Hozzászólások
Sziasztok
Sarge- on próbálok egy portforwardot. kintről kellene elérni egy belső gép adott portját. Ha az alábbi scriptet megfuttatom, az nmap anyit mond, hogy filtered. Ennek megfelelően persze nem enged be. hol a hiba a scriptben:
#! /bin/bash
#Töröl minden iptables szabályt
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
#Csomagátadás bekapcsolása
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 1433 -j ACCEPT
#Mindent átereszt
iptables -t nat -A POSTROUTING -o eth0 -s 10.252.32.0/24 -j SNAT --to-source 195.228.99.247
#Portot átirányit
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth1 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
?
- A hozzászóláshoz be kell jelentkezni
[quote:d0a3a03386="Ghiel"]Sziasztok
Sarge- on próbálok egy portforwardot. kintről kellene elérni egy belső gép adott portját. Ha az alábbi scriptet megfuttatom, az nmap anyit mond, hogy filtered. Ennek megfelelően persze nem enged be. hol a hiba a scriptben:
#! /bin/bash
#Töröl minden iptables szabályt
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
#Csomagátadás bekapcsolása
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 1433 -j ACCEPT
#Mindent átereszt
iptables -t nat -A POSTROUTING -o eth0 -s 10.252.32.0/24 -j SNAT --to-source 195.228.99.247
#Portot átirányit
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth1 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
?
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433
A portot is meg kell adni a --to-destination -nál. Nem?
- A hozzászóláshoz be kell jelentkezni
sajnos ez sem segített! Változatlan a helyzet
- A hozzászóláshoz be kell jelentkezni
Hany inerface-ed van? Melyik a kulso? Melyik a belso, amelyikre forwardolni akarsz? ...
Amugy a dolgok kicsit osszevannak keveredve...
Ezt magyarazd meg legyszives, miert is csinalod. mert szerintem tiszta baromsag :D
#Portot átirányit
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth1 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243
- A hozzászóláshoz be kell jelentkezni
sokat segitene, ha leirnad, melyik interfaced hova nez, mert eth0-ra POSTROUTE-olsz, de eth1-re megy a preroute... Ez igy nem biztos az igazi, szoval hany halozatod van, milyen parameterekkel, melyik labak hova lognak a tuzfalon, es aztan tudok valaszolni. Igy csak sejtem a problemad, egyebkent
iptables -v -n -L | less -S
sokat tud segiteni tevutra ment csomagok megtalalasaban.
asd
- A hozzászóláshoz be kell jelentkezni
Meg egy par kerdes... A default policy-k mire vannak rakva? Gondolom deny... Na de akkor hianyzik egy par dolog a FORWARD-bol. Miert engedne a befele elfogadott connection-t kifele is?? Egy kicsit nem artana utanaolvasni az iptables-nek, foleg a statefull filtering-nek. Hatha segitene ;)
- A hozzászóláshoz be kell jelentkezni
szóval a tűzfalat reszteltem, minden engedélyezve, semmi szabály. majd a scriptem ilyen formán kijavítottam:
#! /bin/bash
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 1433 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 10.252.32.0/24 -j SNAT --to-source 195.228.99.247
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433
Az eth0 a külső (net) hálózat feé néz, az eth1, pedig a belső hálózat felé néz.
Ugyan ezen gondom volt fc3- mal és azon sem sikerült megoldanom, ellenben a susen ment. Tehát gyanítom, hogy jelen esetben másol van a gond...
- A hozzászóláshoz be kell jelentkezni
az otlet nem rossz, de ezt ugy tunik osszeolloztad.
#! /bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat
sysctl -w net/ipv4/ip_forward=1
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 1433 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#ugye csak egyetlen, valtozatlan ip cimed van kifele? ha nem, MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 10.252.32.0/24 -j SNAT --to-source 195.228.99.247
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433
iptables -t nat -A PREROUTING -i eth0 -p udp -d 195.228.99.247 --destination-port 1433 -j DNAT --to-destination 10.252.32.243:1433
INPUT/OUTPUT itt nem erintett, de oda sem art, ha felveszel par pozitiv listas szabalyt. Ha ez nem megy, a kulso interface-rol es a belsorol is kerunk egy tcpdump -w kimenetet
stateful 1 db l-lel irando.
- A hozzászóláshoz be kell jelentkezni