|
|
|
|
|
|
|
Otwarte porty w iptables
wujek_bogdan - 31-10-2007 21:47
oto sekcja odpowiadajaca za otwarcie portów
#otwarcie portow
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 27960:27969 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 4662 -j ACCEPT
iptables -I FORWARD -p udp -d 10.0.0.0/16 --dport 4672 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 6881:6889 -j ACCEPT
oraz za ich przekierowanie do lokalnych ip
#przekierowanie portow
#emule
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.4
#torrent
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.4
wygląda ok. prawda?
coś jest nie tak ponieważ gdy sprawdzam na jednym z klientów czy ip są przekierowane prawidłowo na przuklad TUTAJ.
okazuje się, że port 6881 jest otwarty, natomiast 4662 jest zamknięty!.
dziwna sprawa ponieważ jak widać powyżej regułki iptables są identyczne!
co ciekawe gdy sprawdzam przekierowanie portu 21 oraz 22 też okazuje się, że te porty są otwarte. jakim cudem skoro nie mam nic na ich temat w iptables!
dodam na wszelki wypadek:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere 10.0.0.0/16 tcp dpts:6881:6889
ACCEPT udp -- anywhere 10.0.0.0/16 udp dpt:4672
ACCEPT tcp -- anywhere 10.0.0.0/16 tcp dpt:4662
ACCEPT tcp -- anywhere 10.0.0.0/16 tcp dpts:27960:27969
ACCEPT all -- 10.0.0.0/16 anywhere
ACCEPT all -- anywhere 10.0.0.0/16
ACCEPT all -- anywhere loopback/8
Yampress - 31-10-2007 22:00
wklej wszystkie reguły firewalla
wujek_bogdan - 31-10-2007 22:33
proszę:
#!/bin/sh
# Firewall
echo "::: Firewall:::"
# Odpalenie przekazywania pakietow IP
echo "1" > /proc/sys/net/ipv4/ip_forward
# Czyszczenie tablic NAT-a i filtrowania
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Brak pozwolenia na forward pakietow
iptables -t filter -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
# Przepuszczanie pakietow z sieci i do sieci
iptables -t filter -A FORWARD -s 10.0.0.0/255.255.0.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 10.0.0.0/255.255.0.0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 127.0.0.1/255.0.0.0 -j ACCEPT
# Udostepnienie netu przez maskarade
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -d 0/0 -j MASQUERADE
#otwarcie portow
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 27960:27969 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 4662 -j ACCEPT
iptables -I FORWARD -p udp -d 10.0.0.0/16 --dport 4672 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 6881:6889 -j ACCEPT
#przekierowanie portow
#emule
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.4
#torrent
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.4
gothye - 01-11-2007 15:55
przekierowanie portów robie tak :
iptables -t nat -A PREROUTING -i $INTER -p tcp -d IP_ZEW --dport 1551 -j DNAT --to-destination 192.168.0.2:1551
i działa :)
wujek_bogdan - 01-11-2007 17:19
sprawdze to jak tylko bede w domu, ale zastanawia mnie jeszcze czemu mam otwarte porty 22 oraz 21 skoro nie ma ich w firewallu.
co prawda mam zainstalowane i uruchomione ssh oraz proftpd dzialajace na tych portach. tylko gdzie te porty się otwierają? co odpowiada za otwieranie tych portów?
czyzby daemon ssh oraz proftpd?
edit:
pomogłem sobie generatorem quicktables.
niestety port 4662 dalej nie chce sie otworzyc!
pomimo ze regulki wygladaja identycznie jak dla portu 6881, ktory jest otwarty.
nic z tego nie rozumiem.
edit2:
już wszystko jasne.
oczywiscie regulki w iptables są poprawne. sprawdzalem przekierowanie portow na stronie deluge. okazalo sie ze skrypt testujacy informuje ze port jest otwarty jedynie wtedy gdy jest jakis ruch na danym porcie.
wszystko gra :)
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
|
|
|
