Проброс портов ЧЯДНТ?

0

1

Собственной мой iptables. Торрент клиенты пишут что порт открыт (transmission и transmission-daemon). Однако под офтопиком к starcraft никто не может подключиться через battle.net однако я подключиться смог. На офтопике отключил брандмауэр и аваст.

# Generated by iptables-save v1.4.14 on Sun Sep  8 22:22:30 2013
*nat
:PREROUTING ACCEPT [55893:9089406]
:INPUT ACCEPT [3380:373520]
:OUTPUT ACCEPT [9107:437379]
:POSTROUTING ACCEPT [9804:474535]
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 51413 -j DNAT --to-destination 192.168.0.25:51413
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6112 -j DNAT --to-destination 192.168.0.25:6112
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6112 -j DNAT --to-destination 192.168.0.25:6112
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6113 -j DNAT --to-destination 192.168.0.25:6113
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6113 -j DNAT --to-destination 192.168.0.25:6113
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6114 -j DNAT --to-destination 192.168.0.25:6114
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6114 -j DNAT --to-destination 192.168.0.25:6114
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6115 -j DNAT --to-destination 192.168.0.25:6115
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6115 -j DNAT --to-destination 192.168.0.25:6115
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6116 -j DNAT --to-destination 192.168.0.25:6116
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6116 -j DNAT --to-destination 192.168.0.25:6116
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6117 -j DNAT --to-destination 192.168.0.25:6117
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6117 -j DNAT --to-destination 192.168.0.25:6117
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6118 -j DNAT --to-destination 192.168.0.25:6118
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6118 -j DNAT --to-destination 192.168.0.25:6118
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6119 -j DNAT --to-destination 192.168.0.25:6119
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6119 -j DNAT --to-destination 192.168.0.25:6119
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 51414 -j DNAT --to-destination 192.168.0.25:51414
-A PREROUTING -d мо.й.ай.пи/32 -p tcp -m tcp --dport 6111 -j DNAT --to-destination 192.168.0.25:6111
-A PREROUTING -d мо.й.ай.пи/32 -p udp -m udp --dport 6111 -j DNAT --to-destination 192.168.0.25:6111
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6112 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6112 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6113 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6113 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6114 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6114 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6115 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6115 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6116 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6116 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6117 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6117 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6118 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6118 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6119 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6119 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p udp -m udp --dport 6111 -j SNAT --to-source мо.й.ай.пи
-A POSTROUTING -d 192.168.0.25/32 -p tcp -m tcp --dport 6111 -j SNAT --to-source мо.й.ай.пи
COMMIT
# Completed on Sun Sep  8 22:22:30 2013
# Generated by iptables-save v1.4.14 on Sun Sep  8 22:22:30 2013
*filter
:INPUT ACCEPT [50478306:54162398792]
:FORWARD ACCEPT [109360590:58412492950]
:OUTPUT ACCEPT [42747868:54581507533]
COMMIT
# Completed on Sun Sep  8 22:22:30 2013

Ссылка

←	Serial loop в Virtualbox

В каком дистрибутиве самый свежий trac?

→

-d мо.й.ай.пи

Лучше испольовать имя интерфейса. Ну и ещё у тебя по-умолчанию разрешено всё. В смысле до твоих правил может дело и не доходит.

ziemin ★★
(08.09.13 22:04:19 MSK)
Последнее исправление: ziemin 08.09.13 22:04:56 MSK (всего исправлений: 1)

Ответ на: комментарий от ziemin 08.09.13 22:04:19 MSK

То есть как это? Правила в другом порядке надо поставить?

~~rezedent12~~ ☆☆☆
(08.09.13 22:09:08 MSK) автор топика

Ответ на: комментарий от rezedent12 08.09.13 22:09:08 MSK

Не факт. Просто попробуй по-умолчанию запретить.

ziemin ★★
(08.09.13 22:10:54 MSK)

Ответ на: комментарий от ziemin 08.09.13 22:10:54 MSK

Не факт. Просто попробуй по-умолчанию запретить.

Но тогда мне придётся добавлять правила открывающие nginx, minecraft и pptpd... эх..

~~rezedent12~~ ☆☆☆
(08.09.13 22:12:58 MSK) автор топика

Ответ на: комментарий от rezedent12 08.09.13 22:12:58 MSK

Естественно.

