Проброс порта внутрь сети

0

0

Добрый день! Вопрос вот в чем. Есть сеть, с Alt Linux в качестве маршрутизатора. За ним стоит сервер, на котором настроенно клиент-серверное приложение. Нужно что бы это приложение работало изнутри офиса, т.е. при настройке программы я указываю порт 4411, которое оно использует, и все работает.

В iptables я прописываю правило:

$IPTABLES -t nat -A PREROUTING -p TCP -d $INET_IP --dport 4411 -j DNAT --to-destination 192.168.0.157:4411

$IPTABLES -t nat -A POSTROUTING -s 192.168.0.157 -p TCP --sport 4411 -j SNAT --to-source $INET_IP:4411

но ничего не работает.

Если добавляю строчку:

$IPTABLES -A FORWARD -p ALL -i $INET_IFACE -o $LAN_IFACE -s 192.168.0.157 --dport 4411 -j ACCEPT

то при запуске скрипта пишет:

Starting firewalling... Cheking module dependencies... Loading additional modules... Flushing chains... iptables v1.3.1: Unknown arg `--dport' Try `iptables -h' or 'iptables --help' for more information.

Если кто то сталкивался с подобной проблемой помогите советом, в какую сторону смотреть.

Ссылка

←	туннель через https

Проблема RAID 0 + LVM

→

$IPTABLES -t nat -A PREROUTING -p TCP -d $INET_IP --dport 4411 -j DNAT --to-destination 192.168.0.157:4411

Прверащается

$IPTABLES -t nat -A PREROUTING -p TCP -d $INET_IP -m tcp --dport 4411 -j DNAT --to-destination 192.168.0.157:4411

oxumorron ★
(08.10.09 14:28:41 MSD)

Ответ на: комментарий от oxumorron 08.10.09 14:28:41 MSD

Попробовал что вы советуете, ситуацию не изменилась :(

tagilchane
(08.10.09 14:53:54 MSD) автор топика

Ответ на: комментарий от tagilchane 08.10.09 14:53:54 MSD

достаточно одного правила:

iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 4411 -j DNAT --to-destination 192.168.0.157

вы уверены что у вас правила добавляются?
iptables -t nat -L -v -n
смотрите?

какие еще правила есть? FORWARD не заблочен?

hizel ★★★★★
(08.10.09 14:59:06 MSD)

Ответ на: комментарий от hizel 08.10.09 14:59:06 MSD

И TCP стоит наверное в нижнем регистре писать... Хотя он бы ругался наверное на незнакомый протокол...

oxumorron ★
(08.10.09 15:04:10 MSD)

Ссылка

У меня точно работает:

iptables -t filter -A INPUT -i eth1 -p tcp -m tcp --dport 5678 -j ACCEPT

iptables -t filter -A FORWARD -i eth1 -p tcp -m tcp --dport 5678 -j ACCEPT

iptables -t nat -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 5678 -j DNAT --to-destination 192.168.1.100:5678

На всякий случай lsmod:

Module                  Size  Used by
agpgart                26928  1 intel_agp
ata_generic             5252  0 
capability              3336  0 
commoncap               5376  1 capability
eepro100               26384  0 
evdev                   7936  0 
i2c_piix4               7436  0 
intel_agp              21532  1 
ip_tables              10184  3 iptable_mangle,iptable_nat,iptable_filter
iptable_filter          2304  1 
iptable_mangle          2304  0 
iptable_nat             6148  1 
ipv6                  226016  22 
lp                      9800  0 
mii                     4736  2 eepro100,via_rhine
nf_conntrack           47560  4 iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state
nf_conntrack_ipv4      13324  4 iptable_nat
nf_nat                 15276  1 iptable_nat
nfnetlink               5016  3 nf_nat,nf_conntrack_ipv4,nf_conntrack
parport                30152  2 lp,parport_pc
parport_pc             23844  1 
pcspkr                  2304  0 
psmouse                34440  0 
shpchp                 29204  0 
tun                     8064  1 
via_rhine              20360  0 
x_tables               11268  5 iptable_nat,xt_tcpudp,xt_limit,xt_state,ip_tables
xt_limit                2304  1 
xt_state                2048  2 
xt_tcpudp               3200  19

~~berrywizard~~ ★★★★★
(08.10.09 15:04:17 MSD)

Ссылка

Ответ на: комментарий от hizel 08.10.09 14:59:06 MSD

Правил еще цалая куча есть. Forward выставлен в DROP. А эти правила добавляются.

