iptables проброс порта с динамическим IP

iptables, трудности

0

1

-A PREROUTING -i ppp1 -p udp -m udp --dport 23399 -j DNAT --to-destination 192.168.0.25:23399
-A FORWARD -d 192.168.0.25/32 -p udp -m udp --dport 23399 -j ACCEPT

Почему то не работает.

Как пробросить порт внутрь сети?

ppp1 - внешний интерфейс 192.168.0.* локалка (192.168.0.0/24)

Ссылка

←	Подмена текста в HTTP пакетах на лету - как?

nagios notify

→

Почему то не работает.

Работает (в одну сторону — внутрь, как ты и хотел)

Как пробросить порт внутрь сети?

Лопата! (можно смеяться)

anonymous
(14.02.13 16:48:46 MSK)

Ответ на: комментарий от anonymous 14.02.13 16:48:46 MSK

Я не понял. Что я сделал неправильно или не сделал?

~~rezedent12~~ ☆☆☆
(14.02.13 19:03:47 MSK) автор топика

Ответ на: комментарий от rezedent12 14.02.13 19:03:47 MSK

может таблицу nat не указал, по умолчанию filter

~~IvanR~~ ★★★
(14.02.13 19:08:35 MSK)

Ответ на: комментарий от IvanR 14.02.13 19:08:35 MSK

может таблицу nat не указал, по умолчанию filter

А что там надо указать?

~~rezedent12~~ ☆☆☆
(14.02.13 19:19:18 MSK) автор топика

Ответ на: комментарий от rezedent12 14.02.13 19:19:18 MSK

замена адресов производится в таблице nat соответственно полная команда должна выглядеть так

iptables -t nat -A PREROUTING -i ppp1 -p udp -m udp --dport 23399 -j DNAT --to-destination 192.168.0.25:23399

то что у вас написано выглядет так:

iptables -t filter -A PREROUTING -i ppp1 -p udp -m udp --dport 23399 -j DNAT --to-destination 192.168.0.25:23399

поскольку "-t filter" если не указано иного. вообще-то та команда, которая у вас не должна бы была выполниться, так как если не ошибаюсь, то трансляцию адресов можно выполнять только в таблице nat, а не в таблице filter и iptables должен был бы ругаться

вторая команда правильная

~~IvanR~~ ★★★
(14.02.13 19:27:31 MSK)
Последнее исправление: IvanR 14.02.13 19:28:32 MSK (всего исправлений: 1)

Ссылка

iptables-save

anton_jugatsu ★★★★
(14.02.13 21:35:03 MSK)

