Przekierowanie portów - iptables - jak?

scott_76 · Post autor: **scott_76** » 20 września 2008, 08:41

Witam. Od kilku dni walczę z Debianem, który ma zastąpić NND na moim domowym serwerze. Doprowadziłem go już do stanu gdzie dzieli internet, przydziela adresy komputerom w sieci, działa Apache.
Za nic nie mogę go zmusić do przekierowania portów. To forum przewróciłem już do góry nogami. Google też. Wersji wpisów przerabiałem już wiele i nic. Firestarter też nic nie wnosi. Mam wersję Debiana Lenny w /etc/init.d/ plik firewall z regułkami. Czy trzeba coś kombinować z jajkiem, zrobić coś dodatkowego i gdzie? Stosowałem już chyba z osiem wersji regułek do przekierowania. Niby prosta sprawa a leżę.

Rad · Post autor: **Rad** » 20 września 2008, 18:31

W Debianie przekierowuje się porty jak w każdym linuksie, nie wiem dlaczego ci to może nie działać. Może napisz jak to zrobiłeś itd.

scott_76 · Post autor: **scott_76** » 20 września 2008, 20:08

Wpisów które miały przekierować porty na komp w sieci było wiele. Nawet takie same jakie były w NND i działały.
Nie będe ich tu cytował. Z tego forum też sprawdzałem. Dlatego zaczynam sie zastanawiac czy w Debianie nie trzeba jeszcze czegoś zrobić.

/etc/init.d/firewall

Kod: Zaznacz cały

#!/bin/sh
# wlonczenie w karnelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward

# czyszczenie starych regul
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

# dopuszczamy caly ruch w sieci lokalnej
iptables -A INPUT -i eth2 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth2 -s 192.168.0.1 -j ACCEPT

# polonczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostepnienie internetu w sieci lokalnej
iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

# przekierowanie

/etc/network/interfaces

Kod: Zaznacz cały

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
        address 10.0.0.2
        netmask 255.255.255.0
        network 10.0.0.0
        broadcast 10.0.0.255
        gateway 10.0.0.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 194.204.159.1 194.204.152.34
        dns-search matrix

auto eth2
iface eth2 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 10.0.0.1
        dns-nameservers 194.204.159.1 194.204.152.34

ShinnRa · Post autor: **ShinnRa** » 24 września 2008, 11:39

chyba brakuje tego:

Kod: Zaznacz cały

echo "1" > /proc/sys/net/ipv4/ip_forward

piroaa · Post autor: **piroaa** » 24 września 2008, 22:47

Eee, chyba nie wszystko podałeś bo po #przekierowania jakby nic nie ma jak włączenie przekazywania pakietów nic nie da to poczytaj to:
http://www.gentoo.org/doc/pl/home-router-howto.xml
tutaj przykładowe przekierowanie, przykład z powyższej strony:

Kod: Zaznacz cały

# iptables -t nat -A PREROUTING -p tcp --dport 2 -i eth0 -j DNAT --to 192.168.0.2:22

powodzenia.

fenix23 · Post autor: **fenix23** » 18 listopada 2008, 19:39

Czy do przekierowania portu wystarczy tylko ta jedna linijka? Bo próbuje ugryźć temat ale nie wiem od której strony się za to zabrać.

Dodam że próbuje odpalić TightVNC ze zdalnego komputera na komputer domowy za natem. Który wymaga odblokowania portu 5800 i 5900 według opisu na ich stronie chociaż iptraf pokazywał jeszcze port 5500.

Używałem takiej reguły:

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 5900 -j DNAT --to 10.1.1.2

Jak sprawdzić czy ten port faktycznie jest otwarty?

gajosew · Post autor: **gajosew** » 18 listopada 2008, 22:16

Zeskanuj otwarte porty poleceniem

Kod: Zaznacz cały

nmap

Poza tym komputer z którego 'wystawiasz ' port musi mieć 'sztywny' przypisany adres IP

fair · Post autor: **fair** » 19 listopada 2008, 13:24

Masz ostro nawalone w interface, nie możesz ustawić dla podsieci 192 bramy o innej klasie adresów czyli w tym przypadku

Kod: Zaznacz cały

gateway 10.0.0.1

nie ma prawa działać
Ogólnie przeczytaj jeszcze raz o konfiguracji interfejsów ponieważ iptables masz napisane pod klasę 192 a regułkę którą tu wkleiłeś i którą próbujesz przekierowywać robisz dla sieci zewnętrznej więc generalnie nie ogarnięte to wszystko

Przy założeniu, że klasą zewnętrzną jest adres 192.168.0.1 a komputer na który chcesz przekierować porty to 10.1.1.2 wyglądać ma to tak

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 12055 -j DNAT --to-destination 10.1.1.2:5500
iptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 12055 -j DNAT --to-destination 10.1.1.2:5500
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 12058 -j DNAT --to-destination 10.1.1.2:5800
iptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 12058 -j DNAT --to-destination 10.1.1.2:5800
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 12059 -j DNAT --to-destination 10.1.1.2:5900
iptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 12059 -j DNAT --to-destination 10.1.1.2:5900

fenix23 · Post autor: **fenix23** » 19 listopada 2008, 13:39

gajosew pisze:Zeskanuj otwarte porty poleceniem ...

nmap pokazuje mi port closed pomimo że vnc się przepycha i dostaje do mojego komputera.

skanuje komendą

Kod: Zaznacz cały

nmap -p 5900 localhost

fair pisze:...

Mam nadzieję że zorientowałeś się że moja regułka nie ma nic wspólnego z wklejanymi wcześniej listingami

Pozdrawiam