iptables dost

0chi0 · Post autor: **0chi0** » 02 lutego 2015, 11:09

Hej,
mam oto taki problem, mam router brzegowy na linuxie a na nim iptables, dhcp. W sieci lokalnej mam host, który słucha na porcie X. Kiedy pukam do niego z sieci lokalnej jest ok. Kiedy pukam na publiczny adres IP i na ów port - jest ok, problem pojawia się kiedy chce puknąć lokalnie na publiczny adres. Mam Connection refused. Na danym hoście nie ma iptables.
Na routerze mam

-P INPUT DROP
-P OUTPUT ACCEPT
-P FORWARD DROP

Reguła na input dla danego portu jest i dla całego świata, forward jest skierowany na daną maszynę. Gdzie czynie błąd ?

pawkrol · Post autor: **pawkrol** » 02 lutego 2015, 11:13

Polecam lekturkę : link
Przeczytaj uważnie sekcję SNAT

0chi0 · Post autor: **0chi0** » 02 lutego 2015, 12:35

zbudowałem regułę o której mówisz i niestety coś mi nadal nie działa:

$IPTABLES -t nat -A POSTROUTING -d 10.10.200.10 -p tcp --dport 29444 -j SNAT --to-source 10.10.200.1

gdzie:
10.10.200.10 - host docelowy
10.10.200.1 - adres routera, prywatny

mam też aktywną regułę:

$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 29444 -j DNAT --to-destination 10.10.200.10:29444

kiedy telnetuje sie pod adres publiczny, do maszyny nic nie dochodzi w tcpdumpie

pawkrol · Post autor: **pawkrol** » 02 lutego 2015, 12:49

Zapewne reguła działa tylko kiedy pakiet wchodzi w eth1 a pewnie od strony lana masz inny interfejs.
Spróbuj tak

Kod: Zaznacz cały

$IPTABLES -t nat -A PREROUTING -d [B]82.5.3.6[/B] -p tcp --dport 29444 -j DNAT --to-destination 10.10.200.10:29444

82.5.3.6 - adres publiczny

0chi0 · Post autor: **0chi0** » 02 lutego 2015, 13:00

to samo.
to może trochę wstępu dodam:
2 NIC, eth0 - lokalny, eth1 - publik z VLAN
podając ten eth1 wskazałem publiczny interfejs, skasowałem go dodałem IP - nadal refused.

pawkrol · Post autor: **pawkrol** » 02 lutego 2015, 13:41

A wyłącz na chwilę firewalla na hoście, puść tcpdumpa i spróbuj się połączyć.

Kod: Zaznacz cały

tcpdump port 29444

0chi0 · Post autor: **0chi0** » 02 lutego 2015, 13:54

dziwne, mogę dostać się z hostów poza routerem, on ma refused ?

0chi0 · Post autor: **0chi0** » 12 marca 2015, 13:36

Witaj ponownie,
mam teraz troche inny problem:
- Mam tunel IPSEC X <> Y
- po mojej stronie mam podsieć tunelową np. 172.22.6.30/29
- po drugiej stronie mam podsieć np. 192.168.0.0/16

Teraz potrzebuje odblokować port 666 na hoście w mojej sieci 10.0.0.15.

Co zrobiłem:
- mam INPUT dla całej podsieci tunelowej
- mam FORWARD
- zrobiłem POST i PRE route

Co ciekawe:
ICMP działa
telnet na 666 nie działa Obrazek

Kod: Zaznacz cały

$IPTABLES [color=#666600]-[/color]A INPUT [color=#666600]-[/color]s [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p tcp [color=#666600]-[/color]m state [color=#666600]--[/color]state ESTABLISHED [color=#666600]-[/color]j ACCEPT
$IPTABLES [color=#666600]-[/color]A FORWARD [color=#666600]-[/color]s [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p tcp [color=#666600]-[/color]j ACCEPT

$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A POSTROUTING [color=#666600]-[/color]d [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p tcp [color=#666600]--[/color]dport [color=#006666]666[/color] [color=#666600]-[/color]j SNAT [color=#666600]--[/color]to[color=#666600]-[/color]source [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34
[/color]$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A POSTROUTING [color=#666600]-[/color]d [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p icmp [color=#666600]-[/color]j SNAT [color=#666600]--[/color]to[color=#666600]-[/color]source [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34

[/color]$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A PREROUTING [color=#666600]-[/color]p tcp [color=#666600]--[/color]dport [color=#006666]666[/color] [color=#666600]-[/color]d [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34[/color] [color=#666600]-[/color]j DNAT [color=#666600]--[/color]to[color=#666600]-[/color]destination [color=#006666]10.0[/color][color=#666600].[/color][color=#006666]0.15
[/color]$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A PREROUTING [color=#666600]-[/color]p icmp [color=#666600]-[/color]d [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34[/color] [color=#666600]-[/color]j DNAT [color=#666600]--[/color]to[color=#666600]-[/color]destination [color=#006666]10.0[/color][color=#666600].[/color][color=#006666]0.15[/color]

Post autor: **dedito** » 12 marca 2015, 14:12

Pokaż cały firewall.

0chi0 · Post autor: **0chi0** » 12 marca 2015, 15:02

nie bardzo mogę ;/

iptables dost

iptables dostęp do zasobów wew przez "świat"

Używaj tagów CODE do prezentacji danych z terminala / konsoli.