portforward segitseg

Linux-kezdő

Sziasztok, van egy problemam ha valaki segitene megkoszonnem.
Van egy linuxos gep beallitva routernek.
Adott az alabbi router konfig:

rc. firewall tartalma:

#!/bin/sh
ipt=/sbin/iptables
$ipt -F INPUT
$ipt -t nat -F
$ipt -A INPUT -s a.b.c.d -d 0/0 -p TCP --dport 22 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 0/0 -p TCP --dport 22 -j DROP
$ipt -A POSTROUTING -t nat -s 192.168.0.0/24 -d 0/0 -j SNAT --to-source a.b.c.z

rc.local tartalma:

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
/etc/rc.d/rc.firewall

# IP_ROUTING ITT VAN A ROUTOLAS
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ipt_mac
#akinek van netje csak az ip cimmel es a mac cimmel megy
#barmelyik hianyaban nem megy a net
#itt van egy hegy ip cim csak 2 drbot irtam le

#statia ATI 192.168.0.5
iptables -A FORWARD -m mac --mac-source 00D:B8:53:B6:54 -s 192.168.0.5 -j ACCEPT
iptables -A FORWARD -d 192.168.0.5 -j ACCEPT

#statia STATISTIKA 192.168.0.6
iptables -A FORWARD -m mac --mac-source 00:0D:6C:9D:53:84 -s 192.168.0.6 -j ACCEPT
iptables -A FORWARD -d 192.168.0.6 -j ACCEPT

iptables -P FORWARD DROP
#routolas vege

Na most a problemam a kovetkezo:
utorrentnek szeretnek portot nyitni ATI gepnek
Adtam ATI gepnek egy portforwardot:
iptables -t nat -A PREROUTING -p tcp -i eth0 -m mac --mac-source 00D:B8:53:B6:54 --dport -j dnat --to 192.168.0.5
Javitson ki valaki ha nem jo, de a portforwardot nem veszi az utorrent.
Hol lehet a hiba?

Egyaltalan ha valami javitani valot talal valaki ebben a beallitasban azt is johet. Minden otletet szivesen varok. A mac szerinti cimkiosztastol nem szivesen valnek meg. Tul jo megoldasnak talalom hogy megszabaduljak tole, igy nem dug fel mindenki mindenfele gepet a halora.

  • 1573 megtekintés

( stra | 2008. 09. 12., p – 10:37 )

iptables -A FORWARD -m mac --mac-source 00D:B8:53:B6:54 -s 192.168.0.5 -j ACCEPT

Ebből az derül ki, hogy a fenti MAC address a 192.168.0.5 felé menő interfészen van, sőt célszerűen ez a 192.168.0.5-ös IP-jű gép címe. 

iptables -t nat -A PREROUTING -p tcp -i eth0 -m mac --mac-source 00D:B8:53:B6:54 --dport -j dnat --to 192.168.0.5

Ebből meg az, hogy ugyanez a MAC address az eth0 interfészen van.

Mint ahogy a --mac-source neve is mutatja, ez az ethernet frame forrásának a címe, így a PREROUTING-ban nem jó helyen van, mivel ott router nem helyi forrás esetén a router címe lesz.

"Egyaltalan ha valami javitani valot talal valaki ebben a beallitasban azt is johet."
Default policy, állapotok használata, invalid csomagok eldobása stb.

Megjegyzés: Mivel Linuxról van szó, inkább a Linux-kezdő lenne a célszerűbb hely a Unix helyett.

"ha megkerhetleg esetleg nem segitenel kijavitani ugy, hogy mukodjon is a dolog"
Azért nem írtam javaslatot, mert ebben a formában nincs. Mert nem lehet. Ha a cél MAC addresst kellene ellenőrizni, akkor nem jó a mac-source, cél vizsgálatára pedig nem létezik "mac-destination".

Az lehet megoldás, hogy létrehozol egy saját chaint, amin átengeded a kimenő irányba menő csomagokat, és ebben ellenőrzöd a forrás IP és forrás MAC párokat. Ha nem egymáshoz tartozóak, akkor eldobod, egyébként továbbmész (RETURN). A továbbiakban pedig csak IP-re szűrsz. Például:

iptables -N MAC-IP
iptables -A MAC-IP -m mac --mac-source 00:0D:B8:53:B6:54 -s 192.168.0.5 -j RETURN
iptables -A MAC-IP -j DROP

iptables -A INPUT -i eth0 -j MAC-IP
iptables -A FORWARD -i eth0 -j MAC-IP

Másik lehetséges megoldás, hogy statikus ARP-bejegyzéseket veszel fel.
Példa:

arp -i eth0 -s 192.168.0.5 00:0D:B8:53:B6:54

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Tehát az eth1 van az internet felé. Így viszont a PREROUTING sor interfésze nem jó. A -j után a target illetve a chain neve érzékeny a kis-nagybetűre, helyesen DNAT. A --dport után nincs megadva semmi.

Megjegyzés: Mivel Linuxról van szó, inkább a Linux-kezdő lenne a célszerűbb hely a Unix helyett.