* [Comm] IPtables
@ 2003-02-26 12:31 Половников Денис
2003-02-26 12:46 ` Alexey I. Froloff
0 siblings, 1 reply; 18+ messages in thread
From: Половников Денис @ 2003-02-26 12:31 UTC (permalink / raw)
To: community
Здравствуйте, community.
Народ подскажите плиз.... почитал я всяких разных мануалов на тему iptables
вобшем все интересно но почемуто неполучается. У меня уже есть
нормально работающий конфиг для iptables добавляю туды правило что при конекте на реальный ip с портом 5122 шол редирек на
внутрений ip с темже портом.
-A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124
Нефига неработает.
С уважением,
Половников Денис
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables
2003-02-26 12:31 [Comm] IPtables Половников Денис
@ 2003-02-26 12:46 ` Alexey I. Froloff
2003-02-27 6:12 ` Re[2]: " Половников Денис
0 siblings, 1 reply; 18+ messages in thread
From: Alexey I. Froloff @ 2003-02-26 12:46 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 425 bytes --]
On Wed, Feb 26, 2003 at 03:31:28PM +0300, Половников Денис wrote:
> -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124
> Нефига неработает.
Дурацкий вопрос -- -t nat есть?
--
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
------------------------------------------
Inform-Mobil, Ltd. System Adminitrator
http://www.inform-mobil.ru/
Tel: +7(095)504-4709, Fax: +7(095)513-1006
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] IPtables
2003-02-26 12:46 ` Alexey I. Froloff
@ 2003-02-27 6:12 ` Половников Денис
2003-02-27 6:55 ` Alexey I. Froloff
2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov
0 siblings, 2 replies; 18+ messages in thread
From: Половников Денис @ 2003-02-27 6:12 UTC (permalink / raw)
To: Alexey I. Froloff
Здравствуйте, Alexey.
Вы писали 26 февраля 2003 г., 15:46:38:
AIF> On Wed, Feb 26, 2003 at 03:31:28PM +0300, Половников Денис wrote:
>> -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124
>> Нефига неработает.
AIF> Дурацкий вопрос -- -t nat есть?
Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables
ругается что это неверный аргумент...
*nat
:PREROUTING ACCEPT [23:2866]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
[0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE
-A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124
COMMIT
# Completed on Fri Jun 15 14:40:51 2001
С уважением,
Половников Денис
--------------------
Ведущий специалист
департамента банковских технологий.
КБ "Транспортный"
fox@transbank.ru
www.transbank.ru
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables
2003-02-27 6:12 ` Re[2]: " Половников Денис
@ 2003-02-27 6:55 ` Alexey I. Froloff
2003-02-27 8:10 ` Re[2]: " Половников Денис
2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov
1 sibling, 1 reply; 18+ messages in thread
From: Alexey I. Froloff @ 2003-02-27 6:55 UTC (permalink / raw)
To: Alexey I. Froloff
[-- Attachment #1: Type: text/plain, Size: 918 bytes --]
On Thu, Feb 27, 2003 at 09:12:29AM +0300, Половников Денис wrote:
> AIF> Дурацкий вопрос -- -t nat есть?
> Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables
> ругается что это неверный аргумент...
> *nat
> :PREROUTING ACCEPT [23:2866]
> :POSTROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
Ой, какой кошмар! Не думаю, что редактировать руками
/etc/sysconfig/iptables - хорошая идея. Лучше написать маленький
shell-скрипт где будет вызываться iptables в нужном порядке и с
нужными параметрами, а потом делать service iptables save...
--
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
------------------------------------------
Inform-Mobil, Ltd. System Adminitrator
http://www.inform-mobil.ru/
Tel: +7(095)504-4709, Fax: +7(095)513-1006
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] IPtables
2003-02-27 6:55 ` Alexey I. Froloff
@ 2003-02-27 8:10 ` Половников Денис
2003-02-27 8:24 ` Maxim.Savrilov
0 siblings, 1 reply; 18+ messages in thread
From: Половников Денис @ 2003-02-27 8:10 UTC (permalink / raw)
To: Alexey I. Froloff
Здравствуйте, Alexey.
