|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
Firewall iptables i forwardowanie portów , Stone 26/09/03 17:27
Problem niby jest prosty, ale jak zwykle pewnie coś przeoczyłem. Mam neostaradę i debiana, który służy przede wszystkim za router. Chciałem jednak przekierować port 412 udp (DC++), na swój komputer. Robię to takimi poleceniami:
iptables -t nat -A PREROUTING -p udp -i ppp0 --destination-port 412 -j DNAT --to-destination 192.168.1.2:412
iptables -A FORWARD -p udp -i ppp0 -o eth0 -d 192.168.1.2 --destination-port 412 -j ACCEPT
Niestety wyszukiwanie nadal nie działa, może trzeba otworzyć jeszcze jakiś port? Jeżeli możecie wspomóżcie :P
PozdrawiamPozdrawiam
Stone aka S1one - Wejdź na stronkę... , kicior 26/09/03 19:01
http://dcgui.berlios.de/...search.php?mode=results
i wpisz do okienka słowo "firewall"
that's all - ja mam tak... , kaszpio 26/09/03 19:36
iptables -t nat -A PREROUTING -p tcp -d 80.55.89.58 --dport 413 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p udp -d 80.55.89.58 --dport 413 -j DNAT --to-destination 192.168.1.2
no i nie zapomnij otworzyc serwera na swiat na portach na ktorych robisz przekierowanie;-)
sijkaToshiba Tecra S11-124 - Tylko że ja nie mam stałego IP , Stone 26/09/03 20:06
a co do otwierania to czy wystarczy:
iptables -A INPUT -t udp -destination-port 412 -j ACCEPT
Narazie próbuje bez powyższej regułki zamiast nie mam wszystko otwarte do testów:
iptables -A POSTROUTING -p all -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
PozdrawiamPozdrawiam
Stone aka S1one
- jesli chcesz to... , josh 26/09/03 20:11
...podesle albo opublikuje tutaj mojego firewalla na iptables - jest to modyfikacja jakiegos firewalla od pewnego tutoriala (w zasadzie to bylo cos wiecej niz tutorial).
Zrobilem w nim miedzy innymi taka opcje na samym poczatku podajesz co chcesz przekierowac i on to robi automatycznie (ale wszystko pod kontrola).
BARDZO POLECAM.
Jak tylko odpalam u siebie jakis program i musze cos przekierowac to nie dopisuje nic w rc.firewall tylko wlasnie dopisuje sobie te porty do "listy" i juz smiga.
Ostatnio nawet dodalem opcje przekierowania dla VPN'a - a wszystko jasno i przejrzyscie i latwe do dalszych modyfikacji jesli ktos czegos wiecej potrzebuje!
Sam firewall dzila bardzo prosto - blokuje caly ruch niezdefiniowany i otwiera poszczegolne porty (lub na przekierowanie). Reszta polaczen przychodzacych jest zablokowana oprocz tych, ktore maja status RELATED lub ESTABLISHED.- Jeśli możesz to zamieść tutaj , Stone 26/09/03 20:18
dla dobra ogółu :P
PozdrawiamPozdrawiam
Stone aka S1one
- oto moj firewall: , josh 26/09/03 20:25
#!/bin/sh
INTERFACES="default"
UPLINK="ppp0"
FW_TARGET="192.168.1.202"
SERVICES_TCP="80 ssh 4662 9123 12345"
SERVICES_UDP="4666 9123"
SERVICES_FW_TCP="5800 5900 20045 5500 5501"
#LFS 63392
#VNC 5800 5900
#AA-Operations 20045
#BearShare 6346
#EyeBall Chat 5500 5501
#ICUII - 2000 2001
#Toca2 47624 6073 2300:2400
SERVICES_FW_UDP="63392 5700 5701 5702 5703"
#LFS 63392
#MindinghtClub2 9741
#BearShare 6346
#EyeBall Chat 5700 5701 5702 5703
#ICUII 2002
#Toca2 2300:2400
#reset firewall:
/etc/init.d/rc.iptables.flush
#OK, lets start:
iptables -P INPUT DROP
iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
iptables -A INPUT -i ${UPLINK} -m state --state ESTABLISHED,RELATED -j ACCEPT
#open access to services:
for x in ${SERVICES_TCP}
do
iptables -A INPUT -p tcp -i ${UPLINK} --dport ${x} -m state --state NEW -j ACCEPT
done
for x in ${SERVICES_UDP}
do
iptables -A INPUT -p udp -i ${UPLINK} --dport ${x} -m state --state NEW -j ACCEPT
done
iptables -A INPUT -p icmp -i ${UPLINK} -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable
#open access to forwarded services:
for x in ${SERVICES_FW_TCP}
do
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport ${x} -j DNAT --to ${FW_TARGET}
done
for x in ${SERVICES_FW_UDP}
do
iptables -A PREROUTING -t nat -p udp -i ppp0 --dport ${x} -j DNAT --to ${FW_TARGET}
done
#-----------------------------VPN
VPNCLN="80.50.40.185"