Ответ на: комментарий от anton_jugatsu 14.02.13 21:35:03 MSK

# Generated by iptables-save v1.4.5 on Thu Feb 14 22:27:31 2013
*mangle
:PREROUTING ACCEPT [4391780:1814381677]
:INPUT ACCEPT [706350:43611751]
:FORWARD ACCEPT [3683352:1769844271]
:OUTPUT ACCEPT [71657:8687312]
:POSTROUTING ACCEPT [3755009:1778531583]
COMMIT
# Completed on Thu Feb 14 22:27:31 2013
# Generated by iptables-save v1.4.5 on Thu Feb 14 22:27:31 2013
*nat
:PREROUTING ACCEPT [93267816:6181074929]
:POSTROUTING ACCEPT [5088030:287580120]
:OUTPUT ACCEPT [1154485:76952264]
-A PREROUTING -i ppp1 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.0.25:6881 
-A PREROUTING -i ppp1 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.0.25:6881 
-A PREROUTING -i ppp1 -p udp -m udp --dport 4444 -j DNAT --to-destination 192.168.0.25:4444 
-A PREROUTING -i ppp1 -p tcp -m tcp --dport 23399 -j DNAT --to-destination 192.168.0.25:23399 
-A PREROUTING -i ppp1 -p udp -m udp --dport 23399 -j DNAT --to-destination 192.168.0.25:23399 
-A PREROUTING -i ppp1 -p tcp -m tcp --dport 3826 -j DNAT --to-destination 192.168.0.25:3826 
-A PREROUTING -i ppp1 -p udp -m udp --dport 3826 -j DNAT --to-destination 192.168.0.25:3826 
-A PREROUTING -i ppp1 -p tcp -m tcp --dport 2100 -j DNAT --to-destination 192.168.0.25:2100 
-A PREROUTING -i ppp1 -p udp -m udp --dport 2100 -j DNAT --to-destination 192.168.0.25:2100 
-A PREROUTING -i ppp1 -p tcp -m tcp --dport 3030 -j DNAT --to-destination 192.168.0.25:3030 
-A PREROUTING -i ppp1 -p udp -m udp --dport 3030 -j DNAT --to-destination 192.168.0.25:3030 
-A PREROUTING -i ppp1 -p udp -m udp --dport 27015 -j DNAT --to-destination 192.168.0.35:27015 
-A POSTROUTING -o ppp1 -j MASQUERADE 
-A POSTROUTING -d 192.168.0.35/32 -p udp -m udp --dport 27015 -j MASQUERADE 
COMMIT
# Completed on Thu Feb 14 22:27:31 2013
# Generated by iptables-save v1.4.5 on Thu Feb 14 22:27:31 2013
*filter
:INPUT ACCEPT [14031:1147821]
:FORWARD ACCEPT [556789:38630028]
:OUTPUT ACCEPT [8383:528283]
-A INPUT -f -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -j ULOG --ulog-prefix "icount" --ulog-cprange 48 --ulog-qthreshold 50 
-A INPUT -i ppp1 -p tcp -m tcp --dport 25565 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 25565 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 25575 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 25575 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 8080 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 3826 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 3826 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 1723 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 47 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 3030 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 3030 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 20 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 21 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 143 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 220 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 220 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 993 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 993 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 1194 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 1194 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 110 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 995 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 995 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 137 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 137 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 138 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 138 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 139 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 139 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 445 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 25 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 465 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 587 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 587 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 22 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 80 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 443 -j ACCEPT 
-A INPUT -i ppp1 -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -i ppp1 -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -i ppp1 -p icmp -j ACCEPT 
-A INPUT -i ppp1 -j DROP 
-A FORWARD -f -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50 
-A FORWARD -d 192.168.0.25/32 -p tcp -m tcp --dport 6881 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p udp -m udp --dport 6881 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p tcp -m tcp --dport 6882 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p udp -m udp --dport 6882 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p udp -m udp --dport 4444 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p tcp -m tcp --dport 23399 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p udp -m udp --dport 23399 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p tcp -m tcp --dport 3826 -j ACCEPT 
-A FORWARD -d 192.168.0.25/32 -p udp -m udp --dport 3826 -j ACCEPT 
-A FORWARD -m physdev --physdev-is-bridged -j ACCEPT 
-A FORWARD -i ppp1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i ppp1 -j DROP 
-A FORWARD -i eth0 -o ppp0 -j DROP 
-A OUTPUT -f -j DROP 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -j ULOG --ulog-prefix "ocount" --ulog-cprange 48 --ulog-qthreshold 50 
COMMIT

~~rezedent12~~ ☆☆☆
(14.02.13 22:28:43 MSK) автор топика

Ответ на: комментарий от rezedent12 14.02.13 22:28:43 MSK

убери DROP'ы для начала.

anton_jugatsu ★★★★
(15.02.13 07:40:28 MSK)

Ответ на: комментарий от anton_jugatsu 15.02.13 07:40:28 MSK

А что DROP транзитный трафик тоже режет? Как тогда сделать так что бы и порты были закрыты лишние, и порт пробросить?

Или только это убрать надо?

-A FORWARD -f -j DROP

~~rezedent12~~ ☆☆☆
(15.02.13 23:02:12 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Подмена текста в HTTP пакетах на лету - как?

Admin

nagios notify

→

Похожие темы