Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2005-10-04 12:08:42
Ar7i - Nowy użytkownik
- Ar7i
- Nowy użytkownik
- Skąd: K-lin
- Zarejestrowany: 2005-10-04
Jak zrobic dobre przekierowywanie portów ?
Witam. Moj problem jest pewnie wam juz znan wiec nie wsciekajcie sie,ze pisze o takich rzeczach. Otorz moj problem polega na tym,ze mam router na debianie, ustawionego na nim firewalla i nat. Wszystko znalazlem w internecie kilka lat temu i do tej pory chodzi to bardzo dobrze. Internet mam poprzez Neostrade 640 Mbit/s i nie potrafie sobie poradzic z ustawieniem przekierowania portow na inne komputery. Bylbym bardzo wdzieczny gdybyscie dali mi przyklad jak to zrobic. Abyscie mieli wszystkie informacje dotyczace ustawienia mojego serwera, zamieszczam wam cale ustawienie:
====================================================
/etc/ppp/ppp_on_boot.dsl
ifconfig eth1 mtu 1492
#!/bin/sh
PATH="/sbin:/usr/local/sbin:$PATH"
iptables=/sbin/iptables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
iptables -F
iptables -F -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -F -t mangle
iptables -X -t mangle
#iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -i lo -j ACCEPT
#Wpuszczamy polaczenia juz nawiazane
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED
#iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#BLOKUJE POKAZYWANIE SIE PINGU
iptables -A INPUT -p icmp -s 192.168.0.2 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.3 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.4 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.5 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.6 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.7 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.8 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.9 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.10 -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.0.11 -j ACCEPT
#iptables -A INPUT -p icmp -j DROP
#OPEN FTP ALL
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#OPEN FTP DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 21 -j ACCEPT
#OPEN SSH DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 22 -j ACCEPT
#DOSTEP DO OTOCZENIA SIECIOWEGO
iptables -A INPUT -p tcp -s 192.168.0.1 --dport 137:139 -j ACCEPT
#DOSTEP DO WWW DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 80 -j ACCEPT
#WPUSZCZANIE NA WWW Z DOWOLNEGO IP
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#DOSTEP DO WEBADMINA NA PORCIE 81 DLA IP
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 81 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 81 -j ACCEPT
#DOSTEP DO PROXY
iptables -A INPUT -p tcp -s 192.168.0.2 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.3 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.4 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.5 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.6 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.7 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.8 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.9 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.10 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.11 --dport 8080 -j ACCEPT
#DNS
iptables -A INPUT -p tcp -s 192.168.0.1 --dport 53 -j ACCEPT
#logowanie pozostalych, niepasujacych pakietow na wejsciu
#iptables -A INPUT -j LOG -m limit --limit 10/hour
#MASKOWANIE DOMOWEGO SPRZETU
echo 1 > /proc/sys/net/ipv4/ip_forward
#forwardowanie pakietow z polaczeniem juz nawiazanym
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED
#forwardowanie w domu do inetu wszystkiego, eth1->interfejs katrty podlaczonej do sieci lokalnej
iptables -A FORWARD -i eth1 -j ACCEPT
#logowanie pozostalych, niepasujacych forwardowanych pakietow
#iptables -A FORWARD -j LOG -m limit --limit 10/hour
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.3 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.5 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.6 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.7 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.8 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.9 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.10 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.11 -o ppp0 -j MASQUERADE
====================================================
Wiec z tego ustawienia chcialbym odblokowac porty aby np: eMule mi dzialalo normalnie. Wiec trzeba odblokowac i przekierowac porty o nr: 4662 na TCP przychodzacy i wychodzacy, 4672 na UDP przychodzacy i wychodzacy, 4661 na TCP wychodzacy, 4665 na UDP wychodzacy, 4711 na TCP przychodzacy (wziolem to ze strony http://www.emule-project.net/home/perl/help.cgi?l=2 … ;topic_id=712).
IP komputera na ktorym chcialbym pobierac z eMule to 192.168.0.2 a IP serwera w sieci to 192.168.0.1. Jesli mozecie to napiszcie mi co zmodyfikowac i co gdzie wpisac aby to bylo automatyczne ladowane z caly ustawieniem i nie kolidowalo.
Dzieki z gory i czekam na wasze odpowiedz.
Pozdrawiam....