iptables -A PREROUTING -t nat -s $VPNCLN -p 47 -i ppp0 -j DNAT --to ${FW_TARGET}
iptables -A PREROUTING -t nat -s $VPNCLN -p tcp -i ppp0 --dport 1723 -j DNAT --to ${FW_TARGET}
iptables -A PREROUTING -t nat -s $VPNCLN -p udp -i ppp0 --dport 1701 -j DNAT --to ${FW_TARGET}
iptables -A PREROUTING -t nat -s $VPNCLN -p tcp -i ppp0 --dport 445 -j DNAT --to ${FW_TARGET}
iptables -A PREROUTING -t nat -s $VPNCLN -p udp -i ppp0 --dport 445 -j DNAT --to ${FW_TARGET}
iptables -A PREROUTING -t nat -s $VPNCLN -p udp -i ppp0 --dport 500 -j DNAT --to ${FW_TARGET}
iptables -A PREROUTING -t nat -s $VPNCLN -p udp -i ppp0 --dport 53 -j DNAT --to ${FW_TARGET}
#-----------------------------VPN
#turn spoofing off:
for x in ${INTERFACES}
do
echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
done
#turn IP Forwarding on:
echo 1 > /proc/sys/net/ipv4/ip_forward
#dynamic IP masquarade:
iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
#load FTP NAT module
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp- a do tego jeszcze skrypt czyszczacy ustawienia iptables (wykorzytywany w powyzszym) , josh 26/09/03 20:27
#!/bin/sh
#
# rc.flush-iptables - Resets iptables to default values.
#
# Copyright (C) 2001 Oskar Andreasson <bluefluxATkoffeinDOTnet>
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; version 2 of the License.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program or from the site that you downloaded it
# from; if not, write to the Free Software Foundation, Inc., 59 Temple
# Place, Suite 330, Boston, MA 02111-1307 USA
#
# Configurations
#
IPTABLES="/sbin/iptables"
#
# reset the default policies in the filter table.
#
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#
# reset the default policies in the nat table.
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
# reset the default policies in the mangle table.
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
#
# flush all the rules in the filter and nat tables.
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
# erase all chains that's not default in filter and nat table.
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
- Rozwiązanie problemu oraz kolejne pytanie: , Stone 27/09/03 11:54
trzeba było otworzyć port 412 tcp na który to przekierowany jest ruch (port można zmienić w ustawieniach):
iptables -t nat -A PREROUTING -p tcp -i ppp0 --destination-port 412 -j DNAT --to-destination 192.168.1.2:412
Jest jednak jeszcze jeden problem, trzeba było wstawić ip zewnętrzne neo, które jest zmienne.
Czy jest jakiś inny sposob przekierowania, by można było ustawić ip wewnętrzne np 192.168.1.2 ?
PozdrawiamPozdrawiam
Stone aka S1one - nie rozumiem pytania w zasadzie , josh 27/09/03 16:44
piszesz, ze nadal nie wiesz jak zrobic przekierowanie mimo tego, ze zamiascilem tutaj calego firewalla gdzie masz jak na dloni przekierowania (i inne rzeczy)
i nigedzie mie ma mowy o numerze IP zewnetrznym- Chodzi mi o to że: , Stone 27/09/03 16:58
w programie dc++ muszę wpisać IP zewnętrzne, jeśli wpisze 192.168.1.2 (IP mojego komputera za MASQARADĄ) to program nie wyszukuje i nie ściągaPozdrawiam
Stone aka S1one - jesli chodzi o dc++ , josh 27/09/03 17:15
to nie wiem bo nie uzywam... (mldonkey rulez) :-)
jesli mialby sie przydac to zamieszcze tutaj taki malutki skrypcik - wyciaga on z ifconfig'a adres IP zewnetrzny dla ppp0 - mi sie przydaje w momencie, gdy zmienia mi sie IP to ten programik jest wykorzystywany w skrypcie, ktory ladyje na ftp neostrady pliczek z przekierowaniem na moj AKTUALNY adres IP :-)
dzialanie mozesz obejrzec jak wejdziesz na strone:
http://josh.neostrada.pl/fs.html
ten plik fs.html jest generowany automatycznie za kazdym razem gdy "wstaje" ppp - a jego tresc to bezwarunkowe przekierowanie na moja stronke na kompie o moim IP :-)
moze tobie sie przyda ten kawalek odnosnie wypisywania adresu IP, oto on:
#!/usr/bin/perl
$server_address = `ifconfig ppp0`;
$server_address =~ s/^.*addr:(\S+).*$/$1/s;
print $server_address;
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
