From: Maxim.Savrilov@socenter.ru
To: community@altlinux.ru
Subject: Re: [Comm] HELP! Проброс портов через файрволл с политикой DROP
Date: Fri, 3 Sep 2004 13:49:39 +0700
Message-ID: <20040903134939.4065b26d.Maxim.Savrilov@socenter.ru> (raw)
In-Reply-To: <41380C73.2060905@ricom.ru>
[-- Attachment #1: Type: text/plain, Size: 13643 bytes --]
On Fri, 03 Sep 2004 10:17:23 +0400
Alexey Morsov <samurai@ricom.ru> wrote:
>
> Maxim.Savrilov@socenter.ru wrote:
> > Здравствуйте!
> >
> > Есть файрволл, на котором на всех цепочках по-умолчанию политика DROP
> > Если мне нужно было какой-то сервис открыть, то я дописывал просто
> > соответствующие правила и все работало.
> >
> > Но понадобилось пробросить порты с внешнего интерфейса во внутреннюю сетку.
> Я правильно понял - надо чтобы кто-то из интернета (внешней сети)
> мог подключаться (т.е. инициировать соединение) к некой вашей
> машине в локальной сетке (т.е. в фейковом пространстве адресов)?
Да, все так и есть.
> > $CLIENT_IP - ip клиента из внешней сети
> > $SERVER_IP - ip сервера из внутренней сети
> По коду iptables - вот вы в FORWARD только server задействовали -
> а как же клиент?
> И вообще- можно весь iptables в студию?
А так понимаю, что если я не указываю конкретный ip, то там ставится 0.0.0.0/0, т.е. все адреса
вот тут мой iptables. Все правила для проброса добавляю пока вручную в шелле,
поэтому их тут нет
Правил дофига, брал из какого-то скрипта, пробегавшего в этой же рассылке.
# Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
*nat
:PREROUTING ACCEPT [2001848:218448129]
:POSTROUTING ACCEPT [1181956:79241549]
:OUTPUT ACCEPT [1209217:78494570]
[19442:934620] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i $INT_IF -p tcp -m tcp --dport 80 -j DROP
[31:1488] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i ppp1 -p tcp -m tcp --dport 80 -j DROP
[8539:409856] -A PREROUTING -i $INT_IF -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 8081
COMMIT
# Completed on Thu Sep 2 15:28:28 2004
# Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
*mangle
:PREROUTING ACCEPT [180250253:104012957492]
:INPUT ACCEPT [180415134:104137913486]
:FORWARD ACCEPT [2995441:1932619446]
:OUTPUT ACCEPT [182035824:72491054391]
:POSTROUTING ACCEPT [188661720:76333214483]
COMMIT
# Completed on Thu Sep 2 15:28:28 2004
# Generated by iptables-save v1.2.7a on Thu Sep 2 15:28:28 2004
*filter
:INPUT DROP [8300:251386]
:FORWARD DROP [54:10868]
:OUTPUT DROP [3:368]
[12422273:3856342276] -A INPUT -i lo -j ACCEPT
[154335439:91451482717] -A INPUT -s 192.168.0.0/255.255.255.0 -i $INT_IF -j ACCEPT
[201144:20771089] -A INPUT -s 192.168.0.0/255.255.255.0 -i ppp1 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
[4:192] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 3306 -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[588:31288] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 8080 -j DROP
[1022:48296] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 80 -j DROP
[0:0] -A INPUT -s $EXT_IP -j DROP
[0:0] -A INPUT -s 10.0.0.0/255.0.0.0 -j DROP
[0:0] -A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
[0:0] -A INPUT -s 255.255.255.255 -j DROP
[0:0] -A INPUT -d 0.0.0.0 -j DROP
[0:0] -A INPUT -s 224.0.0.0/240.0.0.0 -j DROP
[0:0] -A INPUT -s 240.0.0.0/248.0.0.0 -j DROP
[9550:3444514] -A INPUT -s 0.0.0.0/255.0.0.0 -j DROP
[0:0] -A INPUT -s 127.0.0.0/255.0.0.0 -j DROP
[0:0] -A INPUT -s 169.254.0.0/255.255.0.0 -j DROP
[0:0] -A INPUT -s 192.0.2.0/255.255.255.0 -j DROP
[0:0] -A INPUT -s 224.0.0.0/224.0.0.0 -j DROP
[1381:1111760] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 9000 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -s 69.25.23.163 -d $EXT_IP -i $EXT_IF -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[57:2166] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j DROP
[288120:57522455] -A INPUT -s 217.70.120.18 -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
[18:2284] -A INPUT -s 217.70.120.18 -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[78681:14730760] -A INPUT -s 217.71.128.65 -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -s 217.71.128.65 -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[5955144:5019625486] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 80 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[927875:105585542] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 443 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[12857:8072270] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 8080 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 119 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[824424:367013038] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[1202619:733002295] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport 25 -j ACCEPT
[341059:15236375] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[187382:13533811] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport 995 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 995 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4147:354180] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 513:65535 --dport 22 -j ACCEPT
[3162:306903] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 22 --dport 1022:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[45:2838] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 23 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[879:51980] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
[8373:336598] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 123 --dport 123 -j ACCEPT
[12514:951064] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 123 --dport 123 -j ACCEPT
