LINUX.ORG.RU
ФорумAdmin

проброс порто iptables


0

1

Здравствуйте. не пробрасываются порты. Debian 6
Будет ip телефония.

Нужно пробросить порт tcp 1720 на 192.168.0.249
udp 7600:7699 на 192.168.0.251

Помогите, что не так?

:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp -m udp --dport 5588 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1720 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1935 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1720 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1720 -j ACCEPT
-A INPUT -p udp -m udp --sport 7600:7699 -j ACCEPT
-A INPUT -p udp -m udp --dport 7600:7699 -j ACCEPT
COMMIT
# Completed on Mon Nov 12 22:13:03 2012
# Generated by iptables-save v1.4.8 on Mon Nov 12 22:13:03 2012
*mangle
:PREROUTING ACCEPT [6599:1222739]
:INPUT ACCEPT [1632:862525]
:FORWARD ACCEPT [4965:360102]
:OUTPUT ACCEPT [1771:818708]
:POSTROUTING ACCEPT [6738:1179278]
COMMIT
# Completed on Mon Nov 12 22:13:03 2012
# Generated by iptables-save v1.4.8 on Mon Nov 12 22:13:03 2012
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -i vlan107 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp -i vlan71 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp -i vlan257 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 1720 -j DNAT --to-destination 192.168.0.249:1720
-A PREROUTING -p tcp -m tcp --sport 1720 -j DNAT --to-destination 192.168.0.249:1720
-A PREROUTING -p tcp -m tcp --dport 5080 -j DNAT --to-destination 127.0.0.1:5080
-A PREROUTING -p tcp -m tcp --dport 1935 -j DNAT --to-destination 127.0.0.1:1935
-A PREROUTING -p tcp -m tcp --dport 8088 -j DNAT --to-destination 192.168.0.249:8088
-A PREROUTING -p tcp -m tcp --dport 5003 -j DNAT --to-destination 192.168.0.249:5003
-A PREROUTING -p udp -m udp --dport 5588 -j DNAT --to-destination 192.168.0.249:5588
-A PREROUTING -p udp -m udp --sport 7600:7695 -j DNAT --to-destination 192.168.0.251:7600-7695
-A PREROUTING -p udp -m udp --dport 7600:7695 -j DNAT --to-destination 192.168.0.251:7600-7695
-A PREROUTING -p udp -m udp --dport 2048:4096 -j DNAT --to-destination 192.168.0.251:7600-7695
-A PREROUTING -p udp -m udp --sport 2048:4096 -j DNAT --to-destination 192.168.0.251:7600-7695
-A POSTROUTING -o eth0 -j SNAT --to-source 212.90.183.186
COMMIT

пробросить порт tcp 1720 на 192.168.0.249

udp 7600:7699 на 192.168.0.251

Что не так не скажу, но делал бы так.

LOCAL_IP1=192.168.0.249
EXT_PORT1=1720
LOCAL_PORT1=1720
LOCAL_PORT1=1720
PROTO1=tcp
LOCAL_IP2=192.168.0.251
EXT_PORT2=7600:7699
LOCAL_LOWPORT2=7600
LOCAL_HIGHPORT2=7699
PROTO2=udp
iptables -t nat -I PREROUTING -p $PROTO1 --dport $EXT_PORT1 -j DNAT --to-destination $LOCAL_IP1:$LOCAL_PORT1
iptables -I FORWARD -i $EXTIF -d $LOCAL_IP1 -p $PROTO1 --dport $LOCAL_PORT1 -j ACCEPT
iptables -t nat -I PREROUTING -p $PROTO2 --dport $EXT_PORT2 -j DNAT --to-destination $LOCAL_IP2:$LOCAL_LOWPORT2-$LOCAL_HIGHPORT2
iptables -I FORWARD -i $EXTIF -d $LOCAL_IP2 -p $PROTO2 --dport $LOCAL_LOWPORT2:$LOCAL_HIGHPORT2 -j ACCEPT       

backbone ★★★★★ ()

Зачем и sport и dport??? Почему не указаны интерфейсы или ip назначения? Вы так даже если порты и пробросили на 0.251, то обратный трафик с 0.251 всё-равно назад на него же будет отсылаться =/

Зачем в OUTPUT разрешать эти порты? ip_forward вообще включен?

Короче всё не так =/

nstorm ()
Ответ на: комментарий от backbone

randreevich

Спасибо, все гуууд.
Звонки идут (1720), я слышу, но меня не слышно (7600-7695)
что за..

*filter
:INPUT ACCEPT [177:13511]
:FORWARD ACCEPT [1034:265927]
:OUTPUT ACCEPT [4436:3903505]
-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p udp -m udp --dport 5588 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1935 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1720 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 7600:7695 -j ACCEPT
-A FORWARD -d 192.168.0.249/32 -i eth0 -p tcp -m tcp --dport 1720 -j ACCEPT
-A FORWARD -d 192.168.0.251/32 -i eth0 -p udp -m udp --dport 7600:7695 -j ACCEPT
COMMIT
# Completed on Wed Nov 14 12:24:01 2012
root@serverdsst:/home/uzer# iptables-save
# Generated by iptables-save v1.4.8 on Wed Nov 14 12:27:32 2012
*nat
:PREROUTING ACCEPT [7807:727082]
:POSTROUTING ACCEPT [77:6908]
:OUTPUT ACCEPT [924:61127]
-A PREROUTING -i vlan107 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i vlan71 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i vlan257 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 5080 -j DNAT --to-destination 127.0.0.1:5080
-A PREROUTING -p tcp -m tcp --dport 1935 -j DNAT --to-destination 127.0.0.1:1935
-A PREROUTING -p tcp -m tcp --dport 8088 -j DNAT --to-destination 192.168.0.249:8088
-A PREROUTING -p tcp -m tcp --dport 5003 -j DNAT --to-destination 192.168.0.249:5003
-A PREROUTING -p udp -m udp --dport 5588 -j DNAT --to-destination 192.168.0.249:5588
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1720 -j DNAT --to-destination 192.168.0.249:1720
-A PREROUTING -i eth0 -p udp -m udp --dport 7600:7695 -j DNAT --to-destination 192.168.0.251:7600-7695
-A POSTROUTING -o eth0 -j SNAT --to-source 212.90.183.186

randreevich ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.