- Не могу создать DMZ ,
 PavelR, 19:33 , 18-Мрт-10 (1) - Не могу создать DMZ , PavelR, 19:35 , 18-Мрт-10 (2)
- Не могу создать DMZ , Thorn, 10:51 , 19-Мрт-10 (3)
>>Если слушать tcpdump на интерфейсе eth0 - тишина.
>
>Так и должно быть.
>
>>Голову сломал, не могу найти ошибку, буду благодарен за любую помощь!
>
>Всего лишь Ваша невнимательность. Скорее всего невнимательность, вы могли бы помочь мне и указать на место, где искать ошибку?
- Не могу создать DMZ , reader, 11:03 , 19-Мрт-10 (4)
- Не могу создать DMZ , Thorn, 11:30 , 19-Мрт-10 (5)
>для ftp только 21 порта мало, читайте как работает ftp.
>
>что бы говорить о корректности правил iptables нужно видеть их все iptables-save.
>
>
>так же tcpdump на интерфейсе eth1, отправляются ли пакеты на 192.168.10.106:21 Если в строке iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 21 -j DNAT --to-destination 192.168.10.106:21 вместо 192.168.10.106 написать 10.108.114.205 (IP внешнего интерфейса сервера) то по 21 порту можно подключится, но на FTP самого сервера соответственно. Вот iptables-save:
# Generated by iptables-save v1.4.4 on Fri Mar 19 11:29:04 2010
*nat
:PREROUTING ACCEPT [1696:114455]
:POSTROUTING ACCEPT [186:15016]
:OUTPUT ACCEPT [287:22617]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.10.106:21
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 19 11:29:04 2010
# Generated by iptables-save v1.4.4 on Fri Mar 19 11:29:04 2010
*mangle
:PREROUTING ACCEPT [513:45651]
:INPUT ACCEPT [334:30859]
:FORWARD ACCEPT [156:13490]
:OUTPUT ACCEPT [241:32962]
:POSTROUTING ACCEPT [357:45745]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Mar 19 11:29:04 2010
# Generated by iptables-save v1.4.4 on Fri Mar 19 11:29:04 2010
*filter
:INPUT ACCEPT [265:24667]
:FORWARD DROP [1:84]
:OUTPUT ACCEPT [193:21482]
:icmp_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -d 82.199.106.93/32 -p icmp -j icmp_packets
-A INPUT -d 82.199.106.93/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d 82.199.106.93/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -d 82.199.106.93/32 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -d 82.199.106.93/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -d 82.199.106.93/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 82.199.106.93/32 -j DROP
-A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/16 -j ACCEPT
-A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -d 192.168.10.106/32 -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -j QUEUE
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
COMMIT
# Completed on Fri Mar 19 11:29:04 2010
- Не могу создать DMZ , reader, 11:53 , 19-Мрт-10 (6)
- Не могу создать DMZ , Thorn, 12:01 , 19-Мрт-10 (7)
>[оверквотинг удален]
>>-A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/16 -j ACCEPT
>>-A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/24 -j ACCEPT
>>-A FORWARD -d 192.168.10.106/32 -i ppp0 -p tcp -m tcp --dport 21
>>-j ACCEPT
>>-A FORWARD -j QUEUE
>
>у вас если запрос приходит не от 192.168.0.0/24, ответы от 192.168.10.106 запрещены
>
>
>tcpdump на интерфейсе eth1 смотрели? tcpdump -i eth1 tcp port 21 показывает кучу пакетов. 79 packets captured
79 packets received by filter
- Не могу создать DMZ , reader, 12:38 , 19-Мрт-10 (8)
- Не могу создать DMZ , Thorn, 12:49 , 19-Мрт-10 (9)
>[оверквотинг удален]
>>>
>>>
>>>tcpdump на интерфейсе eth1 смотрели?
>>
>>tcpdump -i eth1 tcp port 21 показывает кучу пакетов.
>>
>>79 packets captured
>>79 packets received by filter
>
>при этом ответные от 192.168.10.106 есть? tcpdump -i eth1 tcp port 21 : 12:48:04.910901 IP 192.168.10.106.ftp > noname-vpn3.trancom.ru.51789: Flags [S.], seq 2299273655, ack 2079079591, win 5792, options [mss 1460,sackOK,TS val 69842666 ecr 9547175,nop,wscale 2], length 0 12:48:05.110904 IP 192.168.10.106.ftp > noname-vpn3.trancom.ru.51791: Flags [S.], seq 2298601304, ack 2077089798, win 5792, options [mss 1460,sackOK,TS val 69842686 ecr 9547226,nop,wscale 2], length 0 tcpdump -i ppp0 tcp port 21 : 12:49:03.546490 IP noname-vpn3.trancom.ru.51823 > 82.199.106.93.iskratelecom.ru.ftp: Flags [S], seq 3016542224, win 5840, options [mss 1420,sackOK,TS val 9555261 ecr 0,nop,wscale 4], length 0 12:49:03.929008 IP noname-vpn3.trancom.ru.51824 > 82.199.106.93.iskratelecom.ru.ftp: Flags [S], seq 3014892140, win 5840, options [mss 1420,sackOK,TS val 9555301 ecr 0,nop,wscale 4], length 0
- Не могу создать DMZ , reader, 13:16 , 19-Мрт-10 (10)
- Не могу создать DMZ , Thorn, 13:24 , 19-Мрт-10 (11)
>[оверквотинг удален]
>это разрешит все, что идет с 192.168.10.106
>
>>
>>12:48:05.110904 IP 192.168.10.106.ftp > noname-vpn3.trancom.ru.51791: Flags [S.], seq 2298601304, ack 2077089798, win 5792, options [mss 1460,sackOK,TS val 69842686 ecr 9547226,nop,wscale 2], length 0
>>
>>tcpdump -i ppp0 tcp port 21 :
>>
>>12:49:03.546490 IP noname-vpn3.trancom.ru.51823 > 82.199.106.93.iskratelecom.ru.ftp: Flags [S], seq 3016542224, win 5840, options [mss 1420,sackOK,TS val 9555261 ecr 0,nop,wscale 4], length 0
>>
>>12:49:03.929008 IP noname-vpn3.trancom.ru.51824 > 82.199.106.93.iskratelecom.ru.ftp: Flags [S], seq 3014892140, win 5840, options [mss 1420,sackOK,TS val 9555301 ecr 0,nop,wscale 4], length 0Спасибо за помощь! Это действительно помогло! Я не очень хорошо еще знаю iptables, буду учить мат часть :)
|
Версия для распечатки
Не могу создать DMZ , 
