LINUX.ORG.RU
решено ФорумAdmin

помощь с IPTABLES

 ,


0

1

есть правило IPTABLES вот такое
iptables.sh!
проблема втом что при нахождении в локалке, я не могу получить доступ к 192.168.0.92:8102
Подскажите что делать
Заранее спасибо!
Всем спасибо! Я просто хотел удостовериться что правила itables не влияют никак, на самом деле так и есть, нашел проблему в коде клиента на с++



Последнее исправление: eds2809 (всего исправлений: 1)

Напишите, пожалуйста, подробнее. 192.168.0.92 - это отдельная машина в локальной сети, либо это локальный адрес сервера, для которого приведены правила?

Второй вопрос - что означает «при нахождении в локалке»? Речь идет о доступе с одной из клиентских машин или с самого сервера?

Пакеты с локальных машин на 192.168.0.92 вообще не должны проходить через сервер (при условии, что это не адрес самого сервера), соответственно, правила iptables на них никак повлиять не могут.

Serge10 ★★★★★
()
Ответ на: комментарий от BOOBLIK

Не боись, там потом все разрешено.

Разрешаем все исходящие подключения сервера

$IPT -A OUTPUT -o $WAN -j ACCEPT

Разрешаем все входящие подключения сервера

#$IPT -A INPUT -i $WAN -j ACCEPT

После этого, все правила до логирования, не нужны.

А доступ в локалке это другая история.

Busf
()

Хорошие, годные правила. Откуда скопипастили?

проблема втом что при нахождении в локалке, я не могу получить доступ к 192.168.0.92:8102

При нахождение в локалке это что? С какой машинки «не можете» получить доступ?

anc ★★★★★
()
Ответ на: комментарий от Serge10

Это правило для шлюза(192.168.0.1)
192.168.0.92 -это клиентская машина в локальной сети, к ней пытаюсь подключиться с телефона (подключение сокет-сокет)

eds2809
() автор топика
Ответ на: комментарий от eds2809

Это правило для шлюза(192.168.0.1) 192.168.0.92 -это клиентская машина в локальной сети,

Ясно, спасибо.

к ней пытаюсь подключиться с телефона (подключение сокет-сокет)

А вот это я не понял. Что такое «сокет-сокет»? Телефон какой IP-адрес имеет - локальный или внешний?

Serge10 ★★★★★
()
Ответ на: комментарий от anc

с какого-то форума)[br] не помню уже [br] «не могу получить доступ» - означает что две машины в локалке не могут общаться, в частности на .92 есть Java сервер, телефон (.200) устанавливает соединение через сокет

eds2809
() автор топика
Ответ на: комментарий от eds2809

телефон (.200) устанавливает соединение через сокет

Если .200 означает локальный адрес телефона 192.168.0.200, то настройки Вашего шлюза вообще не имеют отношения к обсуждаемой проблеме. Нужно разбираться в конфигурации Вашего Java-сервера и клиента (на телефоне). Кстати, на самой машине 192.168.0.92 файрвола нет?

Serge10 ★★★★★
()
Ответ на: комментарий от eds2809

И причем тут роутер и iptables на роутере? Это ваша локалка. К роутеру это не имеет отношения от слова совсем.

anc ★★★★★
()
Ответ на: комментарий от Serge10

Да как бы я понимаю это, если стучусь с внешки все норм, едиинственное что телефон является клиентом WIFI, а доступ через роутер, который проводом зацеплин к шлюзу, кстати говоря что-то яне подумал про роутер, но он как бы должен просто маршрутизировать трафик меджу WIFI и LAN

eds2809
() автор топика
Ответ на: комментарий от eds2809

кстати говоря что-то яне подумал про роутер, но он как бы должен просто маршрутизировать трафик меджу WIFI и LAN

Роутер в Вашей конфигурации ничего маршрутизировать не должен. Он должен быть настроен в режиме AccessPoint. Так что смотрите его настройки, скорее всего, проблема именно там.

Serge10 ★★★★★
()
Ответ на: комментарий от eds2809

Предлагаю взглянуть с другой точки зрения,какой ip адрес телефона, когда телефон не может подключиться к 192.168.0.92:8102?

Busf
()
Ответ на: комментарий от Serge10

Знак комментария (#) Вы, конечно, не рассмотрели? ;)

Не он один :) Я аналогично сначала пропустил этот момент, офилель, потом пересмотрел :)

anc ★★★★★
()
Ответ на: комментарий от Serge10

Извините, задам дурацкий вопрос - что такое «проблема XY»?

На «дурацкий вопрос» дурацкий ответ. Погуглите. Это без стеба. Всё бывает и возможно вы не в курсе этого как и про «прикол» со скоростью света. В гуле много ссылок на описание XY.

anc ★★★★★
()
Ответ на: комментарий от anc

Всё бывает и возможно вы не в курсе этого как и про «прикол» со скоростью света.

Угу, почитал. Про проблему, разумеется, слышал. А вот с формулировкой такой («проблема XY», как, впрочем, и «проблема молотка») сталкиваюсь впервые.

Serge10 ★★★★★
()
Ответ на: комментарий от anc

«XY problem» тоже старое понятие, но очень правильное :)

К сожалению, рускоязычный сегмент сети отличает то, что пытающихся вначале сказать «вот тебе решение Y» изчезающе мало.

По топику тут даже не XY, а такая проблема в формулировке, что и вникать не хочется.

vodz ★★★★★
()
Ответ на: комментарий от anc

Ну уж понять что они в одном сегменте сети я могу)

eds2809
() автор топика
Ответ на: комментарий от BOOBLIK

Может не стоит использовать дичь типа «iptables -P OUTPUT DROP»?

Хотел ответить, думая что это про input. А так страшная дичь. Может ТС хочет сделать реальный black box.

hbars ★★★★★
()
Ответ на: комментарий от BOOBLIK

Может не стоит использовать дичь типа «iptables -P OUTPUT DROP»?

А для чего тогда предназначена цепочка OUTPUT в таблице filter?

Вопрос по применению правил Iptables (комментарий)

Вопрос по применению правил Iptables (комментарий)

Вы так все ссыте кипятком на фильтрацию всего исходящего трафика, что подозреваю существование ВАШЕГО страшного ботнета.

Трижды уже переписывал сетевой экран с пропуском только необходимых пакетов через filter OUTPUT.

И ище раз гляну, чтобы ваши вири не пролезли.

anonymous
()
Ответ на: комментарий от anc

А в цепочке OUTPUT таблицы security трафик фильтровать можно?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.