* [Comm] IPtables @ 2003-02-26 12:31 Половников Денис 2003-02-26 12:46 ` Alexey I. Froloff 0 siblings, 1 reply; 18+ messages in thread From: @ 2003-02-26 12:31 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-26 12:31 [Comm] IPtables Половников Денис @ 2003-02-26 12:46 ` Alexey I. Froloff 2003-02-27 6:12 ` Re[2]: " Половников Денис 0 siblings, 1 reply; 18+ messages in thread From: @ 2003-02-26 12:46 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] IPtables 2003-02-26 12:46 ` Alexey I. Froloff @ 2003-02-27 6:12 ` Половников Денис 2003-02-27 6:55 ` Alexey I. Froloff 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov 0 siblings, 2 replies; 18+ messages in thread From: @ 2003-02-27 6:12 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-27 6:12 ` Re[2]: " Половников Денис @ 2003-02-27 6:55 ` Alexey I. Froloff 2003-02-27 8:10 ` Re[2]: " Половников Денис 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov 1 sibling, 1 reply; 18+ messages in thread From: @ 2003-02-27 6:55 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] IPtables 2003-02-27 6:55 ` Alexey I. Froloff @ 2003-02-27 8:10 ` Половников Денис 2003-02-27 8:24 ` Maxim.Savrilov 0 siblings, 1 reply; 18+ messages in thread From: @ 2003-02-27 8:10 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 8:10 ` Re[2]: " Половников Денис @ 2003-02-27 8:24 ` Maxim.Savrilov 2003-02-27 9:02 ` Vitaly Ostanin 2003-02-27 9:04 ` Dmitry Lebkov 0 siblings, 2 replies; 18+ messages in thread From: @ 2003-02-27 8:24 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 8:24 ` Maxim.Savrilov @ 2003-02-27 9:02 ` Vitaly Ostanin 2003-02-27 9:04 ` Dmitry Lebkov 1 sibling, 0 replies; 18+ messages in thread From: @ 2003-02-27 9:02 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 8:24 ` Maxim.Savrilov 2003-02-27 9:02 ` Vitaly Ostanin @ 2003-02-27 9:04 ` Dmitry Lebkov 2003-02-27 10:50 ` Re[2]: [Comm] [JT] IPtables Maxim.Savrilov 1 sibling, 1 reply; 18+ messages in thread From: @ 2003-02-27 9:04 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] [JT] IPtables 2003-02-27 9:04 ` Dmitry Lebkov @ 2003-02-27 10:50 ` Maxim.Savrilov 0 siblings, 0 replies; 18+ messages in thread From: @ 2003-02-27 10:50 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 6:12 ` Re[2]: " Половников Денис 2003-02-27 6:55 ` Alexey I. Froloff @ 2003-02-27 8:35 ` Dmitry Lebkov 2003-02-27 9:36 ` Re[4]: " Половников Денис 1 sibling, 1 reply; 18+ messages in thread From: @ 2003-02-27 8:35 UTC (permalink / raw) ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[4]: [Comm] IPtables 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov @ 2003-02-27 9:36 ` Половников Денис 2003-02-27 10:05 ` Dmitry Lebkov 2003-02-27 10:25 ` Alexey I. Froloff 0 siblings, 2 replies; 18+ messages in thread From: Половников Денис @ 2003-02-27 9:36 UTC (permalink / raw) To: Dmitry Lebkov Здравствуйте, Dmitry. Вы писали 27 февраля 2003 г., 11:35:51: Ман то tcpdump я читал и делал все понему тишина видимо конекта нет... DL> А FORWARD-правила где? А роутинг на этой машине включен? DL> Покажи результат: DL> # cat cat /proc/sys/net/ipv4/ip_forward Вывод следующий 1 в этом фаиле стоит только 1 DL> # service iptables save DL> # cat /etc/sysconfig/iptables # Generated by iptables-save v1.2.1a on Fri Jun 15 14:40:51 2001 *nat :PREROUTING ACCEPT [23:2866] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] [0:0] -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE [0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE [0:0] -A PREROUTING -p udp -m udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 [0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124 COMMIT # Completed on Fri Jun 15 14:40:51 2001 # Generated by iptables-save v1.2.1a on Fri Jun 15 14:40:51 2001 *filter :INPUT ACCEPT [15:1688] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # make a chain for deny and log packets :droplog - [0:0] -A droplog -j LOG -A droplog -j DROP # accept trusted interfaces [0:0] -A INPUT -i lo -j ACCEPT [0:0] -A OUTPUT -o lo -j ACCEPT [4:463] -A INPUT -i eth1 -j ACCEPT [0:0] -A OUTPUT -o eth1 -j ACCEPT # allow ICMP [0:0] -A INPUT -p icmp -j ACCEPT [0:0] -A OUTPUT -p icmp -j ACCEPT # allow incoming SSH [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport 22 -j ACCEPT # allow incoming FIDO [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.30 --dport fido -j ACCEPT # allow incoming NETINV [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.58 --dport netinv -j ACCEPT # allow incoming symqs [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.58 --dport symqs -j ACCEPT # allow incoming binkp [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.30 --dport binkp -j ACCEPT # allow incoming SMTP #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport smtp -j ACCEPT # allow incoming WWW #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport www -j ACCEPT # allow incoming ftp [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport ftp -j ACCEPT # allow incoming ftp transfers in active mode [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --sport ftp-data -j ACCEPT # allow squid #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport squid -j ACCEPT # allow zone transfers #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport domain -j ACCEPT # allow outgoing TCP -A OUTPUT -o eth0 -p tcp -m tcp --syn -j ACCEPT # allow established and related connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # allow outgoing DNS -A INPUT -p udp -m udp --sport domain -j ACCEPT -i eth0 -A OUTPUT -p udp -m udp --dport domain -j ACCEPT -o eth0 # allow incoming reuter -A INPUT -p udp -m udp -d 217.69.198.30 --dport 55777 -j ACCEPT -A OUTPUT -p udp -m udp -d 217.69.198.30 --dport 55777 -j ACCEPT -A INPUT -p udp -m udp -d 217.69.198.58 --dport 5122 -j ACCEPT -A OUTPUT -p udp -m udp -d 217.69.198.58 --dport 5122 -j ACCEPT -A INPUT -p udp -m udp -d 217.69.198.30 --dport 55778 -j ACCEPT -A OUTPUT -p udp -m udp -d 217.69.198.30 --dport 55778 -j ACCEPT # allow incoming DNS #-A INPUT -p udp -m udp --dport domain -j ACCEPT -i eth0 #-A OUTPUT -p udp -m udp --sport domain -j ACCEPT -o eth0 # deny the rest of my traffic -A INPUT -i eth0 -j droplog -A OUTPUT -o eth0 -j droplog # allow ICMP forwarding -A FORWARD -p icmp -j ACCEPT # allow outgoing pop3 -A FORWARD -p tcp -m tcp --syn --dport pop3 -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp --syn --dport pop3s -o eth0 -j ACCEPT # allow outgoing smtp -A FORWARD -p tcp -m tcp --syn --dport smtp -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp --syn --dport smtps -o eth0 -j ACCEPT # allow outgoing ftp -A FORWARD -p tcp -m tcp --syn --dport ftp -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp --syn --dport ftp-data -o eth0 -j ACCEPT # allow outgoing ICQ -A FORWARD -p tcp -m tcp --syn --dport 5190 -o eth0 -j ACCEPT # allow outgoing 55 -A FORWARD -p tcp -m tcp --syn --dport 55 -o eth0 -j ACCEPT # allow special services #-A FORWARD -p tcp -m tcp --syn -d 10.0.1.5 --dport 60179 -j ACCEPT #-A FORWARD -p tcp -m tcp --syn -s 10.0.1.5 --dport 24554 -j ACCEPT #-A FORWARD -p tcp -m tcp --syn -d 10.0.1.5 --dport 24554 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.4 --dport 22 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.6 --dport 7001 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.6 --dport 2900 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7001 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7777 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7090:7110 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 2900 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.7 --dport 55777 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.8 --dport 55777 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.8 --dport 7001 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.9 --dport 12801 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 4661 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 4662 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 4661 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 4662 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27530 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 4665 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 22 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 22 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 3306 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27005 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27010 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27011 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27012 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27015 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27025 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27017 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1716 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1717 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1718 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 8777 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 27900 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21000 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21001 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21002 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 7002 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 20045 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 28900 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 7002 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 6003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6667 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6666 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.161 --dport 6667 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.161 --dport 6666 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21000 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21001 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21002 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 80 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 443 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 2847 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 2848 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 7002 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 6003 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27005 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27010 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27011 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27012 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27015 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27025 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27017 -j ACCEPT # allow outgoing DNS -A FORWARD -p udp -m udp --sport domain -j ACCEPT -i eth0 -A FORWARD -p udp -m udp --dport domain -j ACCEPT -o eth0 # allow established connections -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # deny the rest -A FORWARD -j droplog COMMIT # Completed on Fri Jun 15 14:40:51 2001 С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[4]: [Comm] IPtables 2003-02-27 9:36 ` Re[4]: " Половников Денис @ 2003-02-27 10:05 ` Dmitry Lebkov 2003-02-27 11:34 ` Re[6]: " Половников Денис 2003-02-27 10:25 ` Alexey I. Froloff 1 sibling, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-27 10:05 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 12:36:20 +0300 Половников Денис <fox@transbank.ru> wrote: > Здравствуйте, Dmitry. > > Вы писали 27 февраля 2003 г., 11:35:51: > > Ман то tcpdump я читал и делал все понему тишина видимо конекта нет... > > DL> А FORWARD-правила где? А роутинг на этой машине включен? > > DL> Покажи результат: > > DL> # cat cat /proc/sys/net/ipv4/ip_forward > Вывод следующий 1 > в этом фаиле стоит только 1 > DL> # service iptables save > > DL> # cat /etc/sysconfig/iptables Я так понимаю, что это уже после ручной правки. Сделай резервную копию и всетаки сделай service iptables save (just note: не из спортивного же интереса я просил результат save -- результаты ручной правки тяжко парсить глазами). И вот то, что получится - покажи. Хотя вот, только что заметил ... У тебя отсутствует правило: FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT Вот это оно самое и есть. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[6]: [Comm] IPtables 2003-02-27 10:05 ` Dmitry Lebkov @ 2003-02-27 11:34 ` Половников Денис 2003-02-27 12:17 ` Dmitry Lebkov 0 siblings, 1 reply; 18+ messages in thread From: Половников Денис @ 2003-02-27 11:34 UTC (permalink / raw) To: Dmitry Lebkov Здравствуйте, Dmitry. Вы писали 27 февраля 2003 г., 13:05:44: DL> Я так понимаю, что это уже после ручной правки. Сделай DL> резервную копию и всетаки сделай service iptables save DL> (just note: не из спортивного же интереса я просил результат DL> save -- результаты ручной правки тяжко парсить глазами). DL> И вот то, что получится - покажи. DL> Хотя вот, только что заметил ... У тебя отсутствует правило: DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT DL> Вот это оно самое и есть. Вот вывод команды service iptables save # Generated by iptables-save v1.2.4 on Thu Feb 27 14:13:05 2003 *filter :INPUT ACCEPT [15:1688] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :droplog - [0:0] [0:0] -A INPUT -i lo -j ACCEPT [23502:2893709] -A INPUT -i eth1 -j ACCEPT [3:111] -A INPUT -p icmp -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.30 -i eth0 -p tcp -m tcp --dport 60179 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.58 -i eth0 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.58 -i eth0 -p tcp -m tcp --dport 2847 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.30 -i eth0 -p tcp -m tcp --dport 24554 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [6:288] -A INPUT -i eth0 -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [27259:30913801] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT [439:190184] -A INPUT -d 217.69.198.30 -p udp -m udp --dport 55777 -j ACCEPT [0:0] -A INPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j ACCEPT [435:180037] -A INPUT -d 217.69.198.30 -p udp -m udp --dport 55778 -j ACCEPT [23:18512] -A INPUT -i eth0 -j droplog [2:112] -A FORWARD -p icmp -j ACCEPT [133:6556] -A FORWARD -o eth0 -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 995 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [2:96] -A FORWARD -o eth0 -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 465 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [3:144] -A FORWARD -o eth0 -p tcp -m tcp --dport 5190 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 55 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.4 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.6 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.6 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7777 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7090:7110 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [390:47883] -A FORWARD -s 10.0.1.7 -p udp -m udp --dport 55777 -j ACCEPT [383:46829] -A FORWARD -s 10.0.1.8 -p udp -m udp --dport 55777 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.8 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [40:1920] -A FORWARD -s 10.0.1.9 -p tcp -m tcp --dport 12801 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 4661 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 4662 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 4661 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 4662 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [12:420] -A FORWARD -d 10.0.1.124 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27530 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 4665 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 3306 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27005 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27010 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27011 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27012 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27015 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27025 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27017 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 5122 -j ACCEPT [314:12560] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1716 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1717 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1718 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 8777 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 27900 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21000 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21001 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21002 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21003 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 20045 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 28900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6666 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p tcp -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p tcp -m tcp --dport 6666 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21000 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21001 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21002 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21003 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 2847 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 2848 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27005 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27010 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27011 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27012 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27015 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27025 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27017 -j ACCEPT [106:17111] -A FORWARD -i eth0 -p udp -m udp --sport 53 -j ACCEPT [150:9655] -A FORWARD -o eth0 -p udp -m udp --dport 53 -j ACCEPT [11401:2572468] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT [30:1668] -A FORWARD -j droplog [0:0] -A OUTPUT -o lo -j ACCEPT [31890:30458697] -A OUTPUT -o eth1 -j ACCEPT [3:111] -A OUTPUT -p icmp -j ACCEPT [1380:82800] -A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT [23353:1905478] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT [0:0] -A OUTPUT -d 217.69.198.30 -p udp -m udp --dport 55777 -j ACCEPT [0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A OUTPUT -d 217.69.198.30 -p udp -m udp --dport 55778 -j ACCEPT [0:0] -A OUTPUT -o eth0 -j droplog [53:20180] -A droplog -j LOG [53:20180] -A droplog -j DROP COMMIT # Completed on Thu Feb 27 14:13:05 2003 # Generated by iptables-save v1.2.4 on Thu Feb 27 14:13:05 2003 *nat :PREROUTING ACCEPT [1424:99393] :POSTROUTING ACCEPT [1305:78250] :OUTPUT ACCEPT [1303:78180] [2:70] -A PREROUTING -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124 [297:17999] -A POSTROUTING -s 10.0.0.0/255.0.0.0 -o eth0 -j MASQUERADE [0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE [0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124 COMMIT # Completed on Thu Feb 27 14:13:05 2003 С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[6]: [Comm] IPtables 2003-02-27 11:34 ` Re[6]: " Половников Денис @ 2003-02-27 12:17 ` Dmitry Lebkov 2003-02-28 6:17 ` Re[8]: " Половников Денис 0 siblings, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-27 12:17 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 14:34:19 +0300 Половников Денис <fox@transbank.ru> wrote: > Здравствуйте, Dmitry. > > Вы писали 27 февраля 2003 г., 13:05:44: > > > DL> Я так понимаю, что это уже после ручной правки. Сделай > DL> резервную копию и всетаки сделай service iptables save > DL> (just note: не из спортивного же интереса я просил результат > DL> save -- результаты ручной правки тяжко парсить глазами). > DL> И вот то, что получится - покажи. > > DL> Хотя вот, только что заметил ... У тебя отсутствует правило: > > DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT > > DL> Вот это оно самое и есть. > Вот вывод команды service iptables save Вроде все нормально. Добавь вышеуаказанное правило и удали из таблицы nat правило OUTPUT -- оно там лишнее. После этого все должно работать. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[8]: [Comm] IPtables 2003-02-27 12:17 ` Dmitry Lebkov @ 2003-02-28 6:17 ` Половников Денис 2003-02-28 12:53 ` Dmitry Lebkov 0 siblings, 1 reply; 18+ messages in thread From: Половников Денис @ 2003-02-28 6:17 UTC (permalink / raw) To: Dmitry Lebkov Здравствуйте, Dmitry. Вы писали 27 февраля 2003 г., 15:17:05: DL> On Thu, 27 Feb 2003 14:34:19 +0300 DL> Половников Денис <fox@transbank.ru> wrote: >> Здравствуйте, Dmitry. >> >> Вы писали 27 февраля 2003 г., 13:05:44: >> >> >> DL> Я так понимаю, что это уже после ручной правки. Сделай >> DL> резервную копию и всетаки сделай service iptables save >> DL> (just note: не из спортивного же интереса я просил результат >> DL> save -- результаты ручной правки тяжко парсить глазами). >> DL> И вот то, что получится - покажи. >> >> DL> Хотя вот, только что заметил ... У тебя отсутствует правило: >> >> DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT >> >> DL> Вот это оно самое и есть. >> Вот вывод команды service iptables save DL> Вроде все нормально. Добавь вышеуаказанное правило и удали из DL> таблицы nat правило OUTPUT -- оно там лишнее. После этого все DL> должно работать. Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил всеровно немогу приконектится к машине. забиваю в клиенте реальный ip 217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-( Can't connect to remote server. Socket error = #10061. С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[8]: [Comm] IPtables 2003-02-28 6:17 ` Re[8]: " Половников Денис @ 2003-02-28 12:53 ` Dmitry Lebkov 2003-02-28 13:31 ` Владимир 0 siblings, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-28 12:53 UTC (permalink / raw) To: community On Fri, 28 Feb 2003 09:17:12 +0300 Половников Денис <fox@transbank.ru> wrote: [skip] > > Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил > всеровно немогу приконектится к машине. забиваю в клиенте реальный ip > 217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-( > Can't connect to remote server. Socket error = #10061. Для начала, посмотри с помощью tcpdump проходят ли пакеты на 10.0.1.124 и как возвращаются ответы при попытке установки соединения на 217.69.198.58:5122. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-28 12:53 ` Dmitry Lebkov @ 2003-02-28 13:31 ` Владимир 0 siblings, 0 replies; 18+ messages in thread From: Владимир @ 2003-02-28 13:31 UTC (permalink / raw) To: community Dmitry Lebkov пишет: >On Fri, 28 Feb 2003 09:17:12 +0300 >Половников Денис <fox@transbank.ru> wrote: > >[skip] > > > >>Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил >>всеровно немогу приконектится к машине. забиваю в клиенте реальный ip >>217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-( >>Can't connect to remote server. Socket error = #10061. >> >> > >Для начала, посмотри с помощью tcpdump проходят ли пакеты на 10.0.1.124 и как >возвращаются ответы при попытке установки соединения на 217.69.198.58:5122. > > > > Я в этой рассылке _именно_по_этому_вопросу уже несколько раз писал. Отражение пакетов обратно во внутренюю сеть предполагает использование двойного NAT. Хотя бы один раз прочтите HOWTO по NAT, там это "разжевано" до мелочей. -- Best regards Vladimir ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-27 9:36 ` Re[4]: " Половников Денис 2003-02-27 10:05 ` Dmitry Lebkov @ 2003-02-27 10:25 ` Alexey I. Froloff 1 sibling, 0 replies; 18+ messages in thread From: Alexey I. Froloff @ 2003-02-27 10:25 UTC (permalink / raw) To: Dmitry Lebkov [-- Attachment #1: Type: text/plain, Size: 542 bytes --] On Thu, Feb 27, 2003 at 12:36:20PM +0300, Половников Денис wrote: > DL> А FORWARD-правила где? А роутинг на этой машине включен? > [0:0] -A PREROUTING -p udp -m udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 [/dev/null] А действительно... iptables -A FORWARD -p udp -d 10.0.1.124 --dport 5122 -j ACCEPT -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------ Inform-Mobil, Ltd. System Adminitrator http://www.inform-mobil.ru/ Tel: +7(095)504-4709, Fax: +7(095)513-1006 [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2003-02-28 13:31 UTC | newest] Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-02-26 12:31 [Comm] IPtables Половников Денис 2003-02-26 12:46 ` Alexey I. Froloff 2003-02-27 6:12 ` Re[2]: " Половников Денис 2003-02-27 6:55 ` Alexey I. Froloff 2003-02-27 8:10 ` Re[2]: " Половников Денис 2003-02-27 8:24 ` Maxim.Savrilov 2003-02-27 9:02 ` Vitaly Ostanin 2003-02-27 9:04 ` Dmitry Lebkov 2003-02-27 10:50 ` Re[2]: [Comm] [JT] IPtables Maxim.Savrilov 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov 2003-02-27 9:36 ` Re[4]: " Половников Денис 2003-02-27 10:05 ` Dmitry Lebkov 2003-02-27 11:34 ` Re[6]: " Половников Денис 2003-02-27 12:17 ` Dmitry Lebkov 2003-02-28 6:17 ` Re[8]: " Половников Денис 2003-02-28 12:53 ` Dmitry Lebkov 2003-02-28 13:31 ` Владимир 2003-02-27 10:25 ` Alexey I. Froloff
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git