czerk pisze:
Jak mam sprawdzić ten w ..1.50 i skąd go pobrać ?
Masz sprawdzić, czy komputer pod adresem ...1.50 nie ma firewall'a swojego, który może blokować dostęp.
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| SSH i przekierowanie portów http://forum.freesco.pl/viewtopic.php?f=22&t=13077 |
Strona 1 z 1 |
| Autor: | czerk [ czwartek, 27 lipca 2006, 08:47 ] |
| Tytuł: | SSH i przekierowanie portów |
Muszę się dostać poprzez SSH do kompa o adresie 192.168.1.50 w sieci wewnętrznej. Chciałem przekierować ruch z portu 2222 serwera na port 22 tego kompa. Używam firewalla by Zciech, więc dodałem taki wpis w pliku /etc/iptables/firewall: $i -I FORWARD -p tcp -d 192.168.1.50 --dport 22 -j ACCEPT $i -t nat -A PREROUTING -p tcp -i $EXTIF --dport 2222 -j DNAT --to 192.168.1.50:22 No i kicha. Myślę że problem tkwi w tym, że firewall przepuszcza tylko pakiety zainicjowane z sieci wewnętrznej. W pliku firewall są dwie linijki które świadcza o taki właśnie podejściu (tak mi się przynajmnej wydaje). $i -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED $i -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED Jaki wpis dodać, i w którym miejscu, aby serwer nasłuchiwał na porcie 2222 i przepuszczał nowonawiązywane połączenia z tego portu na port 22 pomputera 192.168.1.50 ? |
|
| Autor: | zciech [ czwartek, 27 lipca 2006, 10:50 ] |
| Tytuł: | |
1. mozesz sie lgowac tylko z sieci dolaczonej do EXTIF (internetu); 2. reguly sa dobre nic wiecej niepotrzeba; 3. sprawdz firewall w ..1.50. |
|
| Autor: | czerk [ czwartek, 27 lipca 2006, 11:19 ] |
| Tytuł: | |
Wiem że mogę sie logować jedynie z sieci podłączonej do $EXTIF i tak też to właśnie sprawdzałem. Bez problemy loguję się w sieci wewnętrznej na 192.168.1.50 i port 22. Natomiast logowanie z internetu na adres zewnętrzny bramki i port 2222 kończy się informacją time out. Czy jesteś pewien że nie powinno gdzieś być coś w rodzaju: $i -A FORWARD -p tcp -d 192.168.1.50 --dport 22 -m state --stata ESTABLISHED,RELATED,NEW -j ACCEPT Chociaż wpisałem powyższą linijkę zaraz po przekierowaniu portów i nic to nie dało. Używam Twojego firewall 0.1-2004.12.27. Jak mam sprawdzić ten w ..1.50 i skąd go pobrać ? |
|
| Autor: | adi [ czwartek, 27 lipca 2006, 11:58 ] |
| Tytuł: | |
czerk pisze: Jak mam sprawdzić ten w ..1.50 i skąd go pobrać ?
Masz sprawdzić, czy komputer pod adresem ...1.50 nie ma firewall'a swojego, który może blokować dostęp.
|
|
| Autor: | czerk [ czwartek, 27 lipca 2006, 13:02 ] |
| Tytuł: | |
Komputer 192.168.1.50 nie ma firewalla i, jak już pisałem, bez problemu loguję się na nim z sieci wewnętrznej. Tak mi się wydaje, że problem tkwi w regułach firewalla na routerze, a nie w konfiguracji komputera. |
|
| Autor: | adi [ czwartek, 27 lipca 2006, 16:02 ] |
| Tytuł: | |
A sprawdzasz to przekierowanie rzeczywiście z zewnątrz czy z wnętrza tej sieci na adresie zewnętrznym. To drugie rozwiązanie nie działa...
|
|
| Autor: | zciech [ czwartek, 27 lipca 2006, 16:19 ] |
| Tytuł: | |
$i -I FORWARD -p tcp -d 192.168.1.50 --dport 22 -j ACCEPT $i -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to 192.168.1.50:22 Cytuj: Tak mi się wydaje, że problem tkwi w regułach firewalla na routerze,
Błądzisz. Czy komp ..1.50 ma wpisana brame? |
|
| Autor: | adi [ czwartek, 27 lipca 2006, 21:19 ] |
| Tytuł: | |
czerk pisze: ...bez problemu loguję się na nim z sieci wewnętrznej...
Że tak spytam, a po tych wszystkich próbach restartujesz firewall'a za każdym razem? Może po prostu zrestartuj całe NND i potem wpisz dwie regułki, które powyżej sapodał zciech (możesz z palca, tylko zamień $i na iptables) i sprawdź z ZEWNĄTRZ. To napewno działa.
|
|
| Autor: | czerk [ czwartek, 27 lipca 2006, 21:23 ] |
| Tytuł: | |
Sprawdzam to przekierowanie z zewnątrz. Komp ..1.50 jest w mojej sieci blokowej, a przekierowanie sprawdzam z pracy. Komp ..1.50 rzeczywiście nie ma wpisanej bramy, ale wyślałem że nie jest to konieczne bo wszytkie pakiety będą i tak pochodziły z sieci wewnętrznej. Teraz po głębszym zastanowieniu widzę że popełniłem błąd. Adres docelowy ramki będzie adresem ..1.50, bo router zamien ..1.1:2222 na ..1.50:22, ale adres źródła pozostanie bez zmian. Jeżeli adres źródłowy pochodzi z sieci wewnętrznej to wszystko jest ok. Jeżeli jest to adres z poza sieci to rzeczywiście komp ..1.50 musi znać adres bramy żeby wiedzieć gdzie pakiet odesłać. Jutro to przekonfiguruję i sprawdzę. |
|
| Autor: | zciech [ czwartek, 27 lipca 2006, 21:40 ] |
| Tytuł: | |
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.50 --dport 2222 -j MASQUERADE |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|