Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-03-07 12:32:21
Marek_boss - 
Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
problem z iptables
Zrobiłem sopie udostępnianie netu z artykułu BiExi zmieniając interfejsy na własne i mam zonka :(
Kod:
iptable: No chain/target/math by that name iptable: No chain/target/math by that name iptable: No chain/target/math by that name iptable: No chain/target/math by that name iptables v1.3.6: can't initialize iptables table `nat`: Table does not exist (do you need do insmod?) Perhaps iptables or your kernel needs to be upgraded
Jajko jest świerzo zrobione 2.6.24.
Pomóżcie.
Linux Registered User: #458169
Offline
#2 2008-03-07 12:48:14
djjanek - Użytkownik
#3 2008-03-07 12:54:12
mi5tic - Członek DUG
- mi5tic
- Członek DUG
- Skąd: Wrocław
- Zarejestrowany: 2006-08-24
Re: problem z iptables
A przypadkiem nie przechodziłeś z kernela 2.6.1* ?
Bo z tego co pamiętam niektóre opcje w 2.6.2* są w innych miejscach.
//edit
Jeśli na powyższe pytanie odpowiedziałeś twierdząco...to read this http://forum.dug.net.pl/viewtopic.php?id=8487 ;)
Pzdr.
Ostatnio edytowany przez mi5tic (2008-03-07 12:56:56)
Lubię słowo indolencja.
Dzięki niemu moje lenistwo wydaje się czymś niezwykle wyrafinowanym.
- Bern Williams
Offline
#4 2008-03-08 15:16:51
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
ok. Mam jakiś problem w nowym jajku, więc wróciłem na stare.
I tu pojawił się kolejny problem.
kod firewalla:
Kod:
iptables -F iptables -X iptables -t nat X iptables -t nat F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCETP
I za chiny ludowe nie mogę sobie przekierować portu na kompa wewnątrz.
próbowałem już parę regułek wygooglanych i żadna nie działa. np:
Kod:
iptables -A INPUT -p tcp --dport PORT -m state --state NEW ACCEPT iptables -t nat -A PREROUTING -p tcp --dport PORT -j DNAT --to-destination KOMPWSIECIWEWNETRZNEJ
Ostatnio edytowany przez Marek_boss (2008-03-08 15:19:11)
Linux Registered User: #458169
Offline
#5 2008-03-08 16:03:46
djjanek - Użytkownik
Re: problem z iptables
Ja bym zrobił tak:
Kod:
WAN = eth0 IP_PUB = 55.55.55.55 LAN = eth1 PORT = 22 HOST = 192.168.0.2 modprobe ip_nat_ftp iptables -F iptables -X iptables -t nat F iptables -t nat X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -p tcp --dport $PORT -j ACCEPT iptables -A INPUT -p udp --dport $PORT -j ACCEPT iptables -t nat -A PREROUTING -i $WAN -p tcp --dport $PORT -j DNAT --to-destination $HOST:$PORT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d $IP_PUB -p tcp --dport $PORT -j SNAT --to $HOST iptables -t nat -A PREROUTING -i $WAN -p udp --dport $PORT -j DNAT --to-destination $HOST:$PORT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d $IP_PUB -p udp --dport $PORT -j SNAT --to $HOST
i mi działa bardzo dobrze.
Offline
#6 2008-03-08 16:23:14
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
Z przykrością stwierdzam że podane linijki nie działają :(
Linux Registered User: #458169
Offline
#7 2008-03-08 17:37:42
bercik - Moderator Mamut
Re: problem z iptables
a czy przypadkiem nie trzeba:
1. zezwolic na przekazywanie pakietow wpisujac 1 do /proc/sys/net/ipv4/conf/all/forwarding
2. zezwolic na przekazywanie pakietow w iptables
bo przecierz taki pakiet nie idzie do procesu lokalnego (INPUT) tylko jest przekazywany (FORWARD), polecam obrazek http://xkr47.outerspace.dyndns.org/netfilter/packet … ket_flow9.png
pozatym (na ogol) trzeba umozliwic przeslanie odpowiedzi od kompa w sieci wewnetrznej
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#8 2008-03-08 18:38:46
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
mam w skrypcie od firewalla tą linijkę na początku:
Kod:
#!/bin/bash echo 1 > /proc/sys/net/ipv4/ip_forward
Forward działa bo udostępniam połączenie internetowe do LAN-u.
Mógłby mi ktoś napisać tą regułkę bo już mi ręce opadają od tych znalezionych w sieci.
Ostatnio edytowany przez Marek_boss (2008-03-08 19:23:06)
Linux Registered User: #458169
Offline
#9 2008-03-08 19:21:23
lapa - Użytkownik
Re: problem z iptables
Spróbuj może tak:
iptables -F
iptables -X
iptables -t nat F
iptables -t nat X
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 0/0 -d ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
gdzie ip.ip.ip.ip to adres IP kompa na który chcesz kprzekierować port, no i oczywiście
zmień ewentualnie nr portu jeśli chodzi ci o iiny niż dla ssh.
Offline
#10 2008-03-08 19:24:29
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
lapa napisałeś mi regułkę na odblokowanie portu na routerze a nie na przekierowanie portu do kompa w sieci lokalnej.
Linux Registered User: #458169
Offline
#11 2008-03-09 00:07:25
bercik - Moderator Mamut
Re: problem z iptables
czy ten komputer na ktory forwardujesz port ma udostepniony net (jest dopuszczony w regulach FORWARD) ?
PS pokaz moze caly skrypt a nie jakies skrawki ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#12 2008-03-09 03:18:24
bercik - Moderator Mamut
Re: problem z iptables
@tgR: twoje regulki tez nie zadzialaja (przetestowalem)
@ALL:
1. lancuch INPUT nie ma nic do rozwaznaego problemu przekierowania portu przy pomocy DNAT (to byloby potrzebne przy redirect via xinetd)
2. aby to dzialalo konieczne jest zezwolenie FORWARDu (do i od hosta LUB do hosta i dla polaczen nawiazanych)
3. aby to zadzialo konieczna jest tez podmiana adresu zrodlowego (inaczej w ogolnosci pakiety moga tylko w jedna strone przechodzic przez komputer robiacy NAT, a to nastreczy problemow)
4. w iptables wazna jest kolejnosc wpisywania regolek (dlatego w przypadku problemow z iptables IMHO lepiej podac caly skrypt niz jakis fragmencik)
5. dzialajace regolki (wstawilem logowanie aby obejrzenie dmesg rozwialo watpliwosci jaka trase pokonuje pakiet):
Kod:
echo 1 > /proc/sys/net/ipv4/ip_forward PORT=portforwardowany HOST_NAT=adresIP.komputera.robiacego.NAT HOST_DST=adresIP.komputera.docelowego iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # to trzeba dać aby otwarcie OUTPUTu mialo sens, ale nie ma to nic wspolnego z rozwiazywanym problemem iptables -A INPUT -m state --state ESTABLISHED,RELATED -j LOG --log-prefix "INPUT ZESTAWIONEGO: " iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # zestaw regolek rozwiazujacych problem: iptables -t nat -A PREROUTING -p tcp --dport $PORT -j LOG --log-prefix "DNAT: " iptables -t nat -A PREROUTING -p tcp --dport $PORT -j DNAT --to $HOST_DST iptables -t nat -A POSTROUTING -p tcp --dport $PORT -j LOG --log-prefix "SNAT: " iptables -t nat -A POSTROUTING -p tcp --dport $PORT -j SNAT --to-source $HOST_NAT iptables -A FORWARD -s 0.0.0.0/0 -d $HOST_DST -j LOG --log-prefix "FORWARD: " iptables -A FORWARD -s 0.0.0.0/0 -d $HOST_DST -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j LOG --log-prefix "FORWARD ZESTAWIONEGO: " iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ostatnio edytowany przez bercik (2008-03-09 03:25:40)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#13 2008-03-09 08:55:02
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
Już nie wiem. Wkleiłem regułki od Ciebie i nic to nie dało. Może mam to w zlej kolejności. Oto moje wpisy:
eth0-wyjsie na świat
eth1-wyjście na LAN
Kod:
# wlaczenie w kernelu forwardowania echo 1 > /proc/sys/net/ipv4/ip_forward # czyszczenie starych regul iptables -F iptables -X iptables -t nat -X iptables -t nat -F #zmienne IPW=192.168.34.24 IPZ=192.168.102.102 IPSW=192.168.34.0/24 IPSZ=192.168.102.0/24 # ustawienie polityki dzialania iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT #proxy iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128 #porty do LAN iptables -A INPUT -p tcp --dport 4421 -i eth0 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4421 -j DNAT --to 192.168.34.1 iptables -A INPUT -p udp --dport 4421 -i eth0 -j ACCEPT iptables -t nat -A PREROUTING -p udp -i eth0 --dport 4421 -j DNAT --to 192.168.34.1 #polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # udostepniaie internetu w sieci lokalnej iptables -t nat -A POSTROUTING -s $IPSW -j MASQUERADE iptables -A FORWARD -s $IPSW -j ACCEPT
Model sieci:
Modem (porty przekierowane na IP eth0 serwa) -- eth0-serwer-eth1 -- LAN
Wszystko śmiga (net, proxy) za wyjątkiem tego że nie mogę odblokować portów ludziom w lan np do osiołka.
//Dzięki bercik. Jak wróce do domu to sprawdzę :)
Rozumiem że żeby nie pisać dla każdego usera w sieci tej linijki:
Kod:
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.1 -j ACCEPT
Mogę zmienić ja na:
Kod:
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.0/24 -j ACCEPT
Jakie konsekwencje będzie miał ten zapis? Bo jak bardzo ucierpię na bezpieczeństwie to będę pisał tą regułkę dla każdego z osobna :)
Ostatnio edytowany przez Marek_boss (2008-03-09 09:51:18)
Linux Registered User: #458169
Offline
#14 2008-03-09 13:34:37
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
Nie :) Siedzę sobie przy PC w lanie odpalam osiołka, a tam low id bo serwer który zajmuje się podziałem łącza blokuje mi port :)
Ostatnio edytowany przez Marek_boss (2008-03-09 13:36:04)
Linux Registered User: #458169
Offline
#15 2008-03-09 14:57:10
bercik - Moderator Mamut
Re: problem z iptables
Marek_boss napisał(-a):
//Dzięki bercik. Jak wróce do domu to sprawdzę :)
Rozumiem że żeby nie pisać dla każdego usera w sieci tej linijki:Kod:
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.1 -j ACCEPTMogę zmienić ja na:
Kod:
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.0/24 -j ACCEPTJakie konsekwencje będzie miał ten zapis? Bo jak bardzo ucierpię na bezpieczeństwie to będę pisał tą regułkę dla każdego z osobna :)
zezwalasz na forwad pakietow z zewnatrz do LANu, ale jako ze nie powinenes otrzymywac z zewnatrz pakietow z adresem docelowym w LANie to efektywnie zezwolisz tylko dla tych dla ktorych robisz DNAT
jezeli robisz MASQUERADE dla calej sieci to:
Kod:
iptables -t nat -A POSTROUTING -p tcp --dport $PORT -j SNAT --to-source $HOST_NAT
nie bedzie potrzebne
mam nadzieje ze siec zewnetrzna ma adresacje publiczna (a to co podales to tylko dla przykladu) - bo jezeli faktycznie jest to 192.168.102.0/24 to jest ona NATowana i musisz robic dwukrotne przekierowanie ... albo pozbyc sie jednego NATu
do testowania tego czy dziala przekierowanie polecam netcat'a (nc) - na jednym sluchasz na drugim (z zewnatrz) cos prubujesz wyslac ...
Ostatnio edytowany przez bercik (2008-03-09 15:16:04)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#16 2008-03-09 15:47:24
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
Tak jak piszesz. Jest podwójny NAT ze względu na to że nie mam stałego IP publicznego (jeszcze :) I z różnych względów m.in. HTB musiałem postawić serwa pomiędzy modemem a LAN-em.
Za pierwszym NAT-em jest tylko serwer (porty na modemie przekierowane na serwa), a za drugim NAT-em (serwerem) cały LAN.
Czyli rozumiem że
Kod:
iptables -t nat -A POSTROUTING -p tcp --dport $PORT -j SNAT --to-source $HOST_NAT iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.0/24 -j ACCEPT
załatwi sprawę?
Bo niektóre porty muszą trafić do serwera na jego IP zew (IPZ) a nie do LAN a logika mi podpowiada, że regułka
Kod:
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.0/24 -j ACCEPT
przekieruje mi cały ruch do LAN-u do sieci 192.168.34.0/24.
Słusznie rozumuje?
W skrócie chodzi o to że przez drugi NAT (serwer) mój osioł ma low ID :) i nie potrafię tego zmienić :(
PS. Jak mi się to uda, to napisze artykuł "HOW TO" do DUG-a opisujący mój przypadek :)
Ostatnio edytowany przez Marek_boss (2008-03-09 15:54:58)
Linux Registered User: #458169
Offline
#17 2008-03-09 16:16:49
bercik - Moderator Mamut
Re: problem z iptables
Marek_boss napisał(-a):
Czyli rozumiem że
Kod:
iptables -t nat -A POSTROUTING -p tcp --dport $PORT -j SNAT --to-source $HOST_NAT iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.0/24 -j ACCEPTzałatwi sprawę?
NIE - potrzebujesz DNAT (iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4421 -j DNAT --to 192.168.34.1),a nie SNAT (bo to zalatwia MASQUERADE ktora masz)
zreszta ponizej wkleilem komplet regulek ...
Marek_boss napisał(-a):
Bo niektóre porty muszą trafić do serwera na jego IP zew (IPZ) a nie do LAN a logika mi podpowiada, że regułka
Kod:
iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.34.0/24 -j ACCEPTprzekieruje mi cały ruch do LAN-u do sieci 192.168.34.0/24.
caly ruch ktory ma w naglowku adres docelowy IP z LANu - a taki ruch powstaje dopiero po zrobieniu odpoweidniego przekierowania portu przez DNAT wiec reszta leci normalnie do INPUT
Kod:
#zmienne IPW=192.168.34.24 IPZ=192.168.102.102 IPSW=192.168.34.0/24 IPSZ=192.168.102.0/24 # wlaczenie w kernelu forwardowania echo 1 > /proc/sys/net/ipv4/ip_forward # czyszczenie starych regul iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie polityki dzialania iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # petla zwrotna iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT #polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED #proxy iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128 #udostepniaie internetu w sieci lokalnej iptables -t nat -A POSTROUTING -s $IPSW -j MASQUERADE iptables -A FORWARD -s $IPSW -j ACCEPT #porty do LAN iptables -A FORWARD -s 0.0.0.0/0 -d $IPSW -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 4421 -j DNAT --to 192.168.34.1
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#18 2008-03-09 21:25:01
bobycob - Członek z Ramienia
- bobycob
- Członek z Ramienia
- Skąd: Wrocław
- Zarejestrowany: 2007-08-15
Re: problem z iptables
Tak odnośnie problemu w pierwszym poście.
Nie masz wkompilowanego w jądro obsługi conntrack, i modułów do obsługi nat.
W okolicach 2.6.2x (jeśli mnie pamięć nie myli) zmienione zostało położenie tych opcji i częściowo nazewnictwo.
Offline
#19 2008-03-09 21:38:56
Marek_boss - Członek DUG
- Marek_boss
- Członek DUG
- Skąd: Pilawa
- Zarejestrowany: 2006-06-27
Re: problem z iptables
Dzięki bercik za cierpliwość :) Już wszystko bangla :)
@bobycop i znowu kompilacja jajca :)
Linux Registered User: #458169
Offline