Freesco, NND, CDN, EOS

http://tasior.iglu.cz/nnd/rc.zewip

witam wszystkich,

mam następujący problem, razem z hx'em (darkiem wszechmogącym ) konfigurowalismy moje nnd, niceshaper, imp_p2p, etc... wszystko zapier... jak należy,
mam problem z dwiema kwestiami, pierwsżą jest thttpd, i co ważniejsza druga to forward.

po kolei:

dzerżawie internet od gościa drogą radiową, 1MB,

(internet) ---wlan ---- (ap:10.0.0.129)---- kabel (router NND : 10.0.0.229 | 192.168.0.1 ) , ----- lan .....

i teraz tak, dostalem zewnetrzny ip 83.18.xx.xx poprzez ten skrypt http://tasior.iglu.cz/nnd/rc.zewip

... pierwszą ważną kwestią jest to że nie dziala forward portów, pogrzebalem troche i oto fakty

stawiam serwer www, na porcie 80 na (192.168.0.1 [czyli u niego 10.0.0.129 ] .. na zewnątrz widać mnie jako 83.18.xx.xx , po przeskanowaniu tego ip z zewnątrz i sprawdzeniu czy dziala, wszystko jest wporządku, czyli
_____
nmap 83.18.xx.xx
80 www open ..
end.
_____
strona uruchamia się


nmap 192.168.0.1
80 www open ..
end.
_____
strona uruchamia się


namp 10.0.0.129
80 www open ..
end.
_____
strona uruchamia się


czyli wszystko jest ok ...

teraz robię tak... zmieniam port thhtpd na np. 81 .. uruchamiam ./thhtpd restart ... [wykonane]

skanuje siec

_____
namp 10.0.0.129
81 www open ..
end.
_____
strona uruchamia się

namp 192.168.0.1
81 www open ..
end.
_____
strona uruchamia się

i z zewnątrz

nmap 83.18.xx.xx
PORT STATE SERVICE
81/tcp filtered hosts2-ns
________
strona nie uruchamia się

, oto moje iptables :

[root@RCNdeamon rc.d]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:auth reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:1080 reject-with icmp-port-unreachable
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT all -- Komp_2 anywhere
ACCEPT all -- Komp_4 anywhere
ACCEPT all -- Komp_5 anywhere
ACCEPT all -- Komp_6 anywhere
ACCEPT all -- Komp_7 anywhere
ACCEPT all -- Komp_8 anywhere
ACCEPT all -- Komp_9 anywhere
ACCEPT all -- Komp_10 anywhere
ACCEPT all -- Komp_11 anywhere
ACCEPT all -- Komp_12 anywhere
ACCEPT all -- Komp_13 anywhere
ACCEPT all -- Komp_20 anywhere
ACCEPT all -- 192.168.0.29 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
DROP tcp -- Komp_2 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_4 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_5 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_6 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_9 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_10 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_11 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_13 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
ACCEPT all -- Komp_2 anywhere
ACCEPT all -- Komp_4 anywhere
ACCEPT all -- Komp_5 anywhere
ACCEPT all -- Komp_6 anywhere
ACCEPT all -- Komp_7 anywhere
ACCEPT all -- Komp_8 anywhere
ACCEPT all -- Komp_9 anywhere
ACCEPT all -- Komp_10 anywhere
ACCEPT all -- Komp_11 anywhere
ACCEPT all -- Komp_12 anywhere
ACCEPT all -- Komp_13 anywhere
ACCEPT all -- Komp_20 anywhere
ACCEPT all -- 192.168.0.29 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@RCNdeamon rc.d]#



... wydaje mi się że tutaj również jest problem z forward...

używam firewall czerwo.. tam jest śliczny skrypt konfigurujący dla debili , i nie dziala

próbowałem wszystkiego... np. w sieci lan jest ap o adresie 192.168.0.4 i otwartym portem 80 , do administracji przez www

doszedlem do wniosku że jeżeli chodzi port 80 na routerze, i nie jest fitrowany (?!?) to bede mógł zrobić przekierowanie do maszyny 192.160.0.4 ..teeeeeeeeeeeeeeeeeeeee .. lipa

po zrobieniu forwardm na wszystkie możliwe sposoby czyli :
#Reguly przekierowywania, użyj skryptu aby modyfikować
0/0 both 0/0:80 192.168.0.4:80
10.0.0.229 both 0/0:80 192.168.0.4:80
83.18.76.107 both 0/0:80 192.168.0.4:80
192.168.0.1 both 0/0:80 192.168.0.4:80
, razem i odzielnie .... niestety nie dziala

iptables wygląda teraz tak :
[root@RCNdeamon rc.d]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
ACCEPT all -- Komp_7 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:auth reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:1080 reject-with icmp-port-unreachable
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT all -- Komp_2 anywhere
ACCEPT all -- Komp_4 anywhere
ACCEPT all -- Komp_5 anywhere
ACCEPT all -- Komp_6 anywhere
ACCEPT all -- Komp_7 anywhere
ACCEPT all -- Komp_8 anywhere
ACCEPT all -- Komp_9 anywhere
ACCEPT all -- Komp_10 anywhere
ACCEPT all -- Komp_11 anywhere
ACCEPT all -- Komp_12 anywhere
ACCEPT all -- Komp_13 anywhere
ACCEPT all -- Komp_20 anywhere
ACCEPT all -- 192.168.0.29 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
DROP tcp -- Komp_2 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_4 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_5 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_6 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_9 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_10 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_11 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_13 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
ACCEPT tcp -- anywhere Komp_3 tcp dpt:www
ACCEPT tcp -- Komp_3 anywhere tcp spt:www
ACCEPT udp -- anywhere Komp_3 udp dpt:www
ACCEPT udp -- Komp_3 anywhere udp spt:www
ACCEPT tcp -- anywhere Komp_3 tcp dpt:www
ACCEPT tcp -- Komp_3