|
|
iptables nie przekierowuje portów
anorex - 07-01-2009 21:42
Witam szanownych grupowiczów
Mam mały problemik z iptables. Przekopałem Google, forum stosując różne regułki np:
http://forum.dug.net.pl/viewtopic.php?pid=85110
i za nic nie chce mi połączyć poprzez VNC lub zdalny pulpit z serwerem wewnątrz.
Oczywiście po sieci lokalnej hula ale gdy chcę się połączyć po zewnętrznym IP to nie działa i sił i pomysłów mi brak.
Krótki opis stanu posiadania:lDebian 4 na jadrze 2.6.18-6-686
eth0 z zewnętrznym IP
eth1 z wewnętrznym IP
na serwerze pracuje FTP, proxy, sshd ale to zostawiamyl
Potrzebuję przekierować zdalny pulpit (port 3389) lub VNC (port 5900).
Po wielu próbach doszedłem do takiego zestawu w IPTABLES:
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# === INPUT ==================================
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
iptables -A INPUT -p tcp --dport 2221 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 2221 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 2221 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p icmp -j ACCEPT
# === OUTPUT==================================
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# === FORWARD ==================================
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
#iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5900 -j ACCEPT
#iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -j ACCEPT -m state --state RELATED,ESTABLISHED
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.0.0/24 -j ACCEPT
# === POSTROUTING ==================================
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
# === PREROUTING ==================================
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5900 -j DNAT --to 192.168.0.3:5900
iptables -t nat -A PREROUTING -p tcp --dport 5900 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
# === moduly ==================================
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_irc
Czy można prosić kogoś o przejrzenie i pomoc?
Dziękuję.
grzesiek - 07-01-2009 21:47
Nie analizowałem ale tak na oko to forward nie jest włączony.
anorex - 08-01-2009 09:12
w pliku /etc/sysctl.conf
net.ipv4.conf.deflaut.forwarding ma wartosc 1
Yampress - 08-01-2009 09:23
a ja bym tego firewala twojego o 2/3 zmniejszył i tak samo by działał , bo wiele reguł przy pewnych politykach nic nie daje a zaśmieca.
łańcuch maskowania MASQUERADE jest dla zmiennych zewnętrznych ip, dla stałych ma byc SNAT
poza tym ma być
net.ipv4.ip_forward = 1
a przekierowanie wygląda tak dla stałego ip zewn
# iptables -t nat -A PREROUTING -i $if_wan -p TCP -d ip_zewnętrzne --dport port_zewnętrzny -j DNAT --to ip_wewnętrzny:port_wewnętrzny
przykład analogiczny
# iptables -t nat -A PREROUTING -i $if_wan -p TCP -d 1.2.3.4 --dport 8000 -j DNAT --to 192.168.1.11:80
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
