Problem z iptables

Zagadnienia bezpieczeństwa w systemie
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Tu masz delikatny błąd

Kod: Zaznacz cały

iptables _F FORWARD
Widzę, że pakiety "wpadają w regułę prerouting". Jaką masz bramę ustawioną na AP. Bo może być tak, że pakiety dochodzą do niego, ale odsyła już gdzie indziej.
Maskarada nie ma znaczenia, w twoim przypadku (DNAT). No chyba że na AP masz jakiś firewall, który odrzuca adresy z poza sieci, to wtedy można się pobawić z snatem.
Puść tcpdump na serwerze i zobacz co się dzieje z pakietami.
Maniek83
Posty: 6
Rejestracja: 11 stycznia 2016, 20:40

Post autor: Maniek83 »

ta opcja działa

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -i eth1 -p tcp -d 85.x.x.x --dport 81 -j DNAT --to-destination 192.168.2.200:80
podłączyłem drukarkę na inny adres i do niej mogę się dostać z zewnątrz natomiast do tego AP nie coś dziwnego nie widzę w nim żadnej opcji, która blokowałaby ruch z zewnątrz a przepuszczała z wewnątrz. Czyli przekierowanie działa dziękuje za pomoc i pozdrawiam
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Post autor: dedito »

A co to za model AP?
mariaczi
Member
Posty: 1343
Rejestracja: 08 lutego 2008, 12:58
Lokalizacja: localhost@śląskie

Post autor: mariaczi »

Od kogo masz internet? Możliwe, że dostawca nie pozwala na przekierowanie tego portu. Jak sam widzisz, przekierowanie na port 81 poszło. Sprawdź zatem np. z zewnątrz port 82 na port 80 Twojego AP.
Inne rozwiązanie: mając połączenie ssh do serwera skorzystaj z dobrodziejstwa jakie daje owe ssh - skonfiguruj tunel i przez niego dostaniesz się do AP.
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Post autor: dedito »

Serwer jest jego (autora) więc to raczej nie kwestia dostawcy.
mariaczi
Member
Posty: 1343
Rejestracja: 08 lutego 2008, 12:58
Lokalizacja: localhost@śląskie

Post autor: mariaczi »

@autor: Czy możesz po porcie 80 otworzyć stronę web ze swojego serwera po publicznym IP? Jeśli nie, jest blokada u dostawcy. Jeśli tak, AP prawdopodobnie nie pozwala na zarządzanie sobą od strony WAN (ma je wyłączone).
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Post autor: pawkrol »

Pakiety wpadają w reguły łańcucha PREROUTING, więc dostawcę bym wykluczył.
ODPOWIEDZ