Вы писали 27 февраля 2003 г., 9:55:40:
AIF> On Thu, Feb 27, 2003 at 09:12:29AM +0300, Половников Денис wrote:
>> AIF> Дурацкий вопрос -- -t nat есть?
>> Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables
>> ругается что это неверный аргумент...
>> *nat
>> :PREROUTING ACCEPT [23:2866]
>> :POSTROUTING ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
AIF> Ой, какой кошмар! Не думаю, что редактировать руками
AIF> /etc/sysconfig/iptables - хорошая идея. Лучше написать маленький
AIF> shell-скрипт где будет вызываться iptables в нужном порядке и с
AIF> нужными параметрами, а потом делать service iptables save...
Дал команду iptables -t nat -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124
потом сделал service iptables save строчка добавилась в
/etc/sysconfig/iptables но всеровно немогу приконектится :-( В игрушке
даю ip сервака 217.69.198.58:5122 и тишина ... А должно переводится на
внутренюю машину с ip 10.0.1.124:5122... Обясните как проверить куда
идет запрос при попытке конекта на внешний ip??? пробовал смотреть
tcpdump но у меня толпа народу ползает через этот ком и нефига
неувидиш слишком все быстро пролетает.
С уважением,
Половников Денис
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables
2003-02-27 8:10 ` Re[2]: " Половников Денис
@ 2003-02-27 8:24 ` Maxim.Savrilov
2003-02-27 9:02 ` Vitaly Ostanin
2003-02-27 9:04 ` Dmitry Lebkov
0 siblings, 2 replies; 18+ messages in thread
From: Maxim.Savrilov @ 2003-02-27 8:24 UTC (permalink / raw)
To: community
On Thu, 27 Feb 2003 11:10:44 +0300
Половников Денис <fox@transbank.ru> wrote:
> внутренюю машину с ip 10.0.1.124:5122... Обясните как проверить куда
> идет запрос при попытке конекта на внешний ip??? пробовал смотреть
> tcpdump но у меня толпа народу ползает через этот ком и нефига
> неувидиш слишком все быстро пролетает.
tcpdump host ip-add
man tcpdump
можно вдобавок еще grep
жаль что не работает связка типа
tcpdump host addr port portnum
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables
2003-02-27 6:12 ` Re[2]: " Половников Денис
2003-02-27 6:55 ` Alexey I. Froloff
@ 2003-02-27 8:35 ` Dmitry Lebkov
2003-02-27 9:36 ` Re[4]: " Половников Денис
1 sibling, 1 reply; 18+ messages in thread
From: Dmitry Lebkov @ 2003-02-27 8:35 UTC (permalink / raw)
To: community
On Thu, 27 Feb 2003 09:12:29 +0300
Половников Денис <fox@transbank.ru> wrote:
> Здравствуйте, Alexey.
>
> Вы писали 26 февраля 2003 г., 15:46:38:
>
> AIF> On Wed, Feb 26, 2003 at 03:31:28PM +0300, Половников Денис wrote:
> >> -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT
> >--to-destination 10.0.1.124
>
> >> Нефига неработает.
>
> AIF> Дурацкий вопрос -- -t nat есть?
> Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables
> ругается что это неверный аргумент...
> *nat
> :PREROUTING ACCEPT [23:2866]
>
> :POSTROUTING ACCEPT [0:0]
>
> :OUTPUT ACCEPT [0:0]
>
> [0:0] -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
>
> [0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j
> MASQUERADE -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT
> --to-destination 10.0.1.124 COMMIT
>
> # Completed on Fri Jun 15 14:40:51 2001
> #
А FORWARD-правила где? А роутинг на этой машине включен?
