Szervusztok,
Segitsget kernek. Kezdo vagyok az iptables teren.
A problemam a kovetkezo:Adott egy debian etch rajta egy iptables tuzfal.
Kivulrol szeretnenk a tuzfalon keresztul pptp-el egy belso gepet elerni.
A firewall script-be bevestem a kovetkezoket:
iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p TCP -s 0/0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -s 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p 47 -i $kulso_interface -j DNAT --to belso.bep.ip.cime
de nem megy . Kell -e meg valami ?
Esetleg kell meg a kernelbe beforgatni valamit ? kernel verzio:2.6.18.6
lelkesz
A segitseget elore is koszonom
- 2661 megtekintés
Hozzászólások
Az INPUT chainbe nem kell beletenni. Viszont a FORWARD-hoz hozzá kellene adni a visszirányt is, vagy a state modul használatával a RELATED állapotú csomagokat átengedni. Az utóbbit javaslom.
- A hozzászóláshoz be kell jelentkezni
Esetleg igy ?
iptables -A FORWARD -p TCP -s 0/0 --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -s 0/0 -j ACCEPT
iptables -A FORWARD -p TCP -d 0/0 --sport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -d 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p 47 -i $kulso_interface -j DNAT --to belso.bep.ip.cime
- A hozzászóláshoz be kell jelentkezni
Ránézésre működőképesnek tűnik, viszont lehet egy kicsit szigorúbb és állapottartó.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $kulso_interface -m state --state NEW -p tcp -d $belso_gep_ip_cime --dport 1723 -j ACCEPT
iptables -t nat -A PREROUTING -i $kulso_interface -p tcp --dport 1723 -j DNAT --to-destination $belso_gep_ip_cimeHa a külső interfészen több IP lehet, érdemes lehet kiegészíteni -d $kulso_ip kitétellel is.
- A hozzászóláshoz be kell jelentkezni
Jol gondolom kell a vissza FORWARD is ,igy valahogy ?
iptables -A FORWARD -i $belso_interface -m state --state NEW -p tcp -d $kulso_gep_ip_cime --dport 1723 -j ACCEPT
- A hozzászóláshoz be kell jelentkezni
Ebben a példában az első sor gondoskodik a visszirányról (ESTABLISHED), és a GRE-ről (RELATED). A NEW állapot csak a kapcsolatfelépítés irányában kell. Ez pedig kívülről befelé irányul.
Az általad írt szabály akkor kellene, ha a belső gépről mint kliensről indítanál a külső gépre mint szerverre kapcsolatot.
- A hozzászóláshoz be kell jelentkezni
Koszonom szepen probalom
- A hozzászóláshoz be kell jelentkezni
beirtam a fenti 3 sort de nem mukodik
nmap-ra ezt mondja:
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp closed ftp
22/tcp open ssh
25/tcp closed smtp
47/tcp closed ni-ftp
80/tcp closed http
110/tcp closed pop3
115/tcp closed sftp
123/tcp closed ntp
143/tcp closed imap
220/tcp closed imap3
443/tcp closed https
989/tcp closed ftps-data
990/tcp closed ftps
1723/tcp closed pptp
- A hozzászóláshoz be kell jelentkezni
Ezt az interneten, a tűzfalon kívül lévő gépről próbáltad? Ha igen, a csomagszámlálóknál mi látszik (iptables -nvL FORWARD és iptables -t nat -nvL PREROUTING)? Ez a teljes tűzfalszabályrendszer, vagy előtte lévőbe is beleeshet ez a forgalom? Egy tcpdump -i $belso_interface -nvvvs 1500 icmp or port 1723 futtatása mutathat valamit, illetve ugyanez a külső interfészen. A PPTP szerver biztosan fut?
- A hozzászóláshoz be kell jelentkezni
igen kinntrol brobaltam,
Vannak meg ez elott is tuzfalszabalyok
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 1500 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel
Chain PREROUTING (policy ACCEPT 126K packets, 15M bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT 47 -- eth0 * 0.0.0.0/0 0.0.0.0/0 to:192.168.1.206
0 0 DNAT tcp -- 217.65.110.22 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 to:192.168.1.206
pptp server ? tuzfalra kell ilyen ??
- A hozzászóláshoz be kell jelentkezni
"
0 0 DNAT tcp -- 217.65.110.22 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 to:192.168.1.206"
A példában a $kulso_interface az interfész nevét hivatott jelenteni, nem az IP-jét, arra a -d használható.
"
iptables -t nat -A PREROUTING -i $kulso_interface -p tcp --dport 1723 -j DNAT --to-destination $belso_gep_ip_cime"
Ha mindkettőt szeretnéd, akkor a teljes parancs:
iptables -t nat -A PREROUTING -i $kulso_interface -p tcp -d $kulso_ip --dport 1723 -j DNAT --to-destination $belso_gep_ip_cime"pptp server ? tuzfalra kell ilyen ??"
Nem. Arra akartam csak rákérdezni, hogy a belső 192.168.1.206 gépen fut-e rendesen a PPTP szerver.
- A hozzászóláshoz be kell jelentkezni
/proc/sys/net/ipv4/ip_forward -ba egyesnek kell lennie.
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
1-s van benne
- A hozzászóláshoz be kell jelentkezni
tcp vagy udp?
- A hozzászóláshoz be kell jelentkezni
pptp ? szerintem tcp ill gre
Ha rosszultudom javitsatok ki
- A hozzászóláshoz be kell jelentkezni
Szevasztok
Talán így menni fog:
modprobe ip_nat_pptp
modinfo ip_nat_pptp
filename: /lib/modules/2.6.18-4-686/kernel/net/ipv4/netfilter/ip_nat_pptp.ko
license: GPL
author: Harald Welte
description: Netfilter NAT helper module for PPTP
license: GPL
author: Harald Welte
description: Netfilter NAT protocol helper module for GRE
vermagic: 2.6.18-4-686 SMP mod_unload 686 REGPARM gcc-4.1
depends: ip_nat,ip_conntrack_pptp,ip_conntrack
Szevasztok
- A hozzászóláshoz be kell jelentkezni
Valoban a modprobe... kellett .
Koszonom a segitsegteket
sztupi
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
A fenti portforwardot használom én is és működik. A windwosos gépet most egy ddwrt-s routerre cseréltem le, hogy több kapcsolatot is tudjak fogadni.
Az a gondom, hogy csak 1 kapcsolatot tudok fogadni az internet felöl. Ha belső hálózaton próbálkozom, akkor gond nélkül tudok csatlakozni akár 3 eszközzel is, neten keresztül viszont mindig csak eggyel tudok. Csatlakozni.
Nekem úgy tűnik, hogy valamiért a port forwardnál elagad a dolog, ha már van egy élő kapcsolat.
Valami elképzelés esetleg?
Köszönöm
András
- A hozzászóláshoz be kell jelentkezni