[25:4315] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 43 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 79 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4779:345420] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4680:6677415] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 6667 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[35268:1626746] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[1:40] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[329145:405298696] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 873 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 2000:4000 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 4000 --dport 1024:65535 -j ACCEPT
[16:1344] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 0 -j ACCEPT
[4619:395281] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 3 -j ACCEPT
[115:6440] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 4 -j ACCEPT
[824:59656] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 12 -j ACCEPT
[36538:1760934] -A INPUT -i $EXT_IF -p tcp -j DROP
[460:45404] -A INPUT -i $EXT_IF -p udp -m udp --dport 0:1023 -j DROP
[287:145873] -A INPUT -i $EXT_IF -p udp -m udp --dport 1024:65535 -j DROP
[0:0] -A INPUT -i $EXT_IF -p icmp -m icmp --icmp-type 5 -j DROP
[0:0] -A INPUT -i $EXT_IF -p icmp -m icmp --icmp-type 13/255 -j DROP
[0:0] -A INPUT -s 192.168.0.245 -d 192.168.0.1 -p tcp -m tcp --dport 8080 -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $INT_IF -j DROP
[0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i ppp1 -j DROP
[2673053:1796453766] -A FORWARD -s 192.168.0.0/255.255.255.0 -i $INT_IF -m state --state NEW,ESTABLISHED -j ACCEPT
[211835:29932313] -A FORWARD -s 192.168.0.0/255.255.255.0 -i ppp1 -m state --state NEW,ESTABLISHED -j ACCEPT
[73857:98151633] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $EXT_IF -m state --state RELATED,ESTABLISHED -j ACCEPT
[33:1716] -A FORWARD -i $EXT_IF -m state --state INVALID,NEW -j REJECT --reject-with icmp-port-unreachable
[12422273:3856342276] -A OUTPUT -o lo -j ACCEPT
[158957809:66817982745] -A OUTPUT -d 192.168.0.0/255.255.255.0 -o $INT_IF -j ACCEPT
[211243:157350959] -A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp1 -j ACCEPT
[694:26372] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
[292500:23517391] -A OUTPUT -s $EXT_IP -d 217.70.120.18 -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
[21:993] -A OUTPUT -s $EXT_IP -d 217.70.120.18 -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
[123795:9505270] -A OUTPUT -s $EXT_IP -d 217.71.128.65 -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -d 217.71.128.65 -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
[6051166:687660100] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
[967822:63867440] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
[16090:1881119] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 8080 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 119 -j ACCEPT
[856329:37397021] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 143 -j ACCEPT
[1105920:58145772] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 25 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[471210:635555160] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
[185748:113083297] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 995 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 995 -j ACCEPT
[4433:645801] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 22 --dport 513:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[4128:247876] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1022:65535 --dport 22 -j ACCEPT
[48:2017] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 23 -j ACCEPT
[879:35160] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 113 --dport 1024:65535 -j ACCEPT
[8728:452005] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 123 --dport 123 -j ACCEPT
[12879:978804] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 123 --dport 123 -j ACCEPT
[33:1452] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 43 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 79 -j ACCEPT
[5349:262840] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
[2869:115252] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 6667 -j ACCEPT
[31726:1854942] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
[228933:19144465] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[7865:408980] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 873 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 2000:4000 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 4000 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 4 -j ACCEPT
[34:2856] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 12 -j ACCEPT
[65135:4634113] -A OUTPUT -o $EXT_IF -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Sep 2 15:28:28 2004
>
--
>как там у вынь с fork()-ом то?
отлично, ставишь cygwin и отлично х!@#$%ь форки! (LOR)
[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]
next prev parent reply other threads:[~2004-09-03 6:49 UTC|newest]
Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top
2004-09-03 2:14 Maxim.Savrilov
2004-09-03 6:17 ` Alexey Morsov
2004-09-03 6:49 ` Maxim.Savrilov [this message]
2004-09-03 7:25 ` Alexey Morsov
2004-09-03 7:32 ` Ivan Fedorov
2004-09-03 13:22 ` Dmitry Lebkov
2004-09-07 2:27 ` Maxim.Savrilov
2004-09-07 7:06 ` Serge Polkovnikov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20040903134939.4065b26d.Maxim.Savrilov@socenter.ru \
--to=maxim.savrilov@socenter.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git