Если ставлю Forward в ACCEPT то соединяется нормально.

tagilchane
(08.10.09 16:53:39 MSD) автор топика

$IPTABLES -A FORWARD -p tcp -d 192.168.0.157 --dport 4411 -m state --state NEW,ESTABLISHED -j ACCEPT

$IPTABLES -A FORWARD -p tcp -s 192.168.0.157 --sport 4411 -m state --state ESTABLISHED -j ACCEPT

~~tux2002~~ ★
(08.10.09 17:55:25 MSD)

Ответ на: комментарий от tux2002 08.10.09 17:55:25 MSD

Имхо правильнее
iptables -I FORWARD -d 192.168.0.157 --dport 4411 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Предлагаю отходить от парадигмы stateless-фаервола.

nnz ★★★★
(08.10.09 18:47:25 MSD)

Ответ на: комментарий от tagilchane 08.10.09 16:53:39 MSD

# Проброс порта
iptables -t nat -I PREROUTING -d $INET_IP -p tcp --dport 4411 -j DNAT --to-destination 192.168.0.157
# Разрешить открытие соединений для этого порта
iptables -I FORWARD -d 192.168.0.157 --dport 4411 -j ACCEPT
# Разрешить работу уже установленных соединений
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Вот и все, что нужно! И не надо глядеть на iptables как на загадочный иной разум. Там все просто, как швабра.

nnz ★★★★
(08.10.09 18:53:54 MSD)

> $IPTABLES -A FORWARD -p ALL -i $INET_IFACE -o $LAN_IFACE -s 192.168.0.157 --dport 4411 -j ACCEPT

Опции "-p ALL" и "--dport" несовеместимы. Порты есть только у некоторых протоколов (tcp, udp и др.), но не у всех.

mky ★★★★★
(08.10.09 20:12:12 MSD)

Ответ на: комментарий от mky 08.10.09 20:12:12 MSD

Кстати и птичках.
Никто не в курсе, когда они наконец порты для udplite сделают?

nnz ★★★★
(08.10.09 20:29:08 MSD)

Ссылка

Ответ на: комментарий от nnz 08.10.09 18:53:54 MSD

>iptables -I FORWARD -d 192.168.0.157 --dport 4411 -j ACCEPT

-p tcp забыл. Блин :)

nnz ★★★★
(08.10.09 22:56:07 MSD)

Ссылка

Ответ на: комментарий от nnz 08.10.09 18:47:25 MSD

>Имхо правильнее >iptables -I FORWARD -d 192.168.0.157 --dport 4411 -j ACCEPT >iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

>Предлагаю отходить от парадигмы stateless-фаервола.

Это дело удобства. Лично я делаю правила узко по задачам и группирую их рядом для удобства чтения. Общих правил, покрывающих несколько задач не делаю, чтобы не нарушить логичность. +- несколько правил на призводительность для моих задач не сказывается.

~~tux2002~~ ★
(09.10.09 10:52:57 MSD)

Ответ на: комментарий от tux2002 09.10.09 10:52:57 MSD

>Это дело удобства

Это вопрос эпохи.
В прошлом веке можно было и не уметь пользоваться stateful-правилами.
А в нашем веке их использование дает немалый профит, поэтому не пользоваться ими не имеет смысла.

>Общих правил, покрывающих несколько задач не делаю, чтобы не нарушить логичность

Вот как раз stateless и нелогичны.

С недостатками stateless-парадигмы вы еще столкнетесь, если начнете решать более-менее сложные задачи.

nnz ★★★★
(09.10.09 13:53:19 MSD)

Ссылка

Ответ на: комментарий от nnz 08.10.09 18:47:25 MSD

Огромное спасибо помогло, только вместо iptables -I, сделал iptables -A

tagilchane
(14.10.09 09:40:17 MSD) автор топика

Ответ на: комментарий от tagilchane 14.10.09 09:40:17 MSD

>только вместо iptables -I, сделал iptables -A

Просто когда я пишу человеку, не зная его конфигурации фаервола, я всегда стараюсь использовать добавление правил именно в начало, а не в конец цепочки. Мало ли что в этой цепочке может быть :)

nnz ★★★★
(14.10.09 14:39:28 MSD)

Ответ на: комментарий от nnz 14.10.09 14:39:28 MSD

Еще раз огромное человеческое спасибо!!!

tagilchane
(15.10.09 13:51:48 MSD) автор топика

Ответ на: комментарий от tagilchane 15.10.09 13:51:48 MSD

Пожалуйста :)

nnz ★★★★
(15.10.09 15:14:00 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	туннель через https

Admin

Проблема RAID 0 + LVM

→

Похожие темы