iptables проброс

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 994
Зарегистрирован: 2009-07-28 12:26:09

iptables проброс

Непрочитанное сообщение Spook1680 » 2014-06-12 15:19:15

Тестовый вариант.
Почему на 1 комп пускает удаленно а на другой нет?

Т.е. стучусь по адресу белому в офис и на компы 0.2 и 0.105 попадаю.
Но на машину 0.213:47397 Ну ни как ((.

Код: Выделить всё

# iptables-save
# Generated by iptables-save v1.4.7 on Thu Jun 12 16:10:41 2014
*mangle
:PREROUTING ACCEPT [19056:3199472]
:INPUT ACCEPT [1353:598787]
:FORWARD ACCEPT [17698:2599865]
:OUTPUT ACCEPT [1253:614375]
:POSTROUTING ACCEPT [18948:3214004]
COMMIT
# Completed on Thu Jun 12 16:10:41 2014
# Generated by iptables-save v1.4.7 on Thu Jun 12 16:10:41 2014
*nat
:PREROUTING ACCEPT [276:20571]
:POSTROUTING ACCEPT [19:1113]
:OUTPUT ACCEPT [18:1061]
-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -d 211/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389 
-A PREROUTING -d 211/32 -p tcp -m tcp --dport 43237 -j DNAT --to-destination 192.168.0.105:43237 
[b]-A PREROUTING -d 211/32 -p tcp -m tcp --dport 47397 -j DNAT --to-destination 192.168.0.213:47397 [/b]

-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 77.108.98.211 
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 110 -j SNAT --to-source 79
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 995 -j SNAT --to-source 79
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 993 -j SNAT --to-source 79
-A POSTROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 25 -j SNAT --to-source 79
COMMIT
# Completed on Thu Jun 12 16:10:41 2014
# Generated by iptables-save v1.4.7 on Thu Jun 12 16:10:41 2014
*filter
:INPUT ACCEPT [313:23723]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1250:614139]
-A INPUT -i eth1 -p tcp -m tcp --dport 10000 -j DROP 
-A INPUT -i eth1 -p tcp -m tcp --dport 52993 -j DROP 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2743 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 43247 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp -m multiport --dports 5901:5903,6001:6003,47397,43237,3389,20,21 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT 
-A FORWARD -p tcp -m multiport --dports 80,8080,3128,53,110,143,443,3389,2747,20,22,995,47128,43237,1194 -j ACCEPT 
-A FORWARD -p tcp -m tcp --dport 47397 -j ACCEPT 
-A FORWARD -p tcp -m tcp --dport 43247 -j ACCEPT 
-A FORWARD -s 192.168.0.0/24 -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT

"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rayder
лейтенант
Сообщения: 661
Зарегистрирован: 2008-12-18 16:29:43
Откуда: Ukraine/Kiev
Контактная информация:

Re: iptables проброс

Непрочитанное сообщение rayder » 2014-06-13 16:18:44

Вы уверены что не пускает?

Код: Выделить всё

[root]?[~] nmap -p47397  77.108.98.211 

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-13 16:17 EEST
Nmap scan report for 77.108.98.211
Host is up (0.046s latency).
PORT      STATE    SERVICE
47397/tcp filtered unknown
А что тамсоб-но слушает? udp/tcp не перепутали? что tcpdump показывает?

UPD: а сюда его случаем добавить не надо?

Код: Выделить всё

A FORWARD -p tcp -m multiport --dports 80,8080,3128,53,110,143,443,3389,2747,20,22,995,47128,43237,1194 -j ACCEPT 
Человеку свойственно ошибаться, но для нечеловеческих ляпов нужен компьютер.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 994
Зарегистрирован: 2009-07-28 12:26:09

Re: iptables проброс

Непрочитанное сообщение Spook1680 » 2014-06-14 10:15:14

А смысл там есть правило отдельное ниже. Добавлял и сюда но не пускает.

Код: Выделить всё

A FORWARD -p tcp -m multiport --dports 80,8080,3128,53,110,143,443,3389,2747,20,22,995,47128,43237,1194 -j ACCEPT
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

rayder
лейтенант
Сообщения: 661
Зарегистрирован: 2008-12-18 16:29:43
Откуда: Ukraine/Kiev
Контактная информация:

Re: iptables проброс

Непрочитанное сообщение rayder » 2014-06-14 15:06:02

а что по другим вопросам?
Человеку свойственно ошибаться, но для нечеловеческих ляпов нужен компьютер.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 994
Зарегистрирован: 2009-07-28 12:26:09

Re: iptables проброс

Непрочитанное сообщение Spook1680 » 2014-06-14 16:00:35

rayder писал(а):а что по другим вопросам?

Код: Выделить всё

# tcpdump -n -i eth1 port 47397
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
16:48:31.695585 IP 46.39.34.15.39317 > .211.47397: Flags [S], seq 25130                       96325, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:48:34.694351 IP 46.39.34.15.39317 > .211.47397: Flags [S], seq 25130                       96325, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:48:40.697175 IP 46.39.34.15.39317 > .211.47397: Flags [S], seq 25130                       96325, win 8192, options [mss 1460,nop,nop,sackOK], length 0

^C
# tcpdump -n -i eth0 port 47397
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:49:35.941944 IP 46.39.34.15.48113 > 192.168.0.213.47397: Flags [S], seq 1851574130, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:49:38.938966 IP 46.39.34.15.48113 > 192.168.0.213.47397: Flags [S], seq 1851574130, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:49:44.938265 IP 46.39.34.15.48113 > 192.168.0.213.47397: Flags [S], seq 1851574130, win 8192, options [mss 1460,nop,nop,sackOK], length 0


"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Nardamon
рядовой
Сообщения: 26
Зарегистрирован: 2012-11-28 22:02:10

Re: iptables проброс

Непрочитанное сообщение Nardamon » 2014-11-17 4:01:17

Потому что шлюз по умолчанию или другой, или вообще нету.
На машину приходит, а оттуда никуда.