Покажи результат:
# cat cat /proc/sys/net/ipv4/ip_forward
# service iptables save
# cat /etc/sysconfig/iptables
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables
2003-02-27 8:24 ` Maxim.Savrilov
@ 2003-02-27 9:02 ` Vitaly Ostanin
2003-02-27 9:04 ` Dmitry Lebkov
1 sibling, 0 replies; 18+ messages in thread
From: Vitaly Ostanin @ 2003-02-27 9:02 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 681 bytes --]
On Thu, 27 Feb 2003 14:24:56 +0600
Maxim.Savrilov@socenter.ru wrote:
> On Thu, 27 Feb 2003 11:10:44 +0300
> Половников Денис <fox@transbank.ru> wrote:
>
> > внутренюю машину с ip 10.0.1.124:5122... Обясните как
> > проверить куда идет запрос при попытке конекта на внешний
> > ip??? пробовал смотреть tcpdump но у меня толпа народу
> > ползает через этот ком и нефига неувидиш слишком все быстро
> > пролетает.
>
> tcpdump host ip-add
> man tcpdump
> можно вдобавок еще grep
> жаль что не работает связка типа
> tcpdump host addr port portnum
# tcpdump host 192.168.100.100 and port 5222
--
Regards, Vyt
mailto: vyt@vzljot.ru
JID: vyt@vzljot.ru
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables
2003-02-27 8:24 ` Maxim.Savrilov
2003-02-27 9:02 ` Vitaly Ostanin
@ 2003-02-27 9:04 ` Dmitry Lebkov
2003-02-27 10:50 ` Re[2]: [Comm] [JT] IPtables Maxim.Savrilov
1 sibling, 1 reply; 18+ messages in thread
From: Dmitry Lebkov @ 2003-02-27 9:04 UTC (permalink / raw)
To: community
On Thu, 27 Feb 2003 14:24:56 +0600
Maxim.Savrilov@socenter.ru wrote:
[skip]
> жаль что не работает связка типа
> tcpdump host addr port portnum
Да ну? %) man tcpdump до полного просветления.
tcpdump -i eth0 -n 'host 192.168.1.1 and port 53'
покажет тебе весь трафик хоста 192.168.1.1 (порт 53).
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[4]: [Comm] IPtables
2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov
@ 2003-02-27 9:36 ` Половников Денис
2003-02-27 10:05 ` Dmitry Lebkov
2003-02-27 10:25 ` Alexey I. Froloff
0 siblings, 2 replies; 18+ messages in thread
From: Половников Денис @ 2003-02-27 9:36 UTC (permalink / raw)
To: Dmitry Lebkov
Здравствуйте, Dmitry.
Вы писали 27 февраля 2003 г., 11:35:51:
Ман то tcpdump я читал и делал все понему тишина видимо конекта нет...
DL> А FORWARD-правила где? А роутинг на этой машине включен?