Чуть не забыл. Я обычно пользуюсь fwbuilder, а он сразу поднимает крик, если хост окажется недоступен по ssh. В общем не забудь оставить себе лазейку, если машина не локальная.

ziemin ★★
(08.09.13 22:14:58 MSK)

Ссылка

Ответ на: комментарий от rezedent12 08.09.13 22:09:08 MSK

Убери SNAT правила и должно работать

Tok ★★
(09.09.13 02:51:16 MSK)

-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

Это что и зачем?

Покажите вывод ifconfig на машине 192.168.0.25 и, желательно, нарисуйте картинку со схемой сети.

pianolender ★★★
(09.09.13 08:27:04 MSK)

Ответ на: комментарий от pianolender 09.09.13 08:27:04 MSK

eth0      Link encap:Ethernet  HWaddr 00:04:61:a5:8d:a1  
          inet addr:192.168.0.25  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::204:61ff:fea5:8da1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2752 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4669 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:660104 (644.6 KiB)  TX bytes:518794 (506.6 KiB)
          Interrupt:20 

eth1      Link encap:Ethernet  HWaddr 00:1c:f0:0b:ae:10  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:16 Base address:0xa000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:376 (376.0 B)  TX bytes:376 (376.0 B)

Рисовать нечего. ppp0 в интернеты, eth1 в локалку. На клиенте eth0

Это что и зачем?

Хрен знает, нагуглил строку и вписал для того что бы интернеты раздать.

~~rezedent12~~ ☆☆☆
(09.09.13 09:30:58 MSK) автор топика

Ответ на: комментарий от rezedent12 09.09.13 09:30:58 MSK

А, это у вас такой линукс-роутер между домашней сетью и впн-провайдером? Ясно.

Так, пардон, ещё с той же машины покажите /sbin/ip route

pianolender ★★★
(09.09.13 09:35:13 MSK)

Ответ на: комментарий от Tok 09.09.13 02:51:16 MSK

Сейчас попробую.

1723/tcp  open     pptp               linux (Firmware: 1)
6111/tcp  filtered spc
6112/tcp  filtered dtspc
6113/tcp  filtered dayliteserver
6114/tcp  filtered unknown
6115/tcp  filtered xic
6116/tcp  filtered unknown
6117/tcp  filtered unknown
6118/tcp  filtered unknown
6119/tcp  filtered unknown
25565/tcp open     minecraft          Minecraft game server
34119/tcp open     status (status V1) 1 (rpc #100024)
51413/tcp filtered unknown
51414/tcp filtered unknown

Всё правильно сканирование показало?

~~rezedent12~~ ☆☆☆
(09.09.13 09:39:22 MSK) автор топика

Ссылка

Ответ на: комментарий от pianolender 09.09.13 09:35:13 MSK

Да, на нём ещё сервер minecraft крутиться и VPN сервер для игр.

про.вай.д.ер dev ppp0  proto kernel  scope link  src мо.й.ай.пи 
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1 
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.1

На eth0 провод от провайдера. Там по барабану какие настройки выставлять, всё равно интернет через PPPoE.

~~rezedent12~~ ☆☆☆
(09.09.13 09:43:58 MSK) автор топика

Ответ на: комментарий от rezedent12 09.09.13 09:43:58 MSK

Я имел в виду машину, на которую вы пробрасываете порты - 192.168.0.25. Для того, чтобы пакеты, у которых DNAT'нут адрес, могли приходить обратно на роутер, у машины, куда вы их DNAT'ите, должен быть этот роутер указан шлюзом по умолчанию.

pianolender ★★★
(09.09.13 10:19:43 MSK)

Ответ на: комментарий от pianolender 09.09.13 10:19:43 MSK

default via 192.168.0.1 dev eth0  proto static 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.25

~~rezedent12~~ ☆☆☆
(09.09.13 10:27:22 MSK) автор топика

Ответ на: комментарий от rezedent12 09.09.13 10:27:22 MSK

Ну раз у вас порты видно стало, видимо, все уже работает?

pianolender ★★★
(09.09.13 10:28:44 MSK)

Ответ на: комментарий от pianolender 09.09.13 10:28:44 MSK

Вроде работает.

~~rezedent12~~ ☆☆☆
(09.09.13 18:23:34 MSK) автор топика

Ссылка

Ответ на: комментарий от Tok 09.09.13 02:51:16 MSK

У меня вопрос. А почему мои SNAT правила мешали?

~~rezedent12~~ ☆☆☆
(09.09.13 18:24:11 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Serial loop в Virtualbox

Admin

В каком дистрибутиве самый свежий trac?

→

Похожие темы