iptables проброс порта

0

0

linux 2.6.24.3 Конфиг iptables, Не работает проброс порта, nmap пишет "filtered", на остальные порты - closed cat /etc/rc.d/rc.firewall

EXTERNAL=eth0 INTERNAL=eth1 EXTERNALIP1=x.x.x.x INTERNALIP1=192.168.0.2

echo 1 > /proc/sys/net/ipv4/ip_forward echo "Setting up NAT (Network Address Translation)..." iptables -F iptables -F -t nat # by default, nothing is forwarded. iptables -P FORWARD DROP # Allow all connections OUT and only related ones IN

iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -m state --state ESTABLISHED,RELA TED -j ACCEPT iptables -A FORWARD -i $INTERNAL -o $EXTERNAL -j ACCEPT # enable MASQUERADING iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE

# IMAP to EXCH gateway iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 587 -j ACCEPT iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 993 iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 993 -j DNAT iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 143 -j DNAT --to $ INTERNALIP1:143 iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 110 -j DNAT --to $ INTERNALIP1:110

iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 587 -j DNAT --to $ INTERNALIP1:587

Ссылка

←	прочитать письмо скриптом

Минимальный линукс

→

а с форматированием?

shutty ★
(15.07.09 12:02:57 MSD)

Ответ на: комментарий от shutty 15.07.09 12:02:57 MSD

EXTERNAL=eth0
INTERNAL=eth1
EXTERNALIP1=x.x.x.x
INTERNALIP1=192.168.0.2

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Setting up NAT (Network Address Translation)..."
iptables -F iptables -F -t nat # by default, nothing is forwarded.
iptables -P FORWARD DROP # Allow all connections OUT and only related ones IN

iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -m state --state ESTABLISHED,RELA TED -j ACCEPT
iptables -A FORWARD -i $INTERNAL -o $EXTERNAL -j ACCEPT # enable MASQUERADING iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE

# IMAP to EXCH gateway
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 993
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 993 -j DNAT
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 143 -j DNAT --to $ INTERNALIP1:143
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 110 -j DNAT --to $ INTERNALIP1:110
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 587 -j DNAT --to $ INTERNALIP1:587

info9216
(15.07.09 12:19:10 MSD) автор топика

Ответ на: комментарий от info9216 15.07.09 12:19:10 MSD

Черт его знает. А если отломать строчки с маскарадингом и хитрым дропом, работать начинает?

Вообще, при настройке иптаблеса не стоит писать сразу двесть злых правил, а потом болезненно думать почему все не работает. Попробуй начать с малого, а потом включать злые дропы и аксепты.

shutty ★
(15.07.09 12:40:30 MSD)

Ссылка

Ответ на: комментарий от info9216 15.07.09 12:19:10 MSD

тут чего-то не хватает
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p tcp --dport 993
iptables -A PREROUTING -t nat -p tcp -d $EXTERNALIP1 --dport 993 -j DNAT

chocholl ★★
(15.07.09 14:02:12 MSD)

Ответ на: комментарий от chocholl 15.07.09 14:02:12 MSD

Я, пожалуй, таки сорву интригу.

Прежде, чем пакет попадет в FORWARD, он должен пройти INPUT. Так что и в INPUT эти правила должны быть.

nnz ★★★★
(15.07.09 14:55:18 MSD)

Ответ на: комментарий от nnz 15.07.09 14:55:18 MSD

а вы тоже в туалет через спальню ходите?

chocholl ★★
(15.07.09 15:36:00 MSD)

Ответ на: комментарий от chocholl 15.07.09 15:36:00 MSD

Через спальню в туалет - это из другой оперы.

nnz ★★★★
(15.07.09 15:53:23 MSD)

Ссылка

Ответ на: комментарий от nnz 15.07.09 14:55:18 MSD

Всё ещё пользуетесь ipchains? Тогда мы не идём к вам.

mky ★★★★★
(15.07.09 16:31:46 MSD)

Ответ на: комментарий от info9216 15.07.09 12:19:10 MSD

Запустите tcpdump на INTERNAL интерфейсе и смотрите, уходят ли пакеты на 192.168.0.2. Думаю, что пакеты туда уходят, а там уже и происходит "filtered".

mky ★★★★★
(15.07.09 16:34:27 MSD)

Ответ на: комментарий от mky 15.07.09 16:31:46 MSD

Чорд. Пять лет думал что оно именно так. Пять лет настраивал iptables и все работало идеально. Как я теперь буду с этим жить? :D

nnz ★★★★
(15.07.09 16:41:05 MSD)

Ссылка

Ответ на: комментарий от mky 15.07.09 16:34:27 MSD

Вто что сказал tcpdump
tcpdump -i eth1 port 143

17:49:27.433484 IP myhost.54976 > 192.168.0.2.imap: S 402999172:402999172(0) win 3072 <mss 1460>
17:49:27.541214 IP myhost.52762 > 192.168.0.2.imap: S 402933637:402933637(0) win 2048 <mss 1460>

info9216
(15.07.09 18:12:35 MSD) автор топика

Ответ на: комментарий от info9216 15.07.09 18:12:35 MSD

То есть пакеты пробрасываются. Только myhost это $EXTERNALIP1 или машина в интернете (на которой запускается nmap)?

mky ★★★★★
(15.07.09 21:03:47 MSD)

Ответ на: комментарий от mky 15.07.09 21:03:47 MSD

>Только myhost это $EXTERNALIP1 или машина в интернете (на которой запускается nmap)?
Да. Это очень существенный момент.

2info9216: http://ru.wikipedia.org/w/index.php?title=Iptables&oldid=17107327#nat Пример для DNAT и комментарии к нему. Изучать до полного просветления.

nnz ★★★★
(16.07.09 01:28:03 MSD)

Ссылка

Ответ на: комментарий от nnz 15.07.09 14:55:18 MSD

> Я, пожалуй, таки сорву интригу.
>Прежде, чем пакет попадет в FORWARD, он должен пройти INPUT. Так что и в INPUT эти правила должны быть.

Прежде, чем что-либо срывать, неплохо почитать документацию.

ovax ★★★
(16.07.09 01:34:00 MSD)

Ответ на: комментарий от ovax 16.07.09 01:34:00 MSD

Я уже публично покаялся и даже (в порядке самовоспитания) начал дописывать статью на вики. Ну что поделать, у меня было тяжелое детство с фаерволами без таблиц :)

nnz ★★★★
(16.07.09 02:03:35 MSD)