DL> Покажи результат:
DL> # cat cat /proc/sys/net/ipv4/ip_forward
Вывод следующий 1
в этом фаиле стоит только 1
DL> # service iptables save
DL> # cat /etc/sysconfig/iptables
# Generated by iptables-save v1.2.1a on Fri Jun 15 14:40:51 2001
*nat
:PREROUTING ACCEPT [23:2866]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
[0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE
[0:0] -A PREROUTING -p udp -m udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124
[0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124
COMMIT
# Completed on Fri Jun 15 14:40:51 2001
# Generated by iptables-save v1.2.1a on Fri Jun 15 14:40:51 2001
*filter
:INPUT ACCEPT [15:1688]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# make a chain for deny and log packets
:droplog - [0:0]
-A droplog -j LOG
-A droplog -j DROP
# accept trusted interfaces
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
[4:463] -A INPUT -i eth1 -j ACCEPT
[0:0] -A OUTPUT -o eth1 -j ACCEPT
# allow ICMP
[0:0] -A INPUT -p icmp -j ACCEPT
[0:0] -A OUTPUT -p icmp -j ACCEPT
# allow incoming SSH
[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport 22 -j ACCEPT
# allow incoming FIDO
[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.30 --dport fido -j ACCEPT
# allow incoming NETINV
[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.58 --dport netinv -j ACCEPT
# allow incoming symqs
[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.58 --dport symqs -j ACCEPT
# allow incoming binkp
[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.30 --dport binkp -j ACCEPT
# allow incoming SMTP
#[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport smtp -j ACCEPT
# allow incoming WWW
#[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport www -j ACCEPT
# allow incoming ftp
[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport ftp -j ACCEPT
# allow incoming ftp transfers in active mode
[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --sport ftp-data -j ACCEPT
# allow squid
#[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport squid -j ACCEPT
# allow zone transfers
#[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport domain -j ACCEPT
# allow outgoing TCP
-A OUTPUT -o eth0 -p tcp -m tcp --syn -j ACCEPT
# allow established and related connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# allow outgoing DNS
-A INPUT -p udp -m udp --sport domain -j ACCEPT -i eth0
-A OUTPUT -p udp -m udp --dport domain -j ACCEPT -o eth0
# allow incoming reuter
-A INPUT -p udp -m udp -d 217.69.198.30 --dport 55777 -j ACCEPT
-A OUTPUT -p udp -m udp -d 217.69.198.30 --dport 55777 -j ACCEPT
-A INPUT -p udp -m udp -d 217.69.198.58 --dport 5122 -j ACCEPT
-A OUTPUT -p udp -m udp -d 217.69.198.58 --dport 5122 -j ACCEPT
-A INPUT -p udp -m udp -d 217.69.198.30 --dport 55778 -j ACCEPT
-A OUTPUT -p udp -m udp -d 217.69.198.30 --dport 55778 -j ACCEPT
# allow incoming DNS
#-A INPUT -p udp -m udp --dport domain -j ACCEPT -i eth0
#-A OUTPUT -p udp -m udp --sport domain -j ACCEPT -o eth0
# deny the rest of my traffic
-A INPUT -i eth0 -j droplog
-A OUTPUT -o eth0 -j droplog
# allow ICMP forwarding
-A FORWARD -p icmp -j ACCEPT
# allow outgoing pop3
-A FORWARD -p tcp -m tcp --syn --dport pop3 -o eth0 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn --dport pop3s -o eth0 -j ACCEPT
# allow outgoing smtp
-A FORWARD -p tcp -m tcp --syn --dport smtp -o eth0 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn --dport smtps -o eth0 -j ACCEPT
# allow outgoing ftp
-A FORWARD -p tcp -m tcp --syn --dport ftp -o eth0 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn --dport ftp-data -o eth0 -j ACCEPT
# allow outgoing ICQ
-A FORWARD -p tcp -m tcp --syn --dport 5190 -o eth0 -j ACCEPT
# allow outgoing 55
-A FORWARD -p tcp -m tcp --syn --dport 55 -o eth0 -j ACCEPT
# allow special services
#-A FORWARD -p tcp -m tcp --syn -d 10.0.1.5 --dport 60179 -j ACCEPT
#-A FORWARD -p tcp -m tcp --syn -s 10.0.1.5 --dport 24554 -j ACCEPT
#-A FORWARD -p tcp -m tcp --syn -d 10.0.1.5 --dport 24554 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.4 --dport 22 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.6 --dport 7001 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.6 --dport 2900 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7001 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7777 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7090:7110 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 2900 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.7 --dport 55777 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.8 --dport 55777 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.8 --dport 7001 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.9 --dport 12801 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 4661 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 4662 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 4661 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 4662 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27530 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 4665 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 22 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 22 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 3306 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27005 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27010 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27011 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27012 