Portforward

[quote:d0a3a03386="Ghiel"]Sziasztok

Sarge- on próbálok egy portforwardot. kintről kellene elérni egy belső gép adott portját. Ha az alábbi scriptet megfuttatom, az nmap anyit mond, hogy filtered. Ennek megfelelően persze nem enged be. hol a hiba a scriptben:

#! /bin/bash

#Töröl minden iptables szabályt
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

#Csomagátadás bekapcsolása
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 1433 -j ACCEPT

#Mindent átereszt
iptables -t nat -A POSTROUTING -o eth0 -s 10.252.32.0/24 -j SNAT --to-source 195.228.99.247

#Portot átirányit
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth1 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243

?

iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433

A portot is meg kell adni a --to-destination -nál. Nem?

Hany inerface-ed van? Melyik a kulso? Melyik a belso, amelyikre forwardolni akarsz? ...
Amugy a dolgok kicsit osszevannak keveredve...
Ezt magyarazd meg legyszives, miert is csinalod. mert szerintem tiszta baromsag :D

#Portot átirányit
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth1 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243

sokat segitene, ha leirnad, melyik interfaced hova nez, mert eth0-ra POSTROUTE-olsz, de eth1-re megy a preroute... Ez igy nem biztos az igazi, szoval hany halozatod van, milyen parameterekkel, melyik labak hova lognak a tuzfalon, es aztan tudok valaszolni. Igy csak sejtem a problemad, egyebkent

iptables -v -n -L | less -S
sokat tud segiteni tevutra ment csomagok megtalalasaban.

asd

Meg egy par kerdes... A default policy-k mire vannak rakva? Gondolom deny... Na de akkor hianyzik egy par dolog a FORWARD-bol. Miert engedne a befele elfogadott connection-t kifele is?? Egy kicsit nem artana utanaolvasni az iptables-nek, foleg a statefull filtering-nek. Hatha segitene ;)

az otlet nem rossz, de ezt ugy tunik osszeolloztad.

#! /bin/bash

iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat

sysctl -w net/ipv4/ip_forward=1

iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 1433 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#ugye csak egyetlen, valtozatlan ip cimed van kifele? ha nem, MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 10.252.32.0/24 -j SNAT --to-source 195.228.99.247

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433
INPUT/OUTPUT itt nem erintett, de oda sem art, ha felveszel par pozitiv listas szabalyt. Ha ez nem megy, a kulso interface-rol es a belsorol is kerunk egy tcpdump -w kimenetet

stateful 1 db l-lel irando.