Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Problem z iptables

https://www.debian.pl/viewtopic.php?t=33365

Strona 1 z 2

Problem z iptables

: 11 stycznia 2016, 21:08
autor: Maniek83
Witam!
Postawiłem serwer na debianie do testów, w którym mam dwie karty sieciowe do jednej podpięty jest WAN a druga obsługuje LAN. W /etc/init.d stworzyłem plik firewalli dodałem go do automatycznego uruchamiania przy starcie poprzez update-rc.d. dodałem parę reguł aby przetestować działanie firewalla.

iptables -F -t nat
iptables -X -t nat
iptables -F it filter
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables _F FORWARD
iptables -F OUTPUT

iptables -t nat POSTROUTING -s 192.168.2.0/24 -j MASQUERADE


i to wszystko działa prawidłowo, net jest na wszystkich komputerach w sieci 192.168.2.0

następnie ustawiłem Access Pointa w sieci 192.168.2.0 pod adresem 192.168.2.100 i chciałem mieć dostęp do niego z sieci WAN (eth1). Po sieci wewnętrznej dostęp mam natomiast chciałem zrobić dostęp z sieci zewnętrznej. Access Point zgłasza mi się na porcie 80 jak go wywołam z sieci wewnętrznej.
Dodałem więc regułę do firewalla

iptables -t nat PREROUTING -i eth1 -p tcp -d 85.x.x.x --dport 80 -j DNAT --to-destination 192.168.2.100:80



i niestety nie mogę dalej połączyć się z sieci zewnętrznej z tym access pointem. oczywiście restartuje firewall poprzez /etc/init.d/firewall restart. Może ktoś mógłby mi pomóc jak zrobić to przekierowanie? Regułę umieszczam przed MASQUERADE bo ma to znaczenie podobno. z góry dziękuje za odpowiedź i pozdrawiam.

: 11 stycznia 2016, 21:14
autor: dedito
Najpierw kolego zamieść zawartość regułek wszystkich łańcuchów, żeby można było do czego się ustosunkować (w znacznikach code jeśli można prosić).

: 11 stycznia 2016, 22:01
autor: Maniek83
to cały plik firewall

Kod: Zaznacz cały

iptables -F -t nat
 iptables -X -t nat
 iptables -F it filter
 echo 1 > /proc/sys/net/ipv4/ip_forward
 iptables -F INPUT
 iptables _F FORWARD
 iptables -F OUTPUT
iptables -t nat PREROUTING -i eth1 -p tcp -d 85.x.x.x --dport 80 -j DNAT --to-destination 192.168.2.100:80
 iptables -t nat POSTROUTING -s 192.168.2.0/24 -j MASQUERADE

: 11 stycznia 2016, 22:18
autor: dedito
Nie o to mi chodziło.
Raczej o to co system widzi.

Kod: Zaznacz cały

iptables -nvL
iptables -t nat -nvL
cat /proc/sys/net/ipv4/ip_forward

: 11 stycznia 2016, 22:30
autor: Maniek83

Kod: Zaznacz cały

iptables -nvL

Chain INPUT (policy ACCEPT 4097 packets, 415K bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain FORWARD (policy ACCEPT 156K packets, 116M bytes)
 pkts bytes target     prot opt in     out     source               destination
   13   628 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.100        tcp dpt:80


Chain OUTPUT (policy ACCEPT 4025 packets, 1046K bytes)
 pkts bytes target     prot opt in     out     source               destination


iptables -t nat -nvL

Chain INPUT (policy ACCEPT 4097 packets, 415K bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain FORWARD (policy ACCEPT 156K packets, 116M bytes)
 pkts bytes target     prot opt in     out     source               destination
   13   628 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.100        tcp dpt:80


Chain OUTPUT (policy ACCEPT 4025 packets, 1046K bytes)
 pkts bytes target     prot opt in     out     source               destination
root@Serwer:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 3007 packets, 203K bytes)
 pkts bytes target     prot opt in     out     source               destination
    7   328 DNAT       tcp  --  eth1   *       0.0.0.0/0            85.x.x.x        tcp dpt:80 to:192.168.2.100:80


Chain INPUT (policy ACCEPT 262 packets, 31031 bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain OUTPUT (policy ACCEPT 108 packets, 10757 bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain POSTROUTING (policy ACCEPT 97 packets, 6729 bytes)
 pkts bytes target     prot opt in     out     source               destination
 2559  168K MASQUERADE  all  --  *      *       192.168.2.0/24       0.0.0.0/0

cat /proc/sys/net/ipv4/ip_forward
1

: 11 stycznia 2016, 22:54
autor: dedito
Jeśli chodzi o przekierowanie portów to na pierwszy rzut oka wygląda ok.
A idzie dostać się z zewnątrz na cokolwiek na interfejsie WAN?

: 11 stycznia 2016, 23:01
autor: Maniek83
Tak można się dostać po ssh do serwera natomiast nie idzie nigdzie dalej do wewnętrznej sieci.

: 12 stycznia 2016, 08:18
autor: dedito
Hmm, nie wiem co to może być.
Może sam AP ma ustawiony dostęp tylko z określonego zakresu IP.
Maszyna (serwer) nie jest wirtualna, tylko fizyczna?

: 12 stycznia 2016, 08:25
autor: Maniek83
To normalny komp zestawiłem dla testów taką sieć z wewnątrz na tego AP można się dostać normalnie natomiast z zewnątrz nie. dla mnie też to jest dziwne czemu nie można nie ma tych regułek dużo a jednak nie działa. może coś z tą masquerade?

: 12 stycznia 2016, 08:51
autor: dedito
Może spróbuj zamiast regułki:

Kod: Zaznacz cały

iptables -t nat PREROUTING -i eth1 -p tcp -d 85.x.x.x --dport 80 -j DNAT --to-destination 192.168.2.100:80
użyć takiej:

Kod: Zaznacz cały

iptables -t nat PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.100:80
Czyli bez opcji -d
No i jeszcze zauważyłem brak opcja -A lub -I przed PREROUTING, ale to pewnie konsola o tym ci "powie".
Strefa czasowa UTC+02:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl