Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-10-28 03:51:36

  fredi - Użytkownik

fredi
Użytkownik
Zarejestrowany: 2007-06-03

[iptables] port z jednego interfejsu na drugi

Witam!
Mam pewien problem z iptables, szukałem próbowalem wszystkiego nie mam pojęcia czemu nie chodzi.
Jest sobie serwer z dwoma kartami eth0-IPwew, eth1-IPzew. Na zewnetrznym interfejsie uruchomione sa serwer ssh, www, cs.  Chciałbym zrobić tak, zeby ludzie z sieci wewnetrznej mogli łączyć sie do tych usług z wewnątrz, a nie jak jest dotychczas przez IPzew.

Chce za pomocą iptables przekieriowac pare portów z eth0 na eth1. Próbowałem PREROUTING jak i FORWARDEM nie wiem czemu nei chce mi działać. Załanczam kawałek mojego firwalla, mam nadzieje ze wymysli ktoś co jest nei tak :|
IP to IPwew
IP2 to IPzew

Kod:


#serwery tcp
             for x in ${SERTCP}
             do
                 iptables -A INPUT -p tcp -i eth1 --dport ${x} -m state --state NEW -j ACCEPT
                
        iptables -I FORWARD -p tcp -d $IP2 --dport ${x}  -j ACCEPT
        iptables -t nat -I PREROUTING -p tcp  -i eth0 -d $IP --dport ${x} -j DNAT  --to $IP2:${x}
        iptables -t nat -I POSTROUTING -p tcp -o eth0 -s $IP -j SNAT --to $IP2

             done

dzieki za pomoc :)


Life is short, play more q3 ;)

Offline

 

#2  2007-10-28 10:36:47

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: [iptables] port z jednego interfejsu na drugi

a czemu nie zrobisz tak ?

Kod:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
lub
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT

lub zmien port usługi ssh ,

co do www ,niech łaczą sie po IP zew

Offline

 

#3  2007-10-28 13:37:52

  fredi - Użytkownik

fredi
Użytkownik
Zarejestrowany: 2007-06-03

Re: [iptables] port z jednego interfejsu na drugi

Serwer CS'a postawiony jest na zewnetrznym IP i to nie ja go konfiguruje, udostepniam tylko shella. Dlatego zależy mi zebym to sobie zrobić bez wołania goscia od CSa i chce to przekierować w taki wlasnie sposób.
Moze ktoś pomoże :)


Life is short, play more q3 ;)

Offline

 

#4  2007-10-28 14:06:09

  szewczyk - Stary wyjadacz :P

szewczyk
Stary wyjadacz :P
Zarejestrowany: 2006-12-03

Re: [iptables] port z jednego interfejsu na drugi

no to tak :

Kod:

iptables -t filter -A FORWARD-i eth1 -s podsiec -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s podsiec -j MASQUERADE

:) ipiki z wew sieci beda sie łaczyc  z IP zew przez NAT

Offline

 

#5  2007-10-28 15:24:43

  fredi - Użytkownik

fredi
Użytkownik
Zarejestrowany: 2007-06-03

Re: [iptables] port z jednego interfejsu na drugi

nie działa :/

Kod:

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 state NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:27030 state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:27015 state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:27005 state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1200 state NEW

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.64.0/20      0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  192.168.64.0/20      0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  192.168.64.0/20      0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  192.168.64.0/20      0.0.0.0/0           tcp dpt:27030

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

a tak wygladają reguki ustawiłem przez SNAT, a nie przez maskarade...
i ustawilem na konkretne porty bo nei chce całego ruchu przerzucać.

Kod:

 iptables -t filter -A FORWARD -p tcp -i eth1 -s 192.168.64.0/20  --dport ${x}  -j ACCEPT

        iptables -t nat -I POSTROUTING -p tcp -o eth0 -s 192.168.64.0/20 -j SNAT --to $IP

Life is short, play more q3 ;)

Offline

 

#6  2007-10-28 16:03:41

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: [iptables] port z jednego interfejsu na drugi

co do www i ssh sprawa jest bardzo prosta - odpal te uslugi tak aby nasluchiwaly na wszystkich interfejsach ... nie trzeba robic zadnych dziwacznych ustawien na iptables ...


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#7  2007-10-28 17:32:27

  fredi - Użytkownik

fredi
Użytkownik
Zarejestrowany: 2007-06-03

Re: [iptables] port z jednego interfejsu na drugi

chodzi o to ze głównie chodzi mi o CS'a, bo są strasznie wysokie pingi i chcialem je troceh obiniżyć, wlasnie przez to zeby ludzi z wewnatrz mogli grac przez lana a nie wychodzili przez brame i wracalo spowrotem do wewnatrz...


Life is short, play more q3 ;)

Offline

 

#8  2007-11-02 11:26:32

  fredi - Użytkownik

fredi
Użytkownik
Zarejestrowany: 2007-06-03

Re: [iptables] port z jednego interfejsu na drugi

Nie ma nikt pomysłu czemu nie działa?  Bo ja już sie z tym męcze i brakuje mi pomysłów na to :(


Life is short, play more q3 ;)

Offline

 

#9  2007-11-04 11:02:17

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: [iptables] port z jednego interfejsu na drugi

Kod:

 iptables -t filter -A FORWARD -p tcp -i eth1 -s 192.168.64.0/20  --dport ${x}  -j ACCEPT

        iptables -t nat -I POSTROUTING -p tcp -o eth0 -s 192.168.64.0/20 -j SNAT --to $IP

Sprawa jest prosta, przed snatem wstaw

Kod:

iptables -t nat -I POSTROUTING -p tcp -o eth0 -s 192.168.64.0/20 -d adres-serwera -j ACCEPT

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)