The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Проброска порта через iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

"Проброска порта через iptables"  +/
Сообщение от bdfyemail (ok), 22-Авг-18, 22:21 
Схема такая:

WAN(eth0) + ppp server (ipsec+xl2tp) ( 192.168.42.1) -> ppp client ( 192.168.42.10)

На 192.168.42.10 висит открытый порт (5554)  нужно сделать так чтобы он был доступен на внешнем ip. Но почему-то это не работает. В чем ошибка ?


*filter
:INPUT ACCEPT [207:14108]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1268:287059]
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.42.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [185:11544]
:INPUT ACCEPT [82:4649]
:OUTPUT ACCEPT [4:290]
:POSTROUTING ACCEPT [6:406]
-A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.42.10:5554
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
COMMIT

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проброска порта через iptables"  +/
Сообщение от Andrey Mitrofanov (?), 23-Авг-18, 10:03 

Судя по
> :FORWARD ACCEPT [0:0]

, это не он.  Значит,

> *nat
> :PREROUTING ACCEPT [185:11544]
> -A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT
> --to-destination 192.168.42.10:5554

ppp client ( 192.168.42.10) должен "знать" входящие внешние, c WAN, ip и отвечать на них: на клиенте в файерволе открыть для приходящих [белых, видимо] ip и default gateway поставить - на роуткр (ppp server).

Либо, если без роутинга и пр., можно извратиться и маскарадить внутрь то, что форвардится, чтобы для .42.10 все эти соединения выглядели пришедшими с .42.1.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проброска порта через iptables"  +/
Сообщение от Andrey Mitrofanov (?), 23-Авг-18, 10:04 
> Судя по
>> :FORWARD ACCEPT [0:0]
> , это не он.  Значит,
>> *nat
>> :PREROUTING ACCEPT [185:11544]

А, ну и ip_forward или как его там включить на роутре, а то нули в

#>:FORWARD ACCEPT [0:0]

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проброска порта через iptables"  +/
Сообщение от админ локалхоста (ok), 28-Авг-18, 11:50 
> А, ну и ip_forward или как его там включить на роутре, а
> то нули в
> #>:FORWARD ACCEPT [0:0]

там нули, потому что последнее правило в FORWARD явное -j DROP, откуда в таком раскладе счетчики на default policy возьмутся-то?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проброска порта через iptables"  +/
Сообщение от Andrey Mitrofanov (?), 28-Авг-18, 12:30 
>> А, ну и ip_forward
>> #>:FORWARD ACCEPT [0:0]
> там нули, потому что последнее правило в FORWARD явное -j DROP, откуда
> в таком раскладе счетчики на default policy возьмутся-то?

Ну... да, ладно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor