Forum Debian Users Gang

koxen · 2014-07-29 17:32:22

Witam,
mam serwer dedykowany z Debianem 7.4. Chciałem dzisiaj postawić na nim VPS z Freebsd 10. Jakiś czas temu postawiłem VPS z Freebsd 8.0 jednak teraz muszę przejść do 10 bo wymagają tego binarki gry.
Wtedy przekierowywałem porty ssh,ftp,mysql etc. używając czegoś takiego

Kod:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2230 -j DNAT --to 192.168.100.167:22
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 2230 -j DNAT --to 192.168.100.167:22
iptables -A FORWARD -i eth0 -o virbr0 -p tcp --dport 2230 -j ACCEPT;
iptables -A FORWARD -i eth0 -o virbr0 -p udp --dport 2230 -j ACCEPT;

i wszystko działało, teraz jeśli łaczę się przez putty przez ip zewnętrzne dedyka na porcie 2230 mam timed out natomiast jeśli najpierw zaloguję sie na ssh dedyka a potem wpisze ssh 192.168.100.167 mogę wejść do ssh freebsd. Freebsd ma dostęp do internetu pingowałem różne strony i pobierałem pliki.

Vps'a postawiłem przez Virtual Machine Manager

Ifconfig dedyka wygląda tak - http://screenshooter.net/100078482/vtohwnn
Ifconfig Freebsd wyglą tak - http://screenshooter.net/100078482/mewxxrh

Z góry dziękuję za pomoc

ramsi1986 · 2014-07-30 17:39:44

a włączyłeś IP forward?

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward

albo w /etc/sysctl.conf

Kod:

net.ipv4.ip_forward=1

koxen · 2014-07-30 22:10:39

Zrobiłem jak napisałeś bo faktycznie było na 0 jak tylko będę mógł za kilka h zresetuje sieć i powiem co z tego jest.

koxen · 2014-07-31 09:26:21

Mam Timed out

Jacekalex · 2014-07-31 14:56:15

Kod:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2230 -j DNAT --to 192.168.100.167:22
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 2230 -j DNAT --to 192.168.100.167:22
iptables -A FORWARD -i eth0 -o virbr0 -p tcp --dport 2230 -j ACCEPT;
iptables -A FORWARD -i eth0 -o virbr0 -p udp --dport 2230 -j ACCEPT;

DNAT zrobiony, a SNAT w drugą stronę krasnoludki mają zrobić?
Przecież jak pakiet wejdzie, to musi jakoś wrócić, jak już robisz NAT,
i działa PREROUTING, to jeszcze musisz zrobić SNAT albo maskaradę, żeby ten pakiet z powrotem też był prawidłowo adresowany, bo inaczej nigdzie nie dojdzie.

W dodatku nie pokazałeś całego FW, a w Netfilterze kluczowa jest kolejność reguł.

Ostatnio edytowany przez Jacekalex (2014-07-31 14:59:48)

ramsi1986 · 2014-07-31 15:25:07

Kod:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

@Jacekalex:
racja, to powinno załatwić sprawe
a przynajmniej u mnie działa

Ostatnio edytowany przez ramsi1986 (2014-07-31 15:25:34)

ethanak · 2014-07-31 15:51:30

masz zmienny adres ip na dedyku?
bo jeśli nie to może lepiej zastosować prawidłowy target?

koxen · 2014-07-31 22:04:10

@ethanak mam stałe.
@Jacekalex jestem zielony w forwardowaniu te zasady iptables które napisałem 1 poście znalazłem w jakimś temacie na innym forum i działało po wklepaniu tych 4 linijek na każdy port.

iptables -S

Kod:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.100.0/24 -i eth0 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -i virbr0 -o eth0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -o virbr0 -p tcp -m tcp --dport 2230 -j ACCEPT
-A FORWARD -i eth0 -o virbr0 -p udp -m udp --dport 2230 -j ACCEPT

iptables -L

Kod:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             192.168.100.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.100.0/24     anywhere
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2230
ACCEPT     udp  --  anywhere             anywhere             udp dpt:2230

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Najlepiej i chyba najszybciej by było jakby ktoś mi powiedział jak to zrobić krok po kroku :D

Ostatnio edytowany przez koxen (2014-07-31 22:05:27)

Jacekalex · 2014-07-31 22:13:14

@Jacekalex jestem zielony w forwardowaniu te zasady iptables które napisałem 1 poście znalazłem w jakimś temacie na innym forum i działało po wklepaniu tych 4 linijek na każdy port.

W czytaniu jesteś jeszcze bardziej zielony, bo tam wyżej masz podane na tacy najprostsze rozwiązanie.

A tu jest dokumentacja:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfi … s#tablica_nat
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables/akcje

koxen · 2014-07-31 22:30:38

Rozumiem że mówisz o

Kod:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

czyli z tymi linijkami co były w 1 poście jest ok?

ramsi1986 · 2014-07-31 22:41:40

podaj output:

Kod:

iptables -L -t nat
iptables -S -t nat

a co do krok po kroku, to mój firewall, robi to za pomocą kilku linijek:

Kod:

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward                       # włącza forwardowanie IP

iptables -P FORWARD ACCEPT                                    # domyślnie przepuszcza cały ruch w łańcuchu FORWARD

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 9987 -j DNAT --to-destination XX.XX.XX.XX:9987     # przekierowanie portu 9987

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE      # maskarada

i zasadniczo to mi robi cała robotę. eth1 to mój interfejs zewnętrzny a eth0 wewnętrzny. jak chce przekierować kolejny port to dodaje kolejną linijkę, maskarada zawsze musi być na samym końcu, włączanie forwardowania IP na samym początku.

