Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

iptables dost

https://www.debian.pl/viewtopic.php?t=32037

Strona 1 z 2

iptables dostęp do zasobów wew przez "świat"

: 02 lutego 2015, 11:09
autor: 0chi0
Hej,
mam oto taki problem, mam router brzegowy na linuxie a na nim iptables, dhcp. W sieci lokalnej mam host, który słucha na porcie X. Kiedy pukam do niego z sieci lokalnej jest ok. Kiedy pukam na publiczny adres IP i na ów port - jest ok, problem pojawia się kiedy chce puknąć lokalnie na publiczny adres. Mam Connection refused. Na danym hoście nie ma iptables.
Na routerze mam

-P INPUT DROP
-P OUTPUT ACCEPT
-P FORWARD DROP

Reguła na input dla danego portu jest i dla całego świata, forward jest skierowany na daną maszynę. Gdzie czynie błąd ?

: 02 lutego 2015, 11:13
autor: pawkrol
Polecam lekturkę : link
Przeczytaj uważnie sekcję SNAT

: 02 lutego 2015, 12:35
autor: 0chi0
zbudowałem regułę o której mówisz i niestety coś mi nadal nie działa:
$IPTABLES -t nat -A POSTROUTING -d 10.10.200.10 -p tcp --dport 29444 -j SNAT --to-source 10.10.200.1
gdzie:
10.10.200.10 - host docelowy
10.10.200.1 - adres routera, prywatny

mam też aktywną regułę:
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 29444 -j DNAT --to-destination 10.10.200.10:29444
kiedy telnetuje sie pod adres publiczny, do maszyny nic nie dochodzi w tcpdumpie

: 02 lutego 2015, 12:49
autor: pawkrol
Zapewne reguła działa tylko kiedy pakiet wchodzi w eth1 a pewnie od strony lana masz inny interfejs.
Spróbuj tak

Kod: Zaznacz cały

$IPTABLES -t nat -A PREROUTING -d [B]82.5.3.6[/B] -p tcp --dport 29444 -j DNAT --to-destination 10.10.200.10:29444
82.5.3.6 - adres publiczny

: 02 lutego 2015, 13:00
autor: 0chi0
to samo.
to może trochę wstępu dodam:
2 NIC, eth0 - lokalny, eth1 - publik z VLAN
podając ten eth1 wskazałem publiczny interfejs, skasowałem go dodałem IP - nadal refused.

: 02 lutego 2015, 13:41
autor: pawkrol
A wyłącz na chwilę firewalla na hoście, puść tcpdumpa i spróbuj się połączyć.

Kod: Zaznacz cały

tcpdump port 29444

: 02 lutego 2015, 13:54
autor: 0chi0
dziwne, mogę dostać się z hostów poza routerem, on ma refused ?

Używaj tagów CODE do prezentacji danych z terminala / konsoli.

: 12 marca 2015, 13:36
autor: 0chi0
Witaj ponownie,
mam teraz troche inny problem:
- Mam tunel IPSEC X <> Y
- po mojej stronie mam podsieć tunelową np. 172.22.6.30/29
- po drugiej stronie mam podsieć np. 192.168.0.0/16

Teraz potrzebuje odblokować port 666 na hoście w mojej sieci 10.0.0.15.

Co zrobiłem:
- mam INPUT dla całej podsieci tunelowej
- mam FORWARD
- zrobiłem POST i PRE route

Co ciekawe:
ICMP działa
telnet na 666 nie działa Obrazek

Kod: Zaznacz cały

$IPTABLES [color=#666600]-[/color]A INPUT [color=#666600]-[/color]s [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p tcp [color=#666600]-[/color]m state [color=#666600]--[/color]state ESTABLISHED [color=#666600]-[/color]j ACCEPT
$IPTABLES [color=#666600]-[/color]A FORWARD [color=#666600]-[/color]s [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p tcp [color=#666600]-[/color]j ACCEPT

$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A POSTROUTING [color=#666600]-[/color]d [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p tcp [color=#666600]--[/color]dport [color=#006666]666[/color] [color=#666600]-[/color]j SNAT [color=#666600]--[/color]to[color=#666600]-[/color]source [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34
[/color]$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A POSTROUTING [color=#666600]-[/color]d [color=#006666]192.168[/color][color=#666600].[/color][color=#006666]0.0[/color][color=#666600]/[/color][color=#006666]16[/color] [color=#666600]-[/color]p icmp [color=#666600]-[/color]j SNAT [color=#666600]--[/color]to[color=#666600]-[/color]source [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34

[/color]$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A PREROUTING [color=#666600]-[/color]p tcp [color=#666600]--[/color]dport [color=#006666]666[/color] [color=#666600]-[/color]d [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34[/color] [color=#666600]-[/color]j DNAT [color=#666600]--[/color]to[color=#666600]-[/color]destination [color=#006666]10.0[/color][color=#666600].[/color][color=#006666]0.15
[/color]$IPTABLES [color=#666600]-[/color]t nat [color=#666600]-[/color]A PREROUTING [color=#666600]-[/color]p icmp [color=#666600]-[/color]d [color=#006666]172.22[/color][color=#666600].[/color][color=#006666]6.34[/color] [color=#666600]-[/color]j DNAT [color=#666600]--[/color]to[color=#666600]-[/color]destination [color=#006666]10.0[/color][color=#666600].[/color][color=#006666]0.15[/color]

: 12 marca 2015, 14:12
autor: dedito
Pokaż cały firewall.

: 12 marca 2015, 15:02
autor: 0chi0
nie bardzo mogę ;/
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl