Freesco, NND, CDN, EOS :: Wyświetl temat - port, porty, porty

Freesco, NND, CDN, EOS http://forum.freesco.pl/

port, porty, porty http://forum.freesco.pl/viewtopic.php?f=22&t=11271	Strona 1 z 1

Autor:	..::Baru::.. [ czwartek, 16 lutego 2006, 00:05 ]
Tytuł:	port, porty, porty
Pewnie kogos wkurze tym postem ale nie moge sobie dac rady. mam w sieci komputer o adresie 192.168.1.2 i na 80 porcie chodzi sobie apache2, chce przekierowac ten port na serwerze nnd na port powiedzmy 1001 (mam neo512 i sagem'a), wpisalem nastepujaca regulke do /etc/iptables/firewal i nie działa: $i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT $i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 1001 -j DNAT --to 192.168.1.2 pomocy!!

Autor:	tasiorek [ czwartek, 16 lutego 2006, 00:21 ]
Tytuł:
A jak ma dzialac, skoro zezwalsz na przekierowanie portu 80, a przekierowujesz port 1001?

Autor:	..::Baru::.. [ czwartek, 16 lutego 2006, 00:45 ]
Tytuł:
zmienilem port apacha w kompie w lanie i tez nie dzila $i -I FORWARD -p tcp -d 192.168.1.2 --dport 81 -j ACCEPT $i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 81 -j DNAT --to 192.168.1.2

Autor:	tasiorek [ czwartek, 16 lutego 2006, 00:52 ]
Tytuł:
Teraz regulki sa poprawne. Restart firewalla byl? Masz standardowego firewalla? Masz plik /etc/iptables/iptables.rules? Z wewnatrz da sie polaczyc z tym serwerem?

Autor:	-MW- [ czwartek, 16 lutego 2006, 02:18 ]
Tytuł:
Cytuj: $i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT $i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 1001 -j DNAT --to 192.168.1.2 cos ktos kreci bałwan jestem sa ok zabraklo tylko malego drobiazgu $i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT $i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 1001 -j DNAT --to 192.168.1.2:80 -s 0/0 to jest zbedne a tu -d 0/0 pasowaloby dopisac IP routera. i wtedy faktycznie wszystko co jest kierowanie do routera z netu na porcie 1001 poleci do 192.168.1.2 na port 80 $i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT $i -t nat -A PREROUTING -p tcp -i $EXTIF -d IP/MASKA --dport 1001 -j DNAT --to 192.168.1.2:80 a zeby inne bałwan jestem nie mieszaly $i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT $i -t nat -I PREROUTING -p tcp -i $EXTIF -d IP/MASKA --dport 1001 -j DNAT --to 192.168.1.2:80 i na final zeby z lanu tez sie dostac $i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT $i -t nat -I PREROUTING -p tcp -d IP/MASKA --dport 1001 -j DNAT --to 192.168.1.2:80 MASKA=32 albo napisz samo IP

Autor:	tasiorek [ czwartek, 16 lutego 2006, 02:33 ]
Tytuł:
-MW- pisze: cos ktos kreci bałwan jestem sa ok zabraklo tylko malego drobiazgu $i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT $i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 1001 -j DNAT --to 192.168.1.2:80 Jestes pewny, ze bez tego nie bedzie dzialac? Nastepnym razem sprawdz, zanim napiszesz. MW pisze: ale w tym wypadku wszystko z lanu co bedzie szlo obojetnie gdzie na porcie 1001 pojdzie do 192.168.1.2 na port 80 a nie o to chodzi. Sprawdziles? A wiesz po co jest -i $EXTIF? Nic wychodzacego z lanu nie zostanie przekierowane, nie boj zaby. MW pisze: wiec -s 0/0 to jest zbedne a tu -d 0/0 pasowaloby dopisac IP routera. -s 0/0 jest faktycznie zbedne, tak samo jak -d 0/0, bo to sa wartosci domyslne. Faktycznie przekierowanie ma byc aktywne z kazdego ip, a do kazdego nie trzeba dopisywac, bo skoro trafilo do routera przez interfejs zewnetrzny, to ma byc przekierowane. Dopisywanie ip nie dosc, ze nie jest do niczego potrzebne, to jeszcze komplikuje sprawe ludziom, ktorzy maja zmienne ip.

Autor:	..::Baru::.. [ czwartek, 16 lutego 2006, 13:53 ]
Tytuł:
Tak mam standardowy firewall i wewnatrz chodzi mi polaczenie ale na zewnatrz nie bardzo nie mam /etc/iptables/iptables.rules

Autor:	tasiorek [ czwartek, 16 lutego 2006, 16:56 ]
Tytuł:
Odezwij sie na gg. EDIT: Problem rozwiazany- literowka.

Autor:	..::Baru::.. [ piątek, 17 lutego 2006, 21:22 ]
Tytuł:
Dzieki Wielkie Pozdrawiam

Autor:	SOLARIS [ czwartek, 2 marca 2006, 17:25 ]
Tytuł:
Czy ktoś wie z czym to zjeść... mam gracza w sieci i prosił mnie o przekierowanie portów, poniżej zamieszczem to co zwróciła mi konsola mam najnowsze NND, mrtg i niceshapera, firewall standardowy po instalacj. [root@SOLARIS piast]# iptables -I FORWARD -p tcp -d 192.168.1.13 --dport 2234 -j ACCEPT [root@SOLARIS piast]# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dpotr 2234 -j DNAT --to 192.168.1.13 Warning: wierd character in interface `--dpotr' (No aliases, :, ! or ). Bad argument `2234' Try `iptables -h' or 'iptables --help' for more information. [root@SOLARIS piast]# iptables -I FORWARD -p tcp -d 192.168.1.13 --dport 47624 -j ACCEPT [root@SOLARIS piast]# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dpotr 47624 -j DNAT --to 192.168.1.13 Warning: wierd character in interface `--dpotr' (No aliases, :, ! or ). Bad argument `47624' Try `iptables -h' or 'iptables --help' for more information. [root@SOLARIS piast]#

Autor:	blackangel [ czwartek, 2 marca 2006, 17:41 ]
Tytuł:
NIE --dpotr tylko --dport

Autor:	SOLARIS [ czwartek, 2 marca 2006, 19:21 ]
Tytuł:
Wpisałem jak poradziłeś ale: [root@SOLARIS piast]# iptables -I FORWARD -p udp -d 192.168.1.13 --dport 2234 -j ACCEPT [root@SOLARIS piast]# iptables -t nat -A PREROUTING -p udp -i $EXTIF --dport 2234 -j DNAT --to 192.168.1.13 Warning: wierd character in interface `--dport' (No aliases, :, ! or ). Bad argument `2234' Try `iptables -h' or 'iptables --help' for more information. [root@SOLARIS piast]# zmieniłem jeszcze tylko tcp na udp i dalej ten sam komunikat Może brakuje jakiegos pliku albo katalogu, w /etc/iptables/ mam dwa pliki: empty.rules z zawartością: # Empty iptables rule file filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT firewall z zawartością: #!/bin/sh # firewall 0.1-2004.12.27 Zciech (poprawka w lini 113 i 49 - macieks) # # W podstawowej wersji caly ruch z inerfejsow wewnetrznych jest dopuszczony i maskowany # ruch z internetu zabroniony poza pakietami "powracajacymi" juz nawiazanych polaczen # i polaczen na strone www (port 80 tcp) oraz pingi 1/s . /etc/rc.conf . /etc/rc.d/functions i=`which iptables` # Zmienne pobierane z rc.conf # EXTIF="ppp0" # Interfejs do inetu # CONNECTION="neorj" # Rodzaj polaczenia # NETWORK=1 # Wlaczenie maskarady case $1 in start) if [ -e /proc/sys/net/ipv4/tcp_ecn ];then echo 0 > /proc/sys/net/ipv4/tcp_ecn fi echo 1 > /proc/sys/net/ipv4/ip_forward if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then echo 1 > /proc/sys/net/ipv4/tcp_syncookies fi for f in /proc/sys/net/ipv4/conf//rp_filter; do echo 1 > $f done $i -F $i -F -t nat $i -P INPUT DROP $i -P FORWARD DROP $i -P OUTPUT ACCEPT # interfejs lo $i -A INPUT -i lo -j ACCEPT $i -A FORWARD -o lo -j ACCEPT # Neostrada zmiana MTU #if [ $CONNECTION = "neorj" -o $CONNECTION = "neosagem" -o $CONNECTION = "neothomson" ];then if [ "$CONNECTION" = "neorj" -o "$CONNECTION" = "neosagem" ];then $i -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu fi # Blaster i Saser $i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP $i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP # Odrzucamy z komunikatem ICMP Port Unreachable polaczenia # na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC) # Jesli udostepniasz te uslugi zaplotkuj (#) odpowiedne linie # zaplotkuj jesli nie chcesz udostepniac serwisu ident do inetu if [ "$IDENT" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 113 -j ACCEPT else $i -A INPUT -p tcp --dst 0/0 --dport 113 -j REJECT --reject-with icmp-port-unreachable fi $i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable # zaplotkuj jesli nie chcesz udostepniac serwisu http do inetu if [ "$WWW" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT fi # zaplotkuj jesli nie chcesz udostepniac serwisu https do inetu if [ "$HTTPS" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 443 -j ACCEPT fi # zaplotkuj jesli nie chcesz udostepniac serwisu ftp do inetu if [ "$FTP" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 20 -j ACCEPT $i -A INPUT -p tcp -i $EXTIF --dport 21 -j ACCEPT fi # zaplotkuj jesli nie chcesz udostepniac poczty do inetu if [ "$MAIL" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 110 -j ACCEPT $i -A INPUT -p tcp -i $EXTIF --dport 25 -j ACCEPT fi # zaplotkuj jesli nie chcesz udostepniac SSH do inetu if [ "$SSH" = "1" ]; then PORT_SSH=`grep ^Port /etc/ssh/sshd_config\| cut -f 2 -d " "` [ -z $PORT_SSH ] && PORT_SSH=22 $i -A INPUT -p tcp -i $EXTIF --dport $PORT_SSH -j ACCEPT fi # zaplotkuj jesli nie chcesz udostepniac serwera IMAP do inetu if [ "$IMAP" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 143 -j ACCEPT $i -A INPUT -p udp -i $EXTIF --dport 143 -j ACCEPT fi # zaplotkuj jesli nie chcesz udostepniac serwera IMAPS do inetu if [ "$IMAPS" = "1" ]; then $i -A INPUT -p tcp -i $EXTIF --dport 993 -j ACCEPT $i -A INPUT -p udp -i $EXTIF --dport 993 -j ACCEPT fi # pingi pozwalamy $i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy $i -A INPUT -i ! $EXTIF -j ACCEPT $i -A FORWARD -i ! $EXTIF -j ACCEPT # i maskujemy if [ "$NETWORK" = "1" ]; then $i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE fi # Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych polaczen $i -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED $i -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED wynik ;; stop) $i -F INPUT $i -F FORWARD $i -F OUTPUT $i -P INPUT DROP $i -P FORWARD DROP $i -P OUTPUT DROP echo 0 > /proc/sys/net/ipv4/ip_forward wyni k ;; esac

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/