябват" обикновено са над 65'000 '>

[KPETEH]

Като го гледам момчето е начинаещ в което няма лошо  '>
Та ако си сложи политика за OUTPUT на DROP ще стане мазало той сам обясни че му е динамично IP-то.Не стана ясно по какъв протокол си получава адреса дали е фиксиран по MAC адрес и още много питанки останаха  '>
На мен ми е лесно да си постна целия firewall ама не на всеки ше свърши работа '> Пък и хайде всеки сам да си стигне до собствената си истина '>

[sdr]

Нямаше ли един тънък момент че трябва да се разреши пакет-форвардинга за да заработи изобщо нат таблицата? Или инфото ми е от няколко десетки кернела назад?

[KPETEH]

Цитат (sdr @ Май 28 2007,14:18)

Нямаше ли един тънък момент че трябва да се разреши пакет-форвардинга за да заработи изобщо нат таблицата? Или инфото ми е от няколко десетки кернела назад?

Да трябва '> Ако иска да си го сложи в скрипта за iptables
или пък в някой конфигурационен файл '>

Примерен код

echo 1 > /proc/sys/net/ipv4/ip_forward

[bnight]

Примерен код

Chain INPUT (policy ACCEPT) target     prot opt source               destination ACCEPT     0    --  anywhere             anywhere ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     0    --  anywhere             anywhere            state NEW ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:5900 ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5900 Chain FORWARD (policy ACCEPT) target     prot opt source               destination ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED ACCEPT     0    --  anywhere             anywhere REJECT     0    --  anywhere             anywhere            reject-with icmp-port-unreachable ACCEPT     tcp  --  anywhere             192.168.0.2         tcp dpt:5900 Chain OUTPUT (policy ACCEPT) target     prot opt source               destination

ето ми го целият IPTables въпреки това тая пущина неще да работи. Естествено че съм разрешил пренасочването на портовете още когато съм си правил рутера Какво да направя за да заработи ? Някой да ми каже точно какви правила да добавя за да стане. Предварително благодаря.

[Hapkoc]

Е не е целият. :)

Дай в добавка това:

iptables -nvL -t nat

[bnight]

Примерен код

Chain PREROUTING (policy ACCEPT 880 packets, 76583 bytes)  pkts bytes target     prot opt in     out     source               destination     0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5900 to:192.168.0.2 Chain POSTROUTING (policy ACCEPT 4 packets, 192 bytes)  pkts bytes target     prot opt in     out     source               destination   591 40879 MASQUERADE  0    --  *      eth1    0.0.0.0/0            0.0.0.0/0   Chain OUTPUT (policy ACCEPT 37 packets, 2362 bytes)  pkts bytes target     prot opt in     out     source               destination

ето го целият

[gat3way]

Бе Vladsun е обяснил много точно проблема малко по-нагоре. Нещата  са много прости и очевидни и това  между другото е често срещан проблем. Който лесно се намира, стига човек да може да си представи малко как върви една проста TCP комуникация при това положение, нека ви опиша картинката (щото много обичам '>  ):

Машина от вътрешната мрежа с адрес 192.168.0.5 (например) се опитва да върже vlc до "външна" машина (x.x.x.x) на порт 5900. SYN пакетът се препраща през рутера, 192.168.0.1.  Оттам се ДНАТ-ва към машината 192.168.0.2. Тя вижда SYN пакет идващ от 192.168.0.5 и му връща SYN-ACK потвърждение. Машината 192.168.0.5 получава потвърждението SYNACK, но то не идва от x.x.x.x - идва от 192.168.0.2 -  съответно не е асоцирано с никоя конекция и не се взема предвид. Установяването на сесията пропада.

За да се реши проблема е необходимо на рутера да  се сложи и правило, което SNAT-ва всичко от вътрешната мрежа към порт 5900 със "собствения"  си адрес - 192.168.0.1. Така логически схемата е завършена. SNAT правилото ТРЯБВА да е преди MASQUERADE правилото в POSTROUTING, иначе ще се появи друг проблем (пакетите към 192.168.0.2 ще се опитват да излязат през "външния" интерфейс - съответно пак проблем).

Що се отнася до quake там има друг проблем - не знам дали комуникацията не минава по UDP. Освен това, не знам дали не се работи с multicasting (поне ако се води "локален" сървър - не съм геймър и не знам как е там, но това беше случая с counterstrike май). Ако искате да си правите "локални" игри в рамките на вашето ISP - тогава се налага да се прави и multicast routing - това е една много дълга, широка и сложна тема в линукс света. Не се наемам да помагам в този случай...

[bnight]

добре дай само правилата за VNC-то че ми е приятно като съм далеч от комп-а да си ползвам VNC на домашния комп. Всъщност с IPTables не съм си играл за това моля те напиши ми правилата. Предварително благодаря.

[gat3way]

Имаш всичко на всичко 3 правила, 2-те вече са ти готови. Сигурно ще ме намразиш като го прочетеш, ама си имам някакви собствени  разбирания за нещата и не обичам да сервирам на някого наготово нещата, не е честно. Може да е глупаво, но ще ти дам джокер - след като вече имаш правило в POSTROUTING, новото правило не трябва да го добавяш "-А", а да го "вмъкнеш" на първа       позиция "-I 1". SNAT таргета работи само в POSTROUTING chain-a. Има минимална разлика в синтаксиса на DNAT и SNAT правилата, за която си пише в manpage-a на iptables. Кое се СНАТ-ва вече писах. Сигурно щеше да ми е по-лесно да ти напиша директно едната команда, която ти трябва, но нямаше да е поучително. Приемам псувни, само недей за майка ми, тя не е виновна. И да, правя се на интересен, съжалявам '>

[bnight]

абе пробвах ма може и аз някъде да бъркам търсих какви ли не варианти пробвах ето това

Примерен код

iptables -t nat -i 1 POSTROUTING -p tcp --dport 5900 -j SNAT--to-source 192.168.0.2-192.168.1.2:5900-5900

но за съжеление пак не става къде бъркам ?

[gat3way]

-I POSTROUTING 1, не -i 1.

--to-source има малко по-различен синтаксис - точно като на --to-destination при DNAT

[bnight]

да това с I то го открих че е само I --to-source обаче си остава загатка така и не разбрах какво точно да му задам за да сработи ?

[bnight]

както и да е оправих се всичко си работи добре благодаря много на всички.