* [Comm] HELP! Проброс портов через файрволл с политикой DROP
@ 2004-09-03 2:14 Maxim.Savrilov
2004-09-03 6:17 ` Alexey Morsov
0 siblings, 1 reply; 8+ messages in thread
From: Maxim.Savrilov @ 2004-09-03 2:14 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1565 bytes --]
Здравствуйте!
Есть файрволл, на котором на всех цепочках по-умолчанию политика DROP
Если мне нужно было какой-то сервис открыть, то я дописывал просто
соответствующие правила и все работало.
Но понадобилось пробросить порты с внешнего интерфейса во внутреннюю сетку.
$CLIENT_IP - ip клиента из внешней сети
$SERVER_IP - ip сервера из внутренней сети
$SERVICE - номер порта
$EXT_IF и $INT_IF = внешний и внутр интерфейсы файрволла
$EXT_IP - внешний ip файрволла
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -p tcp -s $CLIENT_IP -d $EXT_IP --dport $SERVICE -j DNAT --to $SERVER_IP:$SERVICE
Такая конструкция работает, если политики выставлены в ACCEPT
При DROP все это обламывается
Пробовал и в FORWARD прописывать
$IPTABLES -A FORWARD -i $INT_IF -o $EXT_IF -p TCP -s $SERVER_IP --sport $SERVICE -j ACCEPT
$IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p TCP -d $SERVER_IP --dport $SERVICE -j ACCEPT
и в INPUT-OUTPUT
$IPTABLES -A INPUT -i $EXT_IF -s $CLIENT_IP -p tcp -m tcp --dport $SERVICE -j ACCEPT
$IPTABLES -A INPUT -i $INT_IF -d $CLIENT_IP -p tcp -m tcp --sport $SERVICE -j ACCEPT
$IPTABLES -A OUTPUT -o $INT_IF -s $CLIENT_IP -p tcp -m tcp --dport $SERVICE -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT_IF -d $CLIENT_IP -p tcp -m tcp --sport $SERVICE -j ACCEPT
смотрел tcpdump на обоих интерфейсах - вроде все пакеты этими правилами перекрываются
Но все равно не работает.
Ничего не понимаю, помогите разобраться, пожалуйста!
--
No matter how subtle the wizard,
a knife in the shoulder blades will seriously cramp his style.
[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
2004-09-03 2:14 [Comm] HELP! Проброс портов через файрволл с политикой DROP Maxim.Savrilov
@ 2004-09-03 6:17 ` Alexey Morsov
2004-09-03 6:49 ` Maxim.Savrilov
0 siblings, 1 reply; 8+ messages in thread
From: Alexey Morsov @ 2004-09-03 6:17 UTC (permalink / raw)
To: community
Maxim.Savrilov@socenter.ru wrote:
> Здравствуйте!
>
> Есть файрволл, на котором на всех цепочках по-умолчанию политика DROP
> Если мне нужно было какой-то сервис открыть, то я дописывал просто
> соответствующие правила и все работало.
>
> Но понадобилось пробросить порты с внешнего интерфейса во внутреннюю сетку.
Я правильно понял - надо чтобы кто-то из интернета (внешней сети)
мог подключаться (т.е. инициировать соединение) к некой вашей
машине в локальной сетке (т.е. в фейковом пространстве адресов)?
>
> $CLIENT_IP - ip клиента из внешней сети
> $SERVER_IP - ip сервера из внутренней сети
По коду iptables - вот вы в FORWARD только server задействовали -
а как же клиент?
И вообще- можно весь iptables в студию?
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
2004-09-03 6:17 ` Alexey Morsov
@ 2004-09-03 6:49 ` Maxim.Savrilov
2004-09-03 7:25 ` Alexey Morsov
2004-09-03 13:22 ` Dmitry Lebkov
0 siblings, 2 replies; 8+ messages in thread
From: Maxim.Savrilov @ 2004-09-03 6:49 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 13643 bytes --]
On Fri, 03 Sep 2004 10:17:23 +0400
Alexey Morsov <samurai@ricom.ru> wrote:
>
> Maxim.Savrilov@socenter.ru wrote:
> > Здравствуйте!
> >
> > Есть файрволл, на котором на всех цепочках по-умолчанию политика DROP
> > Если мне нужно было какой-то сервис открыть, то я дописывал просто
> > соответствующие правила и все работало.
> >
> > Но понадобилось пробросить порты с внешнего интерфейса во внутреннюю сетку.
> Я правильно понял - надо чтобы кто-то из интернета (внешней сети)
> мог подключаться (т.е. инициировать соединение) к некой вашей
> машине в локальной сетке (т.е. в фейковом пространстве адресов)?
Да, все так и есть.
> > $CLIENT_IP - ip клиента из внешней сети
> > $SERVER_IP - ip сервера из внутренней сети
> По коду iptables - вот вы в FORWARD только server задействовали -
> а как же клиент?
> И вообще- можно весь iptables в студию?
А так понимаю, что если я не указываю конкретный ip, то там ставится 0.0.0.0/0, т.е. все адреса
вот тут мой iptables. Все правила для проброса добавляю пока вручную в шелле,
поэтому их тут нет
Правил дофига, брал из какого-то скрипта, пробегавшего в этой же рассылке.
# Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
*nat
:PREROUTING ACCEPT [2001848:218448129]
:POSTROUTING ACCEPT [1181956:79241549]
:OUTPUT ACCEPT [1209217:78494570]
[19442:934620] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i $INT_IF -p tcp -m tcp --dport 80 -j DROP
[31:1488] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i ppp1 -p tcp -m tcp --dport 80 -j DROP
[8539:409856] -A PREROUTING -i $INT_IF -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 8081
COMMIT
# Completed on Thu Sep 2 15:28:28 2004
# Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
*mangle
:PREROUTING ACCEPT [180250253:104012957492]
:INPUT ACCEPT [180415134:104137913486]
:FORWARD ACCEPT [2995441:1932619446]
:OUTPUT ACCEPT [182035824:72491054391]
:POSTROUTING ACCEPT [188661720:76333214483]
COMMIT
# Completed on Thu Sep 2 15:28:28 2004
# Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
*filter
:INPUT DROP [8300:251386]
:FORWARD DROP [54:10868]
:OUTPUT DROP [3:368]
[12422273:3856342276] -A INPUT -i lo -j ACCEPT
[154335439:91451482717] -A INPUT -s 192.168.0.0/255.255.255.0 -i $INT_IF -j ACCEPT
[201144:20771089] -A INPUT -s 192.168.0.0/255.255.255.0 -i ppp1 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
[4:192] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 3306 -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[588:31288] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 8080 -j DROP
[1022:48296] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 80 -j DROP
[0:0] -A INPUT -s $EXT_IP -j DROP
[0:0] -A INPUT -s 10.0.0.0/255.0.0.0 -j DROP
[0:0] -A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
[0:0] -A INPUT -s 255.255.255.255 -j DROP
[0:0] -A INPUT -d 0.0.0.0 -j DROP
[0:0] -A INPUT -s 224.0.0.0/240.0.0.0 -j DROP
[0:0] -A INPUT -s 240.0.0.0/248.0.0.0 -j DROP
[9550:3444514] -A INPUT -s 0.0.0.0/255.0.0.0 -j DROP
[0:0] -A INPUT -s 127.0.0.0/255.0.0.0 -j DROP
[0:0] -A INPUT -s 169.254.0.0/255.255.0.0 -j DROP
[0:0] -A INPUT -s 192.0.2.0/255.255.255.0 -j DROP
[0:0] -A INPUT -s 224.0.0.0/224.0.0.0 -j DROP
[1381:1111760] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 9000 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -s 69.25.23.163 -d $EXT_IP -i $EXT_IF -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[57:2166] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j DROP
[288120:57522455] -A INPUT -s 217.70.120.18 -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
[18:2284] -A INPUT -s 217.70.120.18 -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[78681:14730760] -A INPUT -s 217.71.128.65 -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -s 217.71.128.65 -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[5955144:5019625486] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 80 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[927875:105585542] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 443 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[12857:8072270] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 8080 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 119 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[824424:367013038] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[1202619:733002295] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport 25 -j ACCEPT
[341059:15236375] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[187382:13533811] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport 995 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 995 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4147:354180] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 513:65535 --dport 22 -j ACCEPT
[3162:306903] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 22 --dport 1022:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[45:2838] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 23 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[879:51980] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
[8373:336598] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 123 --dport 123 -j ACCEPT
[12514:951064] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 123 --dport 123 -j ACCEPT
[25:4315] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 43 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 79 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4779:345420] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4680:6677415] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 6667 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[35268:1626746] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[1:40] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[329145:405298696] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 873 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 2000:4000 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 4000 --dport 1024:65535 -j ACCEPT
[16:1344] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 0 -j ACCEPT
[4619:395281] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 3 -j ACCEPT
[115:6440] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 4 -j ACCEPT
[824:59656] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 12 -j ACCEPT
[36538:1760934] -A INPUT -i $EXT_IF -p tcp -j DROP
[460:45404] -A INPUT -i $EXT_IF -p udp -m udp --dport 0:1023 -j DROP
[287:145873] -A INPUT -i $EXT_IF -p udp -m udp --dport 1024:65535 -j DROP
[0:0] -A INPUT -i $EXT_IF -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A INPUT -i $EXT_IF -p icmp -m icmp --icmp-type 13/255 -j DROP
[0:0] -A INPUT -s 192.168.0.245 -d 192.168.0.1 -p tcp -m tcp --dport 8080 -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $INT_IF -j DROP
[0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i ppp1 -j DROP
[2673053:1796453766] -A FORWARD -s 192.168.0.0/255.255.255.0 -i $INT_IF -m state --state NEW,ESTABLISHED -j ACCEPT
[211835:29932313] -A FORWARD -s 192.168.0.0/255.255.255.0 -i ppp1 -m state --state NEW,ESTABLISHED -j ACCEPT
[73857:98151633] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $EXT_IF -m state --state RELATED,ESTABLISHED -j ACCEPT
[33:1716] -A FORWARD -i $EXT_IF -m state --state INVALID,NEW -j REJECT --reject-with icmp-port-unreachable
[12422273:3856342276] -A OUTPUT -o lo -j ACCEPT
[158957809:66817982745] -A OUTPUT -d 192.168.0.0/255.255.255.0 -o $INT_IF -j ACCEPT
[211243:157350959] -A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp1 -j ACCEPT
[694:26372] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
[292500:23517391] -A OUTPUT -s $EXT_IP -d 217.70.120.18 -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
[21:993] -A OUTPUT -s $EXT_IP -d 217.70.120.18 -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
[123795:9505270] -A OUTPUT -s $EXT_IP -d 217.71.128.65 -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -d 217.71.128.65 -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
[6051166:687660100] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[967822:63867440] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
[16090:1881119] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 8080 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 119 -j ACCEPT
[856329:37397021] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 143 -j ACCEPT
[1105920:58145772] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 25 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[471210:635555160] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
[185748:113083297] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 995 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 995 -j ACCEPT
[4433:645801] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 22 --dport 513:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4128:247876] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1022:65535 --dport 22 -j ACCEPT
[48:2017] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 23 -j ACCEPT
[879:35160] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 113 --dport 1024:65535 -j ACCEPT
[8728:452005] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 123 --dport 123 -j ACCEPT
[12879:978804] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 123 --dport 123 -j ACCEPT
[33:1452] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 43 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 79 -j ACCEPT
[5349:262840] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[2869:115252] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 6667 -j ACCEPT
[31726:1854942] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
[228933:19144465] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[7865:408980] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 873 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 2000:4000 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 4000 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 4 -j ACCEPT
[34:2856] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 12 -j ACCEPT
[65135:4634113] -A OUTPUT -o $EXT_IF -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Sep 2 15:28:28 2004
>
--
>как там у вынь с fork()-ом то?
отлично, ставишь cygwin и отлично х!@#$%ь форки! (LOR)
[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
2004-09-03 6:49 ` Maxim.Savrilov
@ 2004-09-03 7:25 ` Alexey Morsov
2004-09-03 7:32 ` Ivan Fedorov
2004-09-03 13:22 ` Dmitry Lebkov
1 sibling, 1 reply; 8+ messages in thread
From: Alexey Morsov @ 2004-09-03 7:25 UTC (permalink / raw)
To: community
Maxim.Savrilov@socenter.ru wrote:
>>Я правильно понял - надо чтобы кто-то из интернета (внешней сети)
>> мог подключаться (т.е. инициировать соединение) к некой вашей
>>машине в локальной сетке (т.е. в фейковом пространстве адресов)?
>
>
> Да, все так и есть.
Э... у меня нет уверенности что такое реализуемо (может я и не
прав - но тогда это должно как-то решаться в nat)
> А так понимаю, что если я не указываю конкретный ip, то там ставится 0.0.0.0/0, т.е. все адреса
Угу
>
> вот тут мой iptables. Все правила для проброса добавляю пока вручную в шелле,
> поэтому их тут нет
>
> Правил дофига, брал из какого-то скрипта, пробегавшего в этой же рассылке.
>
> # Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
> *nat
Ненавижу iptables-save - читать невозможно :(
> *filter
> :INPUT DROP [8300:251386]
> :FORWARD DROP [54:10868]
Это ясно
> :OUTPUT DROP [3:368]
А вот это не очень - зачем?
> [12422273:3856342276] -A INPUT -i lo -j ACCEPT
> [154335439:91451482717] -A INPUT -s 192.168.0.0/255.255.255.0 -i $INT_IF -j ACCEPT
> [201144:20771089] -A INPUT -s 192.168.0.0/255.255.255.0 -i ppp1 -j ACCEPT
> [0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
> [4:192] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 3306 -j DROP
> [0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
> [588:31288] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 8080 -j DROP
> [1022:48296] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 80 -j DROP
> [0:0] -A INPUT -s $EXT_IP -j DROP
> [0:0] -A INPUT -s 10.0.0.0/255.0.0.0 -j DROP
> [0:0] -A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
> [0:0] -A INPUT -s 255.255.255.255 -j DROP
Вот эти drop на кой - у вас же вся цепочка в drop?
Ваша INPUT меня просто ужасает - как вы в ней чего разбираете?
И чего у вас такого на роутере стоит что ему столько правил в
INPUT надо?
> [0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
> [0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
> [0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $INT_IF -j DROP
> [0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i ppp1 -j DROP
> [2673053:1796453766] -A FORWARD -s 192.168.0.0/255.255.255.0 -i $INT_IF -m state --state NEW,ESTABLISHED -j ACCEPT
> [211835:29932313] -A FORWARD -s 192.168.0.0/255.255.255.0 -i ppp1 -m state --state NEW,ESTABLISHED -j ACCEPT
> [73857:98151633] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $EXT_IF -m state --state RELATED,ESTABLISHED -j ACCEPT
> [33:1716] -A FORWARD -i $EXT_IF -m state --state INVALID,NEW -j REJECT --reject-with icmp-port-unreachable
OUTPUT тоже не нужен... В вашей задаче пакеты транзитные -
соответственно фильтр на FORWARD...
А client куда будет посулать запросы то? на какой адрес? На ваш
реальный ip? Если да - и если с этого ip ничего больше ходить не
может (а еще лучше если у них какой-то свой порт) - то тогда
точно в nat - анализировать порт и source ip и менять его dest ip
с вашего реального на тот ваш fake ip который нужен - кажеться
это в iptables doc называеться DNAT - см. opennet.ru - я таким
извратом к счастью не занимался так что только теория (у меня
слава богу никаких несуразных просьб ходить ко мне в локалку из
инета не поступало).
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
2004-09-03 7:25 ` Alexey Morsov
@ 2004-09-03 7:32 ` Ivan Fedorov
0 siblings, 0 replies; 8+ messages in thread
From: Ivan Fedorov @ 2004-09-03 7:32 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1171 bytes --]
Alexey Morsov пишет:
>>> Я правильно понял - надо чтобы кто-то из интернета (внешней сети)
>>> мог подключаться (т.е. инициировать соединение) к некой вашей машине
>>> в локальной сетке (т.е. в фейковом пространстве адресов)?
>>
>>
>>
>> Да, все так и есть.
>
> Э... у меня нет уверенности что такое реализуемо (может я и не прав - но
> тогда это должно как-то решаться в nat)
iptables -t nat -A PREROUTING -p tcp --destination-port 25 -j DNAT
--to-destination 192.168.0.1:25
>> :OUTPUT DROP [3:368]
>
> А вот это не очень - зачем?
Это называется паранойя - профессиональное заболевание всех безопасников.
> А client куда будет посулать запросы то? на какой адрес? На ваш реальный
> ip? Если да - и если с этого ip ничего больше ходить не может (а еще
> лучше если у них какой-то свой порт) - то тогда точно в nat -
> анализировать порт и source ip и менять его dest ip с вашего реального
> на тот ваш fake ip который нужен - кажеться это в iptables doc
> называеться DNAT - см. opennet.ru - я таким извратом к счастью не
> занимался так что только теория (у меня слава богу никаких несуразных
> просьб ходить ко мне в локалку из инета не поступало).
Все просто...
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
2004-09-03 6:49 ` Maxim.Savrilov
2004-09-03 7:25 ` Alexey Morsov
@ 2004-09-03 13:22 ` Dmitry Lebkov
2004-09-07 2:27 ` Maxim.Savrilov
1 sibling, 1 reply; 8+ messages in thread
From: Dmitry Lebkov @ 2004-09-03 13:22 UTC (permalink / raw)
To: community
On Fri, 3 Sep 2004 13:49:39 +0700
Maxim.Savrilov@socenter.ru wrote:
> On Fri, 03 Sep 2004 10:17:23 +0400
> Alexey Morsov <samurai@ricom.ru> wrote:
[skip]
>
> Правил дофига, брал из какого-то скрипта, пробегавшего в этой же рассылке.
Скрипт - в студию!
> # Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
> *nat
> :PREROUTING ACCEPT [2001848:218448129]
> :POSTROUTING ACCEPT [1181956:79241549]
> :OUTPUT ACCEPT [1209217:78494570]
> [0:0] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i $INT_IF -p tcp -m tcp --dport 80 -j DROP
^^^^^^^
Это откуда? В shell-script'е, который генерит
правила, ошибка? Насколько я знаю, iptables-save|
iptables-restore не позволяет таких конструкций.
До исправления этих ошибок дальше двигаться невозможно.
--
WBR, Dmmitry Lebkov
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
2004-09-03 13:22 ` Dmitry Lebkov
@ 2004-09-07 2:27 ` Maxim.Savrilov
2004-09-07 7:06 ` Serge Polkovnikov
0 siblings, 1 reply; 8+ messages in thread
From: Maxim.Savrilov @ 2004-09-07 2:27 UTC (permalink / raw)
To: community
[-- Attachment #1.1: Type: text/plain, Size: 2350 bytes --]
On Sat, 4 Sep 2004 00:22:17 +1100
Dmitry Lebkov <dima@sakhalin.ru> wrote:
> On Fri, 3 Sep 2004 13:49:39 +0700
> Maxim.Savrilov@socenter.ru wrote:
>
> > On Fri, 03 Sep 2004 10:17:23 +0400
> > Alexey Morsov <samurai@ricom.ru> wrote:
>
> [skip]
>
> >
> > Правил дофига, брал из какого-то скрипта, пробегавшего в этой же рассылке.
>
> Скрипт - в студию!
во вложении
>
> > # Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
> > *nat
> > :PREROUTING ACCEPT [2001848:218448129]
> > :POSTROUTING ACCEPT [1181956:79241549]
> > :OUTPUT ACCEPT [1209217:78494570]
> > [0:0] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i $INT_IF -p tcp -m tcp --dport 80 -j DROP
> ^^^^^^^
> Это откуда? В shell-script'е, который генерит
> правила, ошибка? Насколько я знаю, iptables-save|
> iptables-restore не позволяет таких конструкций.
>
> До исправления этих ошибок дальше двигаться невозможно.
Нет, это я поменял, в предыдущих письмах у меня была легенда про все эти переменные
Ошибок нет, все грузится нормально.
Но порты нифига не пробрасывает
залез даже на http://www.iptables-script.dk/index1.php
выставил там порт-форвардинг и полученный скрипт запустил после отключения своего файрволла
и то же самое
вижу запросы на соединение, а ответов во внутренней сети нет
#!/bin/sh
# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk
# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward
LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='x.x.x.x'
WAN_NIC='eth0'
FORWARD_IP='y.y.y.y'
# load some modules (if needed)
# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 3389
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to y.y.y.y:3389
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
уж тут-то что не так?
--
В эпоху романтизма инета мне на root@... девушки писали.
А сейчас роботы, пауки и дебилы... (c) Sun-ch
[-- Attachment #1.2: firewall.bz2 --]
[-- Type: application/x-bzip2, Size: 5212 bytes --]
[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
2004-09-07 2:27 ` Maxim.Savrilov
@ 2004-09-07 7:06 ` Serge Polkovnikov
0 siblings, 0 replies; 8+ messages in thread
From: Serge Polkovnikov @ 2004-09-07 7:06 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1019 bytes --]
вівторок, 07-вер-2004 05:27, Maxim.Savrilov@socenter.ru написал:
> # Diable forwarding
> echo 0 > /proc/sys/net/ipv4/ip_forward
>
> LAN_IP_NET='192.168.0.1/24'
> LAN_NIC='eth1'
> WAN_IP='x.x.x.x'
> WAN_NIC='eth0'
> FORWARD_IP='y.y.y.y'
>
> # load some modules (if needed)
>
> # Flush
> iptables -t nat -F POSTROUTING
> iptables -t nat -F PREROUTING
> iptables -t nat -F OUTPUT
> iptables -F
>
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT ACCEPT
>
> # STATE RELATED for router
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> # Open ports to server on LAN
> iptables -A FORWARD -j ACCEPT -p tcp --dport 3389
А правило разрешающее прохождение пакотов в обратную сторону?
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT
> --to y.y.y.y:3389
>
> # Enable forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
>
>
> уж тут-то что не так?
--
С уважением,
Сергей Полковников JID: p_serge@jabber.ru
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2004-09-07 7:06 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-09-03 2:14 [Comm] HELP! Проброс портов через файрволл с политикой DROP Maxim.Savrilov
2004-09-03 6:17 ` Alexey Morsov
2004-09-03 6:49 ` Maxim.Savrilov
2004-09-03 7:25 ` Alexey Morsov
2004-09-03 7:32 ` Ivan Fedorov
2004-09-03 13:22 ` Dmitry Lebkov
2004-09-07 2:27 ` Maxim.Savrilov
2004-09-07 7:06 ` Serge Polkovnikov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git