Strona 1 z 1
Przekierowanie portów - iptables - jak?
: 20 września 2008, 08:41
autor: scott_76
Witam. Od kilku dni walczę z Debianem, który ma zastąpić NND na moim domowym serwerze. Doprowadziłem go już do stanu gdzie dzieli internet, przydziela adresy komputerom w sieci, działa Apache.
Za nic nie mogę go zmusić do przekierowania portów. To forum przewróciłem już do góry nogami. Google też. Wersji wpisów przerabiałem już wiele i nic. Firestarter też nic nie wnosi. Mam wersję Debiana Lenny w /etc/init.d/ plik firewall z regułkami. Czy trzeba coś kombinować z jajkiem, zrobić coś dodatkowego i gdzie? Stosowałem już chyba z osiem wersji regułek do przekierowania. Niby prosta sprawa a leżę.
: 20 września 2008, 18:31
autor: Rad
W Debianie przekierowuje się porty jak w każdym linuksie, nie wiem dlaczego ci to może nie działać. Może napisz jak to zrobiłeś itd.
: 20 września 2008, 20:08
autor: scott_76
Wpisów które miały przekierować porty na komp w sieci było wiele. Nawet takie same jakie były w NND i działały.
Nie będe ich tu cytował. Z tego forum też sprawdzałem. Dlatego zaczynam sie zastanawiac czy w Debianie nie trzeba jeszcze czegoś zrobić.
/etc/init.d/firewall
Kod: Zaznacz cały
#!/bin/sh
# wlonczenie w karnelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
# dopuszczamy caly ruch w sieci lokalnej
iptables -A INPUT -i eth2 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -i eth2 -s 192.168.0.1 -j ACCEPT
# polonczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepnienie internetu w sieci lokalnej
iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
# przekierowanie
/etc/network/interfaces
Kod: Zaznacz cały
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 10.0.0.2
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
gateway 10.0.0.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 194.204.159.1 194.204.152.34
dns-search matrix
auto eth2
iface eth2 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 10.0.0.1
dns-nameservers 194.204.159.1 194.204.152.34
: 24 września 2008, 11:39
autor: ShinnRa
: 24 września 2008, 22:47
autor: piroaa
Eee, chyba nie wszystko podałeś bo po #przekierowania jakby nic nie ma jak włączenie przekazywania pakietów nic nie da to poczytaj to:
http://www.gentoo.org/doc/pl/home-router-howto.xml
tutaj przykładowe przekierowanie, przykład z powyższej strony:
Kod: Zaznacz cały
# iptables -t nat -A PREROUTING -p tcp --dport 2 -i eth0 -j DNAT --to 192.168.0.2:22
powodzenia.
: 18 listopada 2008, 19:39
autor: fenix23
Czy do przekierowania portu wystarczy tylko ta jedna linijka? Bo próbuje ugryźć temat ale nie wiem od której strony się za to zabrać.
Dodam że próbuje odpalić TightVNC ze zdalnego komputera na komputer domowy za natem. Który wymaga odblokowania portu 5800 i 5900 według opisu na ich stronie chociaż iptraf pokazywał jeszcze port 5500.
Używałem takiej reguły:
Kod: Zaznacz cały
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 5900 -j DNAT --to 10.1.1.2
Jak sprawdzić czy ten port faktycznie jest otwarty?
: 18 listopada 2008, 22:16
autor: gajosew
Zeskanuj otwarte porty poleceniem
Poza tym komputer z którego 'wystawiasz ' port musi mieć 'sztywny' przypisany adres IP
: 19 listopada 2008, 13:24
autor: fair
Masz ostro nawalone w interface, nie możesz ustawić dla podsieci 192 bramy o innej klasie adresów czyli w tym przypadku
nie ma prawa działać
Ogólnie przeczytaj jeszcze raz o konfiguracji interfejsów ponieważ iptables masz napisane pod klasę 192 a regułkę którą tu wkleiłeś i którą próbujesz przekierowywać robisz dla sieci zewnętrznej więc generalnie nie ogarnięte to wszystko
Przy założeniu, że klasą zewnętrzną jest adres 192.168.0.1 a komputer na który chcesz przekierować porty to 10.1.1.2 wyglądać ma to tak
Kod: Zaznacz cały
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 12055 -j DNAT --to-destination 10.1.1.2:5500
iptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 12055 -j DNAT --to-destination 10.1.1.2:5500
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 12058 -j DNAT --to-destination 10.1.1.2:5800
iptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 12058 -j DNAT --to-destination 10.1.1.2:5800
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 12059 -j DNAT --to-destination 10.1.1.2:5900
iptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 12059 -j DNAT --to-destination 10.1.1.2:5900
: 19 listopada 2008, 13:39
autor: fenix23
gajosew pisze:Zeskanuj otwarte porty poleceniem ...
nmap pokazuje mi port closed pomimo że vnc się przepycha i dostaje do mojego komputera.
skanuje komendą
fair pisze:...
Mam nadzieję że zorientowałeś się że moja regułka nie ma nic wspólnego z wklejanymi wcześniej listingami
Pozdrawiam