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27015 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27025 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27017 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.115 --dport 5122 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.124 --dport 5122 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1716 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1717 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1718 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.124 --dport 8777 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.124 --dport 27900 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.161 --dport 5122 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21000 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21001 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21002 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21003 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 7002 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6003 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 20045 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 28900 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 7002 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 6003 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6667 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6666 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.161 --dport 6667 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.161 --dport 6666 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21000 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21001 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21002 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21003 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 2847 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 2848 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 7002 -j ACCEPT
-A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 6003 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 5122 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27005 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27010 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27011 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27012 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27015 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27025 -j ACCEPT
-A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27017 -j ACCEPT
# allow outgoing DNS
-A FORWARD -p udp -m udp --sport domain -j ACCEPT -i eth0
-A FORWARD -p udp -m udp --dport domain -j ACCEPT -o eth0
# allow established connections
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# deny the rest
-A FORWARD -j droplog
COMMIT
# Completed on Fri Jun 15 14:40:51 2001
С уважением,
Половников Денис
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[4]: [Comm] IPtables
2003-02-27 9:36 ` Re[4]: " Половников Денис
@ 2003-02-27 10:05 ` Dmitry Lebkov
2003-02-27 11:34 ` Re[6]: " Половников Денис
2003-02-27 10:25 ` Alexey I. Froloff
1 sibling, 1 reply; 18+ messages in thread
From: Dmitry Lebkov @ 2003-02-27 10:05 UTC (permalink / raw)
To: community
On Thu, 27 Feb 2003 12:36:20 +0300
Половников Денис <fox@transbank.ru> wrote:
> Здравствуйте, Dmitry.
>
> Вы писали 27 февраля 2003 г., 11:35:51:
>
> Ман то tcpdump я читал и делал все понему тишина видимо конекта нет...
>
> DL> А FORWARD-правила где? А роутинг на этой машине включен?
>
> DL> Покажи результат:
>
> DL> # cat cat /proc/sys/net/ipv4/ip_forward
> Вывод следующий 1
> в этом фаиле стоит только 1
> DL> # service iptables save
>
> DL> # cat /etc/sysconfig/iptables
Я так понимаю, что это уже после ручной правки. Сделай
резервную копию и всетаки сделай service iptables save
(just note: не из спортивного же интереса я просил результат
save -- результаты ручной правки тяжко парсить глазами).
И вот то, что получится - покажи.
Хотя вот, только что заметил ... У тебя отсутствует правило:
FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT
Вот это оно самое и есть.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables
2003-02-27 9:36 ` Re[4]: " Половников Денис
2003-02-27 10:05 ` Dmitry Lebkov
@ 2003-02-27 10:25 ` Alexey I. Froloff
1 sibling, 0 replies; 18+ messages in thread
From: Alexey I. Froloff @ 2003-02-27 10:25 UTC (permalink / raw)
To: Dmitry Lebkov
[-- Attachment #1: Type: text/plain, Size: 542 bytes --]
On Thu, Feb 27, 2003 at 12:36:20PM +0300, Половников Денис wrote:
> DL> А FORWARD-правила где? А роутинг на этой машине включен?
> [0:0] -A PREROUTING -p udp -m udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124
[/dev/null]
А действительно...
iptables -A FORWARD -p udp -d 10.0.1.124 --dport 5122 -j ACCEPT
--
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
------------------------------------------
Inform-Mobil, Ltd. System Adminitrator
http://www.inform-mobil.ru/
Tel: +7(095)504-4709, Fax: +7(095)513-1006
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] [JT] IPtables
2003-02-27 9:04 ` Dmitry Lebkov
@ 2003-02-27 10:50 ` Maxim.Savrilov
0 siblings, 0 replies; 18+ messages in thread
From: Maxim.Savrilov @ 2003-02-27 10:50 UTC (permalink / raw)
To: community
On Thu, 27 Feb 2003 19:04:01 +1000
Dmitry Lebkov <dima@sakhalin.ru> wrote:
> On Thu, 27 Feb 2003 14:24:56 +0600
> Maxim.Savrilov@socenter.ru wrote:
>
> [skip]
>
> > жаль что не работает связка типа
> > tcpdump host addr port portnum
>
> Да ну? %) man tcpdump до полного просветления.
>
> tcpdump -i eth0 -n 'host 192.168.1.1 and port 53'
>
> покажет тебе весь трафик хоста 192.168.1.1 (порт 53).
Краснею и прячусь в берлогу...
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[6]: [Comm] IPtables
2003-02-27 10:05 ` Dmitry Lebkov
@ 2003-02-27 11:34 ` Половников Денис
2003-02-27 12:17 ` Dmitry Lebkov
0 siblings, 1 reply; 18+ messages in thread
From: Половников Денис @ 2003-02-27 11:34 UTC (permalink / raw)
To: Dmitry Lebkov
Здравствуйте, Dmitry.
Вы писали 27 февраля 2003 г., 13:05:44:
DL> Я так понимаю, что это уже после ручной правки. Сделай
DL> резервную копию и всетаки сделай service iptables save
DL> (just note: не из спортивного же интереса я просил результат
DL> save -- результаты ручной правки тяжко парсить глазами).
DL> И вот то, что получится - покажи.
DL> Хотя вот, только что заметил ... У тебя отсутствует правило:
DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT
DL> Вот это оно самое и есть.
Вот вывод команды service iptables save
# Generated by iptables-save v1.2.4 on Thu Feb 27 14:13:05 2003
*filter
:INPUT ACCEPT [15:1688]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:droplog - [0:0]
[0:0] -A INPUT -i lo -j ACCEPT
[23502:2893709] -A INPUT -i eth1 -j ACCEPT
[3:111] -A INPUT -p icmp -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d 217.69.198.30 -i eth0 -p tcp -m tcp --dport 60179 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d 217.69.198.58 -i eth0 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d 217.69.198.58 -i eth0 -p tcp -m tcp --dport 2847 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d 217.69.198.30 -i eth0 -p tcp -m tcp --dport 24554 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[6:288] -A INPUT -i eth0 -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[27259:30913801] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
[439:190184] -A INPUT -d 217.69.198.30 -p udp -m udp --dport 55777 -j ACCEPT
[0:0] -A INPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j ACCEPT
[435:180037] -A INPUT -d 217.69.198.30 -p udp -m udp --dport 55778 -j ACCEPT
[23:18512] -A INPUT -i eth0 -j droplog
[2:112] -A FORWARD -p icmp -j ACCEPT
[133:6556] -A FORWARD -o eth0 -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 995 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[2:96] -A FORWARD -o eth0 -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 465 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[3:144] -A FORWARD -o eth0 -p tcp -m tcp --dport 5190 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 55 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.4 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.6 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.6 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7777 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7090:7110 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[390:47883] -A FORWARD -s 10.0.1.7 -p udp -m udp --dport 55777 -j ACCEPT
[383:46829] -A FORWARD -s 10.0.1.8 -p udp -m udp --dport 55777 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.8 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[40:1920] -A FORWARD -s 10.0.1.9 -p tcp -m tcp --dport 12801 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 4661 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 4662 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 4661 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 4662 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[12:420] -A FORWARD -d 10.0.1.124 -p udp -m udp --dport 5122 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27530 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 4665 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 3306 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27005 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27010 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27011 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27012 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27015 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27025 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27017 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 5122 -j ACCEPT
[314:12560] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 5122 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1716 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1717 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1718 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 8777 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 27900 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 5122 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21000 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21001 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21002 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21003 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 20045 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 28900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6666 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.161 -p tcp -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.161 -p tcp -m tcp --dport 6666 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21000 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21001 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21002 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21003 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 2847 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 2848 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 5122 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27005 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27010 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27011 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27012 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27015 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27025 -j ACCEPT
[0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27017 -j ACCEPT
[106:17111] -A FORWARD -i eth0 -p udp -m udp --sport 53 -j ACCEPT
[150:9655] -A FORWARD -o eth0 -p udp -m udp --dport 53 -j ACCEPT
[11401:2572468] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[30:1668] -A FORWARD -j droplog
[0:0] -A OUTPUT -o lo -j ACCEPT
[31890:30458697] -A OUTPUT -o eth1 -j ACCEPT
[3:111] -A OUTPUT -p icmp -j ACCEPT
[1380:82800] -A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[23353:1905478] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -d 217.69.198.30 -p udp -m udp --dport 55777 -j ACCEPT
[0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j ACCEPT
[0:0] -A OUTPUT -d 217.69.198.30 -p udp -m udp --dport 55778 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -j droplog
[53:20180] -A droplog -j LOG
[53:20180] -A droplog -j DROP
COMMIT
# Completed on Thu Feb 27 14:13:05 2003
# Generated by iptables-save v1.2.4 on Thu Feb 27 14:13:05 2003
*nat
:PREROUTING ACCEPT [1424:99393]
:POSTROUTING ACCEPT [1305:78250]
:OUTPUT ACCEPT [1303:78180]
[2:70] -A PREROUTING -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124
[297:17999] -A POSTROUTING -s 10.0.0.0/255.0.0.0 -o eth0 -j MASQUERADE
[0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE
[0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124
COMMIT
# Completed on Thu Feb 27 14:13:05 2003
С уважением,
Половников Денис
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[6]: [Comm] IPtables
2003-02-27 11:34 ` Re[6]: " Половников Денис
@ 2003-02-27 12:17 ` Dmitry Lebkov
2003-02-28 6:17 ` Re[8]: " Половников Денис
0 siblings, 1 reply; 18+ messages in thread
From: Dmitry Lebkov @ 2003-02-27 12:17 UTC (permalink / raw)
To: community
On Thu, 27 Feb 2003 14:34:19 +0300
Половников Денис <fox@transbank.ru> wrote:
> Здравствуйте, Dmitry.
>
> Вы писали 27 февраля 2003 г., 13:05:44:
>
>
> DL> Я так понимаю, что это уже после ручной правки. Сделай
> DL> резервную копию и всетаки сделай service iptables save
> DL> (just note: не из спортивного же интереса я просил результат
> DL> save -- результаты ручной правки тяжко парсить глазами).
> DL> И вот то, что получится - покажи.
>
> DL> Хотя вот, только что заметил ... У тебя отсутствует правило:
>
> DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT
>
> DL> Вот это оно самое и есть.
> Вот вывод команды service iptables save
Вроде все нормально. Добавь вышеуаказанное правило и удали из
таблицы nat правило OUTPUT -- оно там лишнее. После этого все
должно работать.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[8]: [Comm] IPtables
2003-02-27 12:17 ` Dmitry Lebkov
@ 2003-02-28 6:17 ` Половников Денис
2003-02-28 12:53 ` Dmitry Lebkov
0 siblings, 1 reply; 18+ messages in thread
From: Половников Денис @ 2003-02-28 6:17 UTC (permalink / raw)
To: Dmitry Lebkov
Здравствуйте, Dmitry.
Вы писали 27 февраля 2003 г., 15:17:05:
DL> On Thu, 27 Feb 2003 14:34:19 +0300
DL> Половников Денис <fox@transbank.ru> wrote:
>> Здравствуйте, Dmitry.
>>
>> Вы писали 27 февраля 2003 г., 13:05:44:
>>
>>
>> DL> Я так понимаю, что это уже после ручной правки. Сделай
>> DL> резервную копию и всетаки сделай service iptables save
>> DL> (just note: не из спортивного же интереса я просил результат
>> DL> save -- результаты ручной правки тяжко парсить глазами).
