LINUX.ORG.RU
решено ФорумAdmin

Блокирование пакетов Iptables


0

1

Задача у меня следующая: есть домашняя сеть из трех компьютеров и роутер, роутер перепрошит на dd-wrt, есть возможность использовать Iptables

192.168.1.1 роутер 192.168.1.101 комп1 192.168.1.102 комп2 192.168.1.103 комп3

с комп1 на роутер поступают различные пакеты адресованные комп2 например

192.168.1.102:4562 192.168.1.102:2942 192.168.1.102:3745

мне нужно пакет 192.168.1.102:2942 перенаправить на комп3 на тот же порт. Пытался так

iptables -t nat -A PREROUTING -d 192.168.1.102 --dport 2942 -j DNAT --to-destination 192.168.1.103:2942

и много других вариантов перебрал ничего не выходит.

Но что для меня еще непонятно: при попытке полностью заблокировать ип, например так

iptables -I FORWARD -d 192.168.1.102 -j DROP

все блокируется в том числе интернет и с заблокированного ип не могу даже на роутер выйти но соединение с другим компьютером в сети спокойно устанавливается

Подскажите пожалуйста, как все таки можно перебросить пакет.



Последнее исправление: bartsimusa (всего исправлений: 4)

Может ему надо указывать интерфейс на который должно распространяться правило?

А вообще не плохо бы route -n, ifconfig, iptables -L -nv, iptables -L -nv -t nat к посту приложить...

а ну и модель роутера и прошивку (вдруг там просто баги :-D )...

Acceptor ★★
()
Последнее исправление: Acceptor (всего исправлений: 1)
Ответ на: комментарий от Acceptor

route -n

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 188.124.105.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0 188.124.105.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 188.124.105.1 0.0.0.0 UG 0 0 0 vlan1

bartsimusa
() автор топика
Ответ на: комментарий от Acceptor

ifconfig

br0 Link encap:Ethernet HWaddr E0:CB:4E:9D:9A:7A inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:105801 errors:0 dropped:0 overruns:0 frame:0 TX packets:121782 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:10901627 (10.3 MiB) TX bytes:96588056 (92.1 MiB) br0:0 Link encap:Ethernet HWaddr E0:CB:4E:9D:9A:7A inet addr:169.254.255.1 Bcast:169.254.255.255 Mask:255.255.0.0 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 eth0 Link encap:Ethernet HWaddr E0:CB:4E:9D:9A:7A UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:822766 errors:0 dropped:0 overruns:0 frame:0 TX packets:139280 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:124437721 (118.6 MiB) TX bytes:95626938 (91.1 MiB) Interrupt:4 eth1 Link encap:Ethernet HWaddr E0:CB:4E:9D:9A:7C UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10523 errors:0 dropped:0 overruns:0 frame:596882 TX packets:11474 errors:113 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:993967 (970.6 KiB) TX bytes:6609943 (6.3 MiB) Interrupt:2 Base address:0x5000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1 RX packets:273 errors:0 dropped:0 overruns:0 frame:0 TX packets:273 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:20174 (19.7 KiB) TX bytes:20174 (19.7 KiB) vlan0 Link encap:Ethernet HWaddr E0:CB:4E:9D:9A:7A UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:85170 errors:0 dropped:0 overruns:0 frame:0 TX packets:114631 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:9129728 (8.7 MiB) TX bytes:91023247 (86.8 MiB) vlan1 Link encap:Ethernet HWaddr E0:CB:4E:9D:9A:7B inet addr:188.124.105.91 Bcast:188.124.255.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:733570 errors:0 dropped:0 overruns:0 frame:0 TX packets:24670 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:99988852 (95.3 MiB) TX bytes:3976559 (3.7 MiB)

bartsimusa
() автор топика
Ответ на: комментарий от Acceptor

iptables -L -nv

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 5664 521K ACCEPT 0  — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP udp  — vlan1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 0 0 DROP udp  — br0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 0 0 ACCEPT udp  — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:520 0 0 DROP icmp — vlan1 * 0.0.0.0/0 0.0.0.0/0 0 0 DROP 2  — * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT 0  — lo * 0.0.0.0/0 0.0.0.0/0 state NEW 916 50878 logaccept 0  — br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 1007 83546 DROP 0  — * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 260 15224 DROP 0  — * * 0.0.0.0/0 192.168.1.147 0 0 ACCEPT 47  — * vlan1 192.168.1.0/24 0.0.0.0/0 0 0 ACCEPT tcp  — * vlan1 192.168.1.0/24 0.0.0.0/0 tcp dpt:1723 0 0 ACCEPT 0  — br0 br0 0.0.0.0/0 0.0.0.0/0 208 11200 TCPMSS tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 1286 512K lan2wan 0  — * * 0.0.0.0/0 0.0.0.0/0 1161 505K ACCEPT 0  — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 TRIGGER 0  — vlan1 br0 0.0.0.0/0 0.0.0.0/0 TRIGGER type:in match:0 relate:0 125 6926 trigger_out 0  — br0 * 0.0.0.0/0 0.0.0.0/0 125 6926 ACCEPT 0  — br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 0 0 DROP 0  — * * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 8571 packets, 6156K bytes) pkts bytes target prot opt in out source destination Chain advgrp_1 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_10 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_2 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_3 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_4 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_5 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_6 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_7 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_8 (0 references) pkts bytes target prot opt in out source destination Chain advgrp_9 (0 references) pkts bytes target prot opt in out source destination Chain grp_1 (0 references) pkts bytes target prot opt in out source destination Chain grp_10 (0 references) pkts bytes target prot opt in out source destination Chain grp_2 (0 references) pkts bytes target prot opt in out source destination Chain grp_3 (0 references) pkts bytes target prot opt in out source destination Chain grp_4 (0 references) pkts bytes target prot opt in out source destination Chain grp_5 (0 references) pkts bytes target prot opt in out source destination Chain grp_6 (0 references) pkts bytes target prot opt in out source destination Chain grp_7 (0 references) pkts bytes target prot opt in out source destination Chain grp_8 (0 references) pkts bytes target prot opt in out source destination Chain grp_9 (0 references) pkts bytes target prot opt in out source destination Chain lan2wan (1 references) pkts bytes target prot opt in out source destination Chain logaccept (1 references) pkts bytes target prot opt in out source destination 916 50878 ACCEPT 0  — * * 0.0.0.0/0 0.0.0.0/0 Chain logdrop (0 references) pkts bytes target prot opt in out source destination 0 0 DROP 0  — * * 0.0.0.0/0 0.0.0.0/0 Chain logreject (0 references) pkts bytes target prot opt in out source destination 0 0 REJECT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp reject-with tcp-reset Chain trigger_out (1 references) pkts bytes target prot opt in out source destination

bartsimusa
() автор топика
Ответ на: комментарий от Acceptor

iptables -L -nv -t nat

Chain PREROUTING (policy ACCEPT 2095 packets, 143K bytes) pkts bytes target prot opt in out source destination 0 0 DNAT icmp — * * 0.0.0.0/0 188.124.105.91 to:192.168.1.1 52 2568 TRIGGER 0  — * * 0.0.0.0/0 188.124.105.91 TRIGGER type:dnat match:0 relate:0 Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 199 12296 SNAT 0  — * vlan1 0.0.0.0/0 0.0.0.0/0 to:188.124.105.91 0 0 RETURN 0  — * br0 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast 2 677 MASQUERADE 0  — * br0 192.168.1.0/24 192.168.1.0/24 Chain OUTPUT (policy ACCEPT 72 packets, 5855 bytes) pkts bytes target prot opt in out source destination

bartsimusa
() автор топика
Ответ на: комментарий от Acceptor

asus wl 520-gu прошивка DD-WRT v24-sp2 (08/07/10) std

прошу прошения что скинул все кучей если нужно залью файлами

bartsimusa
() автор топика
Ответ на: iptables -L -nv -t nat от bartsimusa

осиль лоркод, простыню твою читать невыносимо.

Revent
()

готов заплатить за помощь в решении этой проблемы

с линуксом я плохо знаком, поэтому заплатил бы 10-20$ за помощь, мой контакт icq 665-805-493

bartsimusa
() автор топика
Ответ на: готов заплатить за помощь в решении этой проблемы от bartsimusa

а вообще, если внешний IP имеется, то открывай 22 порт скидывай параметры подключения, может кто поможет.

Acceptor ★★
()
Последнее исправление: Acceptor (всего исправлений: 2)

я не много не так сформулировал задачу, на самом деле пакеты шли на внешний адрес, ну вообщем нужное мне решение оказалось следующим iptables -t nat -I PREROUTING -s 192.168.1.147 -d 200.200.200.200 -p tcp -m tcp --dport 4321 -j DNAT --to-destination 192.168.1.103:4321

bartsimusa
() автор топика
Ответ на: iptables -L -nv от bartsimusa

круто, попробуй разберись)))

IvanR ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin