Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-10-28 03:51:36
fredi - Użytkownik
- fredi
- Użytkownik
- Zarejestrowany: 2007-06-03
[iptables] port z jednego interfejsu na drugi
Witam!
Mam pewien problem z iptables, szukałem próbowalem wszystkiego nie mam pojęcia czemu nie chodzi.
Jest sobie serwer z dwoma kartami eth0-IPwew, eth1-IPzew. Na zewnetrznym interfejsie uruchomione sa serwer ssh, www, cs. Chciałbym zrobić tak, zeby ludzie z sieci wewnetrznej mogli łączyć sie do tych usług z wewnątrz, a nie jak jest dotychczas przez IPzew.
Chce za pomocą iptables przekieriowac pare portów z eth0 na eth1. Próbowałem PREROUTING jak i FORWARDEM nie wiem czemu nei chce mi działać. Załanczam kawałek mojego firwalla, mam nadzieje ze wymysli ktoś co jest nei tak :|
IP to IPwew
IP2 to IPzew
Kod:
#serwery tcp
for x in ${SERTCP}
do
iptables -A INPUT -p tcp -i eth1 --dport ${x} -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp -d $IP2 --dport ${x} -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d $IP --dport ${x} -j DNAT --to $IP2:${x}
iptables -t nat -I POSTROUTING -p tcp -o eth0 -s $IP -j SNAT --to $IP2
done
dzieki za pomoc :)
Life is short, play more q3 ;)
Offline
#2 2007-10-28 10:36:47
szewczyk - 
Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: [iptables] port z jednego interfejsu na drugi
a czemu nie zrobisz tak ?
Kod:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT lub iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
lub zmien port usługi ssh ,
co do www ,niech łaczą sie po IP zew
Offline
#3 2007-10-28 13:37:52
fredi - Użytkownik
- fredi
- Użytkownik
- Zarejestrowany: 2007-06-03
Re: [iptables] port z jednego interfejsu na drugi
Serwer CS'a postawiony jest na zewnetrznym IP i to nie ja go konfiguruje, udostepniam tylko shella. Dlatego zależy mi zebym to sobie zrobić bez wołania goscia od CSa i chce to przekierować w taki wlasnie sposób.
Moze ktoś pomoże :)
Life is short, play more q3 ;)
Offline
#4 2007-10-28 14:06:09
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: [iptables] port z jednego interfejsu na drugi
no to tak :
Kod:
iptables -t filter -A FORWARD-i eth1 -s podsiec -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -s podsiec -j MASQUERADE
:) ipiki z wew sieci beda sie łaczyc z IP zew przez NAT
Offline
#5 2007-10-28 15:24:43
fredi - Użytkownik
- fredi
- Użytkownik
- Zarejestrowany: 2007-06-03
Re: [iptables] port z jednego interfejsu na drugi
nie działa :/
Kod:
Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 state NEW ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:27030 state NEW ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:27015 state NEW ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:27005 state NEW ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1200 state NEW Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 192.168.64.0/20 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 192.168.64.0/20 0.0.0.0/0 tcp dpt:22 ACCEPT tcp -- 192.168.64.0/20 0.0.0.0/0 tcp dpt:80 ACCEPT tcp -- 192.168.64.0/20 0.0.0.0/0 tcp dpt:27030 Chain OUTPUT (policy ACCEPT) target prot opt source destination
a tak wygladają reguki ustawiłem przez SNAT, a nie przez maskarade...
i ustawilem na konkretne porty bo nei chce całego ruchu przerzucać.
Kod:
iptables -t filter -A FORWARD -p tcp -i eth1 -s 192.168.64.0/20 --dport ${x} -j ACCEPT
iptables -t nat -I POSTROUTING -p tcp -o eth0 -s 192.168.64.0/20 -j SNAT --to $IP
Life is short, play more q3 ;)
Offline
#6 2007-10-28 16:03:41
bercik - Moderator Mamut
Re: [iptables] port z jednego interfejsu na drugi
co do www i ssh sprawa jest bardzo prosta - odpal te uslugi tak aby nasluchiwaly na wszystkich interfejsach ... nie trzeba robic zadnych dziwacznych ustawien na iptables ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#7 2007-10-28 17:32:27
fredi - Użytkownik
- fredi
- Użytkownik
- Zarejestrowany: 2007-06-03
Re: [iptables] port z jednego interfejsu na drugi
chodzi o to ze głównie chodzi mi o CS'a, bo są strasznie wysokie pingi i chcialem je troceh obiniżyć, wlasnie przez to zeby ludzi z wewnatrz mogli grac przez lana a nie wychodzili przez brame i wracalo spowrotem do wewnatrz...
Life is short, play more q3 ;)
Offline
#8 2007-11-02 11:26:32
fredi - Użytkownik
- fredi
- Użytkownik
- Zarejestrowany: 2007-06-03
Re: [iptables] port z jednego interfejsu na drugi
Nie ma nikt pomysłu czemu nie działa? Bo ja już sie z tym męcze i brakuje mi pomysłów na to :(
Life is short, play more q3 ;)
Offline
#9 2007-11-04 11:02:17
bobycob - Członek z Ramienia
- bobycob
- Członek z Ramienia
- Skąd: Wrocław
- Zarejestrowany: 2007-08-15
Re: [iptables] port z jednego interfejsu na drugi
Kod:
iptables -t filter -A FORWARD -p tcp -i eth1 -s 192.168.64.0/20 --dport ${x} -j ACCEPT
iptables -t nat -I POSTROUTING -p tcp -o eth0 -s 192.168.64.0/20 -j SNAT --to $IP
Sprawa jest prosta, przed snatem wstaw
Kod:
iptables -t nat -I POSTROUTING -p tcp -o eth0 -s 192.168.64.0/20 -d adres-serwera -j ACCEPT
Offline