Offline
#2 2005-10-04 18:52:46
Graffi - 
Użytkownik
Re: Jak zrobic dobre przekierowywanie portów ?
oto moje przekierowania portów jakie mam na swoim routerze ;)
Kod:
# aMule - moj /sbin/iptables -t nat -A PREROUTING -p tcp --dport 4712 -j DNAT --to-destination 192.168.0.16:4712 /sbin/iptables -t nat -A PREROUTING -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.16:4662 /sbin/iptables -t nat -A PREROUTING -p tcp --dport 4672 -j DNAT --to-destination 192.168.0.16:4672 #PSI :) /sbin/iptables -t nat -A PREROUTING -p tcp --dport 8011 -j DNAT --to-destination 192.168.0.16:8011 #KADU /sbin/iptables -t nat -A PREROUTING -p tcp --dport 2550 -j DNAT --to-destination 192.168.0.16:1550 #Skype /sbin/iptables -t nat -A PREROUTING -p tcp --dport 58260 -j DNAT --to-destination 192.168.0.16:58260
mam nadzieje ze zrozumiałe,
działa to tak, że wiadomość wchodząca na odpowiednim porcie jest "tunelowana" na IP 192.168.0.16 na odpowiednio podany po dwókropku port
a w sumie... może ktoś wie czy można (myślę że tak) "fałszować" w pakietach wychodzących z routera na świat wartość ttl (jak nie pomyliłem pojęć) i ustawiać na 0 (chodzi o to żeby nie było widac udostępniania połączenia internetowego do sieci lokalnej)
Offline
#3 2005-10-04 19:18:10
Ar7i - Nowy użytkownik
- Ar7i
- Nowy użytkownik
- Skąd: K-lin
- Zarejestrowany: 2005-10-04
Re: Jak zrobic dobre przekierowywanie portów ?
Hmm pobawie sie u siebie zaraz tymi regolkami :)
Co do TTL (Time To Life) to nie wiem czy sie da poniewaz jak dobrze mysle/pamietam jest to ustawiane przez komputer nadajacy a nie otrzymujacy. Moze dalo by sie wylapac sygnal i zmienic na mniejsza wartosc ale czy ta sztuczka jest tak prosta to chyba mi sie nie wydaje :)
Pozdro :)
Offline
#4 2005-10-04 20:02:12
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Jak zrobic dobre przekierowywanie portów ?
może ktoś wie czy można (myślę że tak) "fałszować" w pakietach wychodzących z routera na świat wartość ttl (jak nie pomyliłem pojęć) i ustawiać na 0 (chodzi o to żeby nie było widac udostępniania połączenia internetowego do sieci lokalnej)
Coś Ci si echyba popyrtało.Jak ustawisz ) to pakiet nie doleci nigdzie:)
Chyba chciales ustawic aby wszytki pakiety mialy ta sma wartosc ttl.
Musisz niestety zpaczować jądro paczem patch-o-matic a po zpaczowaniu tu masz przykladowa regulke zeby wszytkie pakiety mialy ttl=64
Kod:
iptables -t mangle -A OUTPUT -j TTL --ttl-set 64
bez zpaczowania nie bedziesz mial celu -j TTL
Pozdrawiam
Offline
#5 2005-10-04 21:20:56
Ar7i - Nowy użytkownik
- Ar7i
- Nowy użytkownik
- Skąd: K-lin
- Zarejestrowany: 2005-10-04
Re: Jak zrobic dobre przekierowywanie portów ?
Jak narazie to mi nic nie dalo, nadal prawie wogole nie sciaga :( qzwa no co moze byc nie tak, ze nie dziala przekierowywanie :(
Offline
#6 2005-10-04 21:36:56
Graffi - Użytkownik
Re: Jak zrobic dobre przekierowywanie portów ?
korbol dzięki ;)
pobawie się i powiem kiedyś co wywojowalem :)
a co do tego "niedziałania" tunelowania portów to słuchaj, jest prosta metoda na sprawdzenie ;)
ustaw sobie na kopmie (na tym na który tunelujesz) jakiś program który przyjmuje połączenia np. jak ten "nie router" ma linuxa to wystarczy ze na routerze przetunelujesz np. port 1022 na 22 na tym swoim kompie i potem z zewnątrz zaloguj sie na SSH na swoj router na port 1022 - powinieneś się w tym momencie zalogowac na swój komputer w sieci lokalnej, jakby to działało to znaczy ze tunelowanie Ci dobrze działa a problem lezy gdzieś indziej
p.s. mam nadzieje że na kompie tym w lokalnej sieci o ile masz firewola to pozwala on na połączenia które chcesz realizowac ;) bo może masz dobrze tunelowane a tniesz potem gdzieś połączenia ;)
Offline
#7 2005-10-06 19:16:23
Prezu - Moderator
- Prezu
- Moderator
- Skąd: Vancouver, BC
- Zarejestrowany: 2005-06-02
Re: Jak zrobic dobre przekierowywanie portów ?
Czołem Graffi! Nie wiedziałem żeś debianowiec. :)
My się już z Graffim z forum Kadu znamy. :)
Offline