Ostatnio edytowany przez ramsi1986 (2014-07-31 22:42:01)

koxen · 2014-07-31 22:44:26

@ramsi1986

Kod:

root@serv023180:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere             tcp dpt:2230 to:19                                                                                        2.168.100.167:22
DNAT       tcp  --  anywhere             anywhere             tcp dpt:2230 to:19                                                                                        2.168.100.167:22
DNAT       udp  --  anywhere             anywhere             udp dpt:2230 to:19                                                                                        2.168.100.167:22

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  tcp  --  192.168.100.0/24    !192.168.100.0/24     masq ports: 1024-                                                                                        65535
MASQUERADE  udp  --  192.168.100.0/24    !192.168.100.0/24     masq ports: 1024-                                                                                        65535
MASQUERADE  all  --  192.168.100.0/24    !192.168.100.0/24
MASQUERADE  all  --  anywhere             anywhere

Kod:

root@serv023180:~# iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2230 -j DNAT --to-destination 192.168.100.167:22
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2230 -j DNAT --to-destination 192.168.100.167:22
-A PREROUTING -i eth0 -p udp -m udp --dport 2230 -j DNAT --to-destination 192.168.100.167:22
-A POSTROUTING -s 192.168.100.0/24 ! -d 192.168.100.0/24 -o eth0 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.100.0/24 ! -d 192.168.100.0/24 -o eth0 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.100.0/24 ! -d 192.168.100.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE

ramsi1986 · 2014-07-31 22:49:01

pozbądź się tego:

koxen napisał(-a):

Kod:

-A POSTROUTING -s 192.168.100.0/24 ! -d 192.168.100.0/24 -o eth0 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.100.0/24 ! -d 192.168.100.0/24 -o eth0 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.100.0/24 ! -d 192.168.100.0/24 -o eth0 -j MASQUERADE

skoro masz to na końcu:

Kod:

-A POSTROUTING -o eth0 -j MASQUERADE

koxen · 2014-07-31 22:50:27

@ramsi1986 to dodał ten Virtual Machine Manager przy tworzeniu interfejsu, usuwam.

ramsi1986 · 2014-07-31 22:53:11

koxen napisał(-a):
@ramsi1986 to dodał ten Virtual Machine Manager przy tworzeniu interfejsu, usuwam.

wiesz co? daj mi wjazd przez SSH to Ci to naprawie... :)

koxen · 2014-07-31 22:56:04

@ramsi1986 napisałem PW

ramsi1986 · 2014-07-31 22:57:31

coś mi nie gra z tym mostkiem virbr0

Jacekalex · 2014-07-31 23:02:00

@ramsi1986 to dodał ten Virtual Machine Manager przy tworzeniu interfejsu, usuwam.

Co i kto dodał?
Co to jest ten jakiśtam Manager?
Czy to jest z repo, czy znowu jakiś slitaśny manager chooj wie skąd?

Ostatnio edytowany przez Jacekalex (2014-07-31 23:02:21)

ramsi1986 · 2014-07-31 23:02:55

tak to jest jak sie gui używa :) śmieci dodaje, potem trzeba zamiatać :)

ramsi1986 · 2014-07-31 23:47:45

problem rozwiązany, te dwie linijki robiły bałagan:

Kod:

iptables -A FORWARD -i eth0 -o virbr0 -p tcp --dport 2230 -j ACCEPT;
iptables -A FORWARD -i eth0 -o virbr0 -p udp --dport 2230 -j ACCEPT;

wyczyściłem i napisałem prosty skrypcik, który uruchamia się przy starcie i sprząta wszystko.

Kod:

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -F -t nat

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 2230 -j DNAT --to-destination 192.168.100.167:22

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

koxen · 2014-08-01 00:16:07

DZIĘKI DZIĘKI WIELKIE

ramsi1986 · 2014-08-03 21:00:01

pamiętaj, że masz wszystkie polityki ustawione na ACCEPT, powinieneś nad tym popracować :)

Forum Debian Users Gang

Ogłoszenie

#1 2014-07-29 17:32:22

koxen - Użytkownik

Debian, przekierowanie portów do VPS'a

Kod:

#2 2014-07-30 17:39:44

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

Kod:

Kod:

#3 2014-07-30 22:10:39

koxen - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

#4 2014-07-31 09:26:21

koxen - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

#5 2014-07-31 14:56:15

Jacekalex - Podobno człowiek...;)

Re: Debian, przekierowanie portów do VPS'a

Kod:

#6 2014-07-31 15:25:07

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

Kod:

#7 2014-07-31 15:51:30

ethanak - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

#8 2014-07-31 22:04:10

koxen - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

Kod:

Kod:

#9 2014-07-31 22:13:14

Jacekalex - Podobno człowiek...;)

Re: Debian, przekierowanie portów do VPS'a

#10 2014-07-31 22:30:38

koxen - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

Kod:

#11 2014-07-31 22:41:40

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

Kod:

Kod:

#12 2014-07-31 22:44:26

koxen - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

Kod:

Kod:

#13 2014-07-31 22:49:01

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

koxen napisał(-a):

Kod:

Kod:

#14 2014-07-31 22:50:27

koxen - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

#15 2014-07-31 22:53:11

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

koxen napisał(-a):

#16 2014-07-31 22:56:04

koxen - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

#17 2014-07-31 22:57:31

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

#18 2014-07-31 23:02:00

Jacekalex - Podobno człowiek...;)

Re: Debian, przekierowanie portów do VPS'a

#19 2014-07-31 23:02:55

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

#20 2014-07-31 23:47:45

ramsi1986 - Użytkownik

Re: Debian, przekierowanie portów do VPS'a

Kod:

Kod: