* [Comm] IPtables @ 2003-02-26 12:31 Половников Денис 2003-02-26 12:46 ` Alexey I. Froloff 0 siblings, 1 reply; 18+ messages in thread From: Половников Денис @ 2003-02-26 12:31 UTC (permalink / raw) To: community Здравствуйте, community. Народ подскажите плиз.... почитал я всяких разных мануалов на тему iptables вобшем все интересно но почемуто неполучается. У меня уже есть нормально работающий конфиг для iptables добавляю туды правило что при конекте на реальный ip с портом 5122 шол редирек на внутрений ip с темже портом. -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 Нефига неработает. С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-26 12:31 [Comm] IPtables Половников Денис @ 2003-02-26 12:46 ` Alexey I. Froloff 2003-02-27 6:12 ` Re[2]: " Половников Денис 0 siblings, 1 reply; 18+ messages in thread From: Alexey I. Froloff @ 2003-02-26 12:46 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 425 bytes --] On Wed, Feb 26, 2003 at 03:31:28PM +0300, Половников Денис wrote: > -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 > Нефига неработает. Дурацкий вопрос -- -t nat есть? -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------ Inform-Mobil, Ltd. System Adminitrator http://www.inform-mobil.ru/ Tel: +7(095)504-4709, Fax: +7(095)513-1006 [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] IPtables 2003-02-26 12:46 ` Alexey I. Froloff @ 2003-02-27 6:12 ` Половников Денис 2003-02-27 6:55 ` Alexey I. Froloff 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov 0 siblings, 2 replies; 18+ messages in thread From: Половников Денис @ 2003-02-27 6:12 UTC (permalink / raw) To: Alexey I. Froloff Здравствуйте, Alexey. Вы писали 26 февраля 2003 г., 15:46:38: AIF> On Wed, Feb 26, 2003 at 03:31:28PM +0300, Половников Денис wrote: >> -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 >> Нефига неработает. AIF> Дурацкий вопрос -- -t nat есть? Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables ругается что это неверный аргумент... *nat :PREROUTING ACCEPT [23:2866] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] [0:0] -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE [0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 COMMIT # Completed on Fri Jun 15 14:40:51 2001 С уважением, Половников Денис -------------------- Ведущий специалист департамента банковских технологий. КБ "Транспортный" fox@transbank.ru www.transbank.ru ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-27 6:12 ` Re[2]: " Половников Денис @ 2003-02-27 6:55 ` Alexey I. Froloff 2003-02-27 8:10 ` Re[2]: " Половников Денис 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov 1 sibling, 1 reply; 18+ messages in thread From: Alexey I. Froloff @ 2003-02-27 6:55 UTC (permalink / raw) To: Alexey I. Froloff [-- Attachment #1: Type: text/plain, Size: 918 bytes --] On Thu, Feb 27, 2003 at 09:12:29AM +0300, Половников Денис wrote: > AIF> Дурацкий вопрос -- -t nat есть? > Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables > ругается что это неверный аргумент... > *nat > :PREROUTING ACCEPT [23:2866] > :POSTROUTING ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] Ой, какой кошмар! Не думаю, что редактировать руками /etc/sysconfig/iptables - хорошая идея. Лучше написать маленький shell-скрипт где будет вызываться iptables в нужном порядке и с нужными параметрами, а потом делать service iptables save... -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------ Inform-Mobil, Ltd. System Adminitrator http://www.inform-mobil.ru/ Tel: +7(095)504-4709, Fax: +7(095)513-1006 [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[2]: [Comm] IPtables 2003-02-27 6:55 ` Alexey I. Froloff @ 2003-02-27 8:10 ` Половников Денис 2003-02-27 8:24 ` Maxim.Savrilov 0 siblings, 1 reply; 18+ messages in thread From: Половников Денис @ 2003-02-27 8:10 UTC (permalink / raw) To: Alexey I. Froloff Здравствуйте, Alexey. Вы писали 27 февраля 2003 г., 9:55:40: AIF> On Thu, Feb 27, 2003 at 09:12:29AM +0300, Половников Денис wrote: >> AIF> Дурацкий вопрос -- -t nat есть? >> Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables >> ругается что это неверный аргумент... >> *nat >> :PREROUTING ACCEPT [23:2866] >> :POSTROUTING ACCEPT [0:0] >> :OUTPUT ACCEPT [0:0] AIF> Ой, какой кошмар! Не думаю, что редактировать руками AIF> /etc/sysconfig/iptables - хорошая идея. Лучше написать маленький AIF> shell-скрипт где будет вызываться iptables в нужном порядке и с AIF> нужными параметрами, а потом делать service iptables save... Дал команду iptables -t nat -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 потом сделал service iptables save строчка добавилась в /etc/sysconfig/iptables но всеровно немогу приконектится :-( В игрушке даю ip сервака 217.69.198.58:5122 и тишина ... А должно переводится на внутренюю машину с ip 10.0.1.124:5122... Обясните как проверить куда идет запрос при попытке конекта на внешний ip??? пробовал смотреть tcpdump но у меня толпа народу ползает через этот ком и нефига неувидиш слишком все быстро пролетает. С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 8:10 ` Re[2]: " Половников Денис @ 2003-02-27 8:24 ` Maxim.Savrilov 2003-02-27 9:02 ` Vitaly Ostanin 2003-02-27 9:04 ` Dmitry Lebkov 0 siblings, 2 replies; 18+ messages in thread From: Maxim.Savrilov @ 2003-02-27 8:24 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 11:10:44 +0300 Половников Денис <fox@transbank.ru> wrote: > внутренюю машину с ip 10.0.1.124:5122... Обясните как проверить куда > идет запрос при попытке конекта на внешний ip??? пробовал смотреть > tcpdump но у меня толпа народу ползает через этот ком и нефига > неувидиш слишком все быстро пролетает. tcpdump host ip-add man tcpdump можно вдобавок еще grep жаль что не работает связка типа tcpdump host addr port portnum ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 8:24 ` Maxim.Savrilov @ 2003-02-27 9:02 ` Vitaly Ostanin 2003-02-27 9:04 ` Dmitry Lebkov 1 sibling, 0 replies; 18+ messages in thread From: Vitaly Ostanin @ 2003-02-27 9:02 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 681 bytes --] On Thu, 27 Feb 2003 14:24:56 +0600 Maxim.Savrilov@socenter.ru wrote: > On Thu, 27 Feb 2003 11:10:44 +0300 > Половников Денис <fox@transbank.ru> wrote: > > > внутренюю машину с ip 10.0.1.124:5122... Обясните как > > проверить куда идет запрос при попытке конекта на внешний > > ip??? пробовал смотреть tcpdump но у меня толпа народу > > ползает через этот ком и нефига неувидиш слишком все быстро > > пролетает. > > tcpdump host ip-add > man tcpdump > можно вдобавок еще grep > жаль что не работает связка типа > tcpdump host addr port portnum # tcpdump host 192.168.100.100 and port 5222 -- Regards, Vyt mailto: vyt@vzljot.ru JID: vyt@vzljot.ru [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 8:24 ` Maxim.Savrilov 2003-02-27 9:02 ` Vitaly Ostanin @ 2003-02-27 9:04 ` Dmitry Lebkov 2003-02-27 10:50 ` Re[2]: [Comm] [JT] IPtables Maxim.Savrilov 1 sibling, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-27 9:04 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 14:24:56 +0600 Maxim.Savrilov@socenter.ru wrote: [skip] > жаль что не работает связка типа > tcpdump host addr port portnum Да ну? %) man tcpdump до полного просветления. tcpdump -i eth0 -n 'host 192.168.1.1 and port 53' покажет тебе весь трафик хоста 192.168.1.1 (порт 53). ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] [JT] IPtables 2003-02-27 9:04 ` Dmitry Lebkov @ 2003-02-27 10:50 ` Maxim.Savrilov 0 siblings, 0 replies; 18+ messages in thread From: Maxim.Savrilov @ 2003-02-27 10:50 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 19:04:01 +1000 Dmitry Lebkov <dima@sakhalin.ru> wrote: > On Thu, 27 Feb 2003 14:24:56 +0600 > Maxim.Savrilov@socenter.ru wrote: > > [skip] > > > жаль что не работает связка типа > > tcpdump host addr port portnum > > Да ну? %) man tcpdump до полного просветления. > > tcpdump -i eth0 -n 'host 192.168.1.1 and port 53' > > покажет тебе весь трафик хоста 192.168.1.1 (порт 53). Краснею и прячусь в берлогу... ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[2]: [Comm] IPtables 2003-02-27 6:12 ` Re[2]: " Половников Денис 2003-02-27 6:55 ` Alexey I. Froloff @ 2003-02-27 8:35 ` Dmitry Lebkov 2003-02-27 9:36 ` Re[4]: " Половников Денис 1 sibling, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-27 8:35 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 09:12:29 +0300 Половников Денис <fox@transbank.ru> wrote: > Здравствуйте, Alexey. > > Вы писали 26 февраля 2003 г., 15:46:38: > > AIF> On Wed, Feb 26, 2003 at 03:31:28PM +0300, Половников Денис wrote: > >> -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT > >--to-destination 10.0.1.124 > > >> Нефига неработает. > > AIF> Дурацкий вопрос -- -t nat есть? > Вот кусок из конфига асли я ставлю впереди -t nat то тогда ip tables > ругается что это неверный аргумент... > *nat > :PREROUTING ACCEPT [23:2866] > > :POSTROUTING ACCEPT [0:0] > > :OUTPUT ACCEPT [0:0] > > [0:0] -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE > > [0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j > MASQUERADE -A PREROUTING -p udp -d 217.69.198.58 --dport 5122 -j DNAT > --to-destination 10.0.1.124 COMMIT > > # Completed on Fri Jun 15 14:40:51 2001 > # А FORWARD-правила где? А роутинг на этой машине включен? Покажи результат: # cat cat /proc/sys/net/ipv4/ip_forward # service iptables save # cat /etc/sysconfig/iptables -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[4]: [Comm] IPtables 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov @ 2003-02-27 9:36 ` Половников Денис 2003-02-27 10:05 ` Dmitry Lebkov 2003-02-27 10:25 ` Alexey I. Froloff 0 siblings, 2 replies; 18+ messages in thread From: Половников Денис @ 2003-02-27 9:36 UTC (permalink / raw) To: Dmitry Lebkov Здравствуйте, Dmitry. Вы писали 27 февраля 2003 г., 11:35:51: Ман то tcpdump я читал и делал все понему тишина видимо конекта нет... DL> А FORWARD-правила где? А роутинг на этой машине включен? DL> Покажи результат: DL> # cat cat /proc/sys/net/ipv4/ip_forward Вывод следующий 1 в этом фаиле стоит только 1 DL> # service iptables save DL> # cat /etc/sysconfig/iptables # Generated by iptables-save v1.2.1a on Fri Jun 15 14:40:51 2001 *nat :PREROUTING ACCEPT [23:2866] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] [0:0] -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE [0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE [0:0] -A PREROUTING -p udp -m udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 [0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124 COMMIT # Completed on Fri Jun 15 14:40:51 2001 # Generated by iptables-save v1.2.1a on Fri Jun 15 14:40:51 2001 *filter :INPUT ACCEPT [15:1688] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # make a chain for deny and log packets :droplog - [0:0] -A droplog -j LOG -A droplog -j DROP # accept trusted interfaces [0:0] -A INPUT -i lo -j ACCEPT [0:0] -A OUTPUT -o lo -j ACCEPT [4:463] -A INPUT -i eth1 -j ACCEPT [0:0] -A OUTPUT -o eth1 -j ACCEPT # allow ICMP [0:0] -A INPUT -p icmp -j ACCEPT [0:0] -A OUTPUT -p icmp -j ACCEPT # allow incoming SSH [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport 22 -j ACCEPT # allow incoming FIDO [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.30 --dport fido -j ACCEPT # allow incoming NETINV [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.58 --dport netinv -j ACCEPT # allow incoming symqs [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.58 --dport symqs -j ACCEPT # allow incoming binkp [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn -d 217.69.198.30 --dport binkp -j ACCEPT # allow incoming SMTP #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport smtp -j ACCEPT # allow incoming WWW #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport www -j ACCEPT # allow incoming ftp [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport ftp -j ACCEPT # allow incoming ftp transfers in active mode [0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --sport ftp-data -j ACCEPT # allow squid #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport squid -j ACCEPT # allow zone transfers #[0:0] -A INPUT -i eth0 -p tcp -m tcp --syn --dport domain -j ACCEPT # allow outgoing TCP -A OUTPUT -o eth0 -p tcp -m tcp --syn -j ACCEPT # allow established and related connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # allow outgoing DNS -A INPUT -p udp -m udp --sport domain -j ACCEPT -i eth0 -A OUTPUT -p udp -m udp --dport domain -j ACCEPT -o eth0 # allow incoming reuter -A INPUT -p udp -m udp -d 217.69.198.30 --dport 55777 -j ACCEPT -A OUTPUT -p udp -m udp -d 217.69.198.30 --dport 55777 -j ACCEPT -A INPUT -p udp -m udp -d 217.69.198.58 --dport 5122 -j ACCEPT -A OUTPUT -p udp -m udp -d 217.69.198.58 --dport 5122 -j ACCEPT -A INPUT -p udp -m udp -d 217.69.198.30 --dport 55778 -j ACCEPT -A OUTPUT -p udp -m udp -d 217.69.198.30 --dport 55778 -j ACCEPT # allow incoming DNS #-A INPUT -p udp -m udp --dport domain -j ACCEPT -i eth0 #-A OUTPUT -p udp -m udp --sport domain -j ACCEPT -o eth0 # deny the rest of my traffic -A INPUT -i eth0 -j droplog -A OUTPUT -o eth0 -j droplog # allow ICMP forwarding -A FORWARD -p icmp -j ACCEPT # allow outgoing pop3 -A FORWARD -p tcp -m tcp --syn --dport pop3 -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp --syn --dport pop3s -o eth0 -j ACCEPT # allow outgoing smtp -A FORWARD -p tcp -m tcp --syn --dport smtp -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp --syn --dport smtps -o eth0 -j ACCEPT # allow outgoing ftp -A FORWARD -p tcp -m tcp --syn --dport ftp -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp --syn --dport ftp-data -o eth0 -j ACCEPT # allow outgoing ICQ -A FORWARD -p tcp -m tcp --syn --dport 5190 -o eth0 -j ACCEPT # allow outgoing 55 -A FORWARD -p tcp -m tcp --syn --dport 55 -o eth0 -j ACCEPT # allow special services #-A FORWARD -p tcp -m tcp --syn -d 10.0.1.5 --dport 60179 -j ACCEPT #-A FORWARD -p tcp -m tcp --syn -s 10.0.1.5 --dport 24554 -j ACCEPT #-A FORWARD -p tcp -m tcp --syn -d 10.0.1.5 --dport 24554 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.4 --dport 22 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.6 --dport 7001 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.6 --dport 2900 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7001 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7777 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 7090:7110 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.7 --dport 2900 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.7 --dport 55777 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.8 --dport 55777 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.8 --dport 7001 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.9 --dport 12801 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 4661 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 4662 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 4661 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 4662 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27530 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 4665 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 22 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 22 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 3306 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27005 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27010 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27011 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27012 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27015 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27025 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 27017 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.115 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1716 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1717 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 1718 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 8777 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.124 --dport 27900 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21000 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21001 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21002 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.161 --dport 21003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 7002 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 20045 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 28900 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 7002 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.115 --dport 6003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6667 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.124 --dport 6666 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.161 --dport 6667 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.161 --dport 6666 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21000 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21001 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21002 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 21003 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 80 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 443 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 2847 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 2848 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 7002 -j ACCEPT -A FORWARD -p tcp -m tcp --syn -s 10.0.1.10 --dport 6003 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 5122 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27005 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27010 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27011 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27012 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27015 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27025 -j ACCEPT -A FORWARD -p udp -m udp -s 10.0.1.10 --dport 27017 -j ACCEPT # allow outgoing DNS -A FORWARD -p udp -m udp --sport domain -j ACCEPT -i eth0 -A FORWARD -p udp -m udp --dport domain -j ACCEPT -o eth0 # allow established connections -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # deny the rest -A FORWARD -j droplog COMMIT # Completed on Fri Jun 15 14:40:51 2001 С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[4]: [Comm] IPtables 2003-02-27 9:36 ` Re[4]: " Половников Денис @ 2003-02-27 10:05 ` Dmitry Lebkov 2003-02-27 11:34 ` Re[6]: " Половников Денис 2003-02-27 10:25 ` Alexey I. Froloff 1 sibling, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-27 10:05 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 12:36:20 +0300 Половников Денис <fox@transbank.ru> wrote: > Здравствуйте, Dmitry. > > Вы писали 27 февраля 2003 г., 11:35:51: > > Ман то tcpdump я читал и делал все понему тишина видимо конекта нет... > > DL> А FORWARD-правила где? А роутинг на этой машине включен? > > DL> Покажи результат: > > DL> # cat cat /proc/sys/net/ipv4/ip_forward > Вывод следующий 1 > в этом фаиле стоит только 1 > DL> # service iptables save > > DL> # cat /etc/sysconfig/iptables Я так понимаю, что это уже после ручной правки. Сделай резервную копию и всетаки сделай service iptables save (just note: не из спортивного же интереса я просил результат save -- результаты ручной правки тяжко парсить глазами). И вот то, что получится - покажи. Хотя вот, только что заметил ... У тебя отсутствует правило: FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT Вот это оно самое и есть. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[6]: [Comm] IPtables 2003-02-27 10:05 ` Dmitry Lebkov @ 2003-02-27 11:34 ` Половников Денис 2003-02-27 12:17 ` Dmitry Lebkov 0 siblings, 1 reply; 18+ messages in thread From: Половников Денис @ 2003-02-27 11:34 UTC (permalink / raw) To: Dmitry Lebkov Здравствуйте, Dmitry. Вы писали 27 февраля 2003 г., 13:05:44: DL> Я так понимаю, что это уже после ручной правки. Сделай DL> резервную копию и всетаки сделай service iptables save DL> (just note: не из спортивного же интереса я просил результат DL> save -- результаты ручной правки тяжко парсить глазами). DL> И вот то, что получится - покажи. DL> Хотя вот, только что заметил ... У тебя отсутствует правило: DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT DL> Вот это оно самое и есть. Вот вывод команды service iptables save # Generated by iptables-save v1.2.4 on Thu Feb 27 14:13:05 2003 *filter :INPUT ACCEPT [15:1688] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :droplog - [0:0] [0:0] -A INPUT -i lo -j ACCEPT [23502:2893709] -A INPUT -i eth1 -j ACCEPT [3:111] -A INPUT -p icmp -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.30 -i eth0 -p tcp -m tcp --dport 60179 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.58 -i eth0 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.58 -i eth0 -p tcp -m tcp --dport 2847 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -d 217.69.198.30 -i eth0 -p tcp -m tcp --dport 24554 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [6:288] -A INPUT -i eth0 -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [27259:30913801] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT [439:190184] -A INPUT -d 217.69.198.30 -p udp -m udp --dport 55777 -j ACCEPT [0:0] -A INPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j ACCEPT [435:180037] -A INPUT -d 217.69.198.30 -p udp -m udp --dport 55778 -j ACCEPT [23:18512] -A INPUT -i eth0 -j droplog [2:112] -A FORWARD -p icmp -j ACCEPT [133:6556] -A FORWARD -o eth0 -p tcp -m tcp --dport 110 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 995 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [2:96] -A FORWARD -o eth0 -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 465 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [3:144] -A FORWARD -o eth0 -p tcp -m tcp --dport 5190 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -o eth0 -p tcp -m tcp --dport 55 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.4 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.6 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.6 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7777 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 7090:7110 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.7 -p tcp -m tcp --dport 2900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [390:47883] -A FORWARD -s 10.0.1.7 -p udp -m udp --dport 55777 -j ACCEPT [383:46829] -A FORWARD -s 10.0.1.8 -p udp -m udp --dport 55777 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.8 -p tcp -m tcp --dport 7001 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [40:1920] -A FORWARD -s 10.0.1.9 -p tcp -m tcp --dport 12801 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 4661 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 4662 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 4661 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 4662 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [12:420] -A FORWARD -d 10.0.1.124 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27530 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 4665 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 3306 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27005 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27010 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27011 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27012 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27015 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27025 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 27017 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p udp -m udp --dport 5122 -j ACCEPT [314:12560] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1716 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1717 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 1718 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 8777 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p udp -m udp --dport 27900 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21000 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21001 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21002 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p udp -m udp --dport 21003 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 20045 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 28900 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.115 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.124 -p tcp -m tcp --dport 6666 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p tcp -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.161 -p tcp -m tcp --dport 6666 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21000 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21001 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21002 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 21003 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 2847 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 2848 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 7002 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p tcp -m tcp --dport 6003 --tcp-flags SYN,RST,ACK SYN -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27005 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27010 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27011 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27012 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27015 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27025 -j ACCEPT [0:0] -A FORWARD -s 10.0.1.10 -p udp -m udp --dport 27017 -j ACCEPT [106:17111] -A FORWARD -i eth0 -p udp -m udp --sport 53 -j ACCEPT [150:9655] -A FORWARD -o eth0 -p udp -m udp --dport 53 -j ACCEPT [11401:2572468] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT [30:1668] -A FORWARD -j droplog [0:0] -A OUTPUT -o lo -j ACCEPT [31890:30458697] -A OUTPUT -o eth1 -j ACCEPT [3:111] -A OUTPUT -p icmp -j ACCEPT [1380:82800] -A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT [23353:1905478] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT [0:0] -A OUTPUT -d 217.69.198.30 -p udp -m udp --dport 55777 -j ACCEPT [0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j ACCEPT [0:0] -A OUTPUT -d 217.69.198.30 -p udp -m udp --dport 55778 -j ACCEPT [0:0] -A OUTPUT -o eth0 -j droplog [53:20180] -A droplog -j LOG [53:20180] -A droplog -j DROP COMMIT # Completed on Thu Feb 27 14:13:05 2003 # Generated by iptables-save v1.2.4 on Thu Feb 27 14:13:05 2003 *nat :PREROUTING ACCEPT [1424:99393] :POSTROUTING ACCEPT [1305:78250] :OUTPUT ACCEPT [1303:78180] [2:70] -A PREROUTING -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124 [297:17999] -A POSTROUTING -s 10.0.0.0/255.0.0.0 -o eth0 -j MASQUERADE [0:0] -A POSTROUTING -s 217.69.198.0/255.255.255.224 -o eth0 -j MASQUERADE [0:0] -A OUTPUT -d 217.69.198.58 -p udp -m udp --dport 5122 -j DNAT --to-destination 10.0.1.124 COMMIT # Completed on Thu Feb 27 14:13:05 2003 С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[6]: [Comm] IPtables 2003-02-27 11:34 ` Re[6]: " Половников Денис @ 2003-02-27 12:17 ` Dmitry Lebkov 2003-02-28 6:17 ` Re[8]: " Половников Денис 0 siblings, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-27 12:17 UTC (permalink / raw) To: community On Thu, 27 Feb 2003 14:34:19 +0300 Половников Денис <fox@transbank.ru> wrote: > Здравствуйте, Dmitry. > > Вы писали 27 февраля 2003 г., 13:05:44: > > > DL> Я так понимаю, что это уже после ручной правки. Сделай > DL> резервную копию и всетаки сделай service iptables save > DL> (just note: не из спортивного же интереса я просил результат > DL> save -- результаты ручной правки тяжко парсить глазами). > DL> И вот то, что получится - покажи. > > DL> Хотя вот, только что заметил ... У тебя отсутствует правило: > > DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT > > DL> Вот это оно самое и есть. > Вот вывод команды service iptables save Вроде все нормально. Добавь вышеуаказанное правило и удали из таблицы nat правило OUTPUT -- оно там лишнее. После этого все должно работать. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re[8]: [Comm] IPtables 2003-02-27 12:17 ` Dmitry Lebkov @ 2003-02-28 6:17 ` Половников Денис 2003-02-28 12:53 ` Dmitry Lebkov 0 siblings, 1 reply; 18+ messages in thread From: Половников Денис @ 2003-02-28 6:17 UTC (permalink / raw) To: Dmitry Lebkov Здравствуйте, Dmitry. Вы писали 27 февраля 2003 г., 15:17:05: DL> On Thu, 27 Feb 2003 14:34:19 +0300 DL> Половников Денис <fox@transbank.ru> wrote: >> Здравствуйте, Dmitry. >> >> Вы писали 27 февраля 2003 г., 13:05:44: >> >> >> DL> Я так понимаю, что это уже после ручной правки. Сделай >> DL> резервную копию и всетаки сделай service iptables save >> DL> (just note: не из спортивного же интереса я просил результат >> DL> save -- результаты ручной правки тяжко парсить глазами). >> DL> И вот то, что получится - покажи. >> >> DL> Хотя вот, только что заметил ... У тебя отсутствует правило: >> >> DL> FORWARD -d 10.0.1.124 --dport 5122 -j ACCEPT >> >> DL> Вот это оно самое и есть. >> Вот вывод команды service iptables save DL> Вроде все нормально. Добавь вышеуаказанное правило и удали из DL> таблицы nat правило OUTPUT -- оно там лишнее. После этого все DL> должно работать. Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил всеровно немогу приконектится к машине. забиваю в клиенте реальный ip 217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-( Can't connect to remote server. Socket error = #10061. С уважением, Половников Денис ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: Re[8]: [Comm] IPtables 2003-02-28 6:17 ` Re[8]: " Половников Денис @ 2003-02-28 12:53 ` Dmitry Lebkov 2003-02-28 13:31 ` Владимир 0 siblings, 1 reply; 18+ messages in thread From: Dmitry Lebkov @ 2003-02-28 12:53 UTC (permalink / raw) To: community On Fri, 28 Feb 2003 09:17:12 +0300 Половников Денис <fox@transbank.ru> wrote: [skip] > > Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил > всеровно немогу приконектится к машине. забиваю в клиенте реальный ip > 217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-( > Can't connect to remote server. Socket error = #10061. Для начала, посмотри с помощью tcpdump проходят ли пакеты на 10.0.1.124 и как возвращаются ответы при попытке установки соединения на 217.69.198.58:5122. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-28 12:53 ` Dmitry Lebkov @ 2003-02-28 13:31 ` Владимир 0 siblings, 0 replies; 18+ messages in thread From: Владимир @ 2003-02-28 13:31 UTC (permalink / raw) To: community Dmitry Lebkov пишет: >On Fri, 28 Feb 2003 09:17:12 +0300 >Половников Денис <fox@transbank.ru> wrote: > >[skip] > > > >>Продолжаем занимательную беседу OUTPUT я убрал а FORWARD доюавил >>всеровно немогу приконектится к машине. забиваю в клиенте реальный ip >>217.69.198.58:5122 ипытаюсь приконектится а в ответ тишина :-( >>Can't connect to remote server. Socket error = #10061. >> >> > >Для начала, посмотри с помощью tcpdump проходят ли пакеты на 10.0.1.124 и как >возвращаются ответы при попытке установки соединения на 217.69.198.58:5122. > > > > Я в этой рассылке _именно_по_этому_вопросу уже несколько раз писал. Отражение пакетов обратно во внутренюю сеть предполагает использование двойного NAT. Хотя бы один раз прочтите HOWTO по NAT, там это "разжевано" до мелочей. -- Best regards Vladimir ^ permalink raw reply [flat|nested] 18+ messages in thread
* Re: [Comm] IPtables 2003-02-27 9:36 ` Re[4]: " Половников Денис 2003-02-27 10:05 ` Dmitry Lebkov @ 2003-02-27 10:25 ` Alexey I. Froloff 1 sibling, 0 replies; 18+ messages in thread From: Alexey I. Froloff @ 2003-02-27 10:25 UTC (permalink / raw) To: Dmitry Lebkov [-- Attachment #1: Type: text/plain, Size: 542 bytes --] On Thu, Feb 27, 2003 at 12:36:20PM +0300, Половников Денис wrote: > DL> А FORWARD-правила где? А роутинг на этой машине включен? > [0:0] -A PREROUTING -p udp -m udp -d 217.69.198.58 --dport 5122 -j DNAT --to-destination 10.0.1.124 [/dev/null] А действительно... iptables -A FORWARD -p udp -d 10.0.1.124 --dport 5122 -j ACCEPT -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------ Inform-Mobil, Ltd. System Adminitrator http://www.inform-mobil.ru/ Tel: +7(095)504-4709, Fax: +7(095)513-1006 [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 18+ messages in thread
end of thread, other threads:[~2003-02-28 13:31 UTC | newest] Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-02-26 12:31 [Comm] IPtables Половников Денис 2003-02-26 12:46 ` Alexey I. Froloff 2003-02-27 6:12 ` Re[2]: " Половников Денис 2003-02-27 6:55 ` Alexey I. Froloff 2003-02-27 8:10 ` Re[2]: " Половников Денис 2003-02-27 8:24 ` Maxim.Savrilov 2003-02-27 9:02 ` Vitaly Ostanin 2003-02-27 9:04 ` Dmitry Lebkov 2003-02-27 10:50 ` Re[2]: [Comm] [JT] IPtables Maxim.Savrilov 2003-02-27 8:35 ` Re[2]: [Comm] IPtables Dmitry Lebkov 2003-02-27 9:36 ` Re[4]: " Половников Денис 2003-02-27 10:05 ` Dmitry Lebkov 2003-02-27 11:34 ` Re[6]: " Половников Денис 2003-02-27 12:17 ` Dmitry Lebkov 2003-02-28 6:17 ` Re[8]: " Половников Денис 2003-02-28 12:53 ` Dmitry Lebkov 2003-02-28 13:31 ` Владимир 2003-02-27 10:25 ` Alexey I. Froloff
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git