>> DL> И вот то, что получится - покажи.
>>
>> DL> Хотя вот, только что заметил ... У тебя отсутствует правило:
>>
>> DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT
>>
>> DL> Вот это оно самое и есть.
>> Вот вывод команды service iptables save
DL> Вроде все нормально. Добавь вышеуаказанное правило и удали из
DL> таблицы nat правило OUTPUT -- оно там лишнее. После этого все
DL> должно работать.
Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил
всеровно немогу приконектится к машине. забиваю в клиенте реальный ip
217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-(
Can't connect to remote server. Socket error = #10061.
С уважением,
Половников Денис
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[8]: [Comm] IPtables
2003-02-28 6:17 ` Re[8]: " Половников Денис
@ 2003-02-28 12:53 ` Dmitry Lebkov
2003-02-28 13:31 ` Владимир
0 siblings, 1 reply; 18+ messages in thread
From: Dmitry Lebkov @ 2003-02-28 12:53 UTC (permalink / raw)
To: community
On Fri, 28 Feb 2003 09:17:12 +0300
Половников Денис <fox@transbank.ru> wrote:
[skip]
>
> Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил
> всеровно немогу приконектится к машине. забиваю в клиенте реальный ip
> 217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-(
> Can't connect to remote server. Socket error = #10061.
Для начала, посмотри с помощью tcpdump проходят ли пакеты на 10.0.1.124 и как
возвращаются ответы при попытке установки соединения на 217.69.198.58:5122.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables
2003-02-28 12:53 ` Dmitry Lebkov
@ 2003-02-28 13:31 ` Владимир
0 siblings, 0 replies; 18+ messages in thread
From: Владимир @ 2003-02-28 13:31 UTC (permalink / raw)
To: community
Dmitry Lebkov пишет:
>On Fri, 28 Feb 2003 09:17:12 +0300
>Половников Денис <fox@transbank.ru> wrote:
>
>[skip]
>
>
>
>>Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил
>>всеровно немогу приконектится к машине. забиваю в клиенте реальный ip
>>217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-(
>>Can't connect to remote server. Socket error = #10061.
>>
>>
>
>Для начала, посмотри с помощью tcpdump проходят ли пакеты на 10.0.1.124 и как
>возвращаются ответы при попытке установки соединения на 217.69.198.58:5122.
>
>
>
>
Я в этой рассылке _именно_по_этому_вопросу уже несколько раз писал.
Отражение пакетов обратно во внутренюю сеть предполагает использование
двойного NAT. Хотя бы один раз прочтите HOWTO по NAT, там это "разжевано"
до мелочей.
--
Best regards
Vladimir
^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2003-02-28 13:31 UTC | newest]
Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-02-26 12:31 [Comm] IPtables Половников Денис
2003-02-26 12:46 ` Alexey I. Froloff
2003-02-27 6:12 ` Re[2]: " Половников Денис
2003-02-27 6:55 ` Alexey I. Froloff
2003-02-27 8:10 ` Re[2]: " Половников Денис
2003-02-27 8:24 ` Maxim.Savrilov
2003-02-27 9:02 ` Vitaly Ostanin
2003-02-27 9:04 ` Dmitry Lebkov
2003-02-27 10:50 ` Re[2]: [Comm] [JT] IPtables Maxim.Savrilov
2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov
2003-02-27 9:36 ` Re[4]: " Половников Денис
2003-02-27 10:05 ` Dmitry Lebkov
2003-02-27 11:34 ` Re[6]: " Половников Денис
2003-02-27 12:17 ` Dmitry Lebkov
2003-02-28 6:17 ` Re[8]: " Половников Денис
2003-02-28 12:53 ` Dmitry Lebkov
2003-02-28 13:31 ` Владимир
2003-02-27 10:25 ` Alexey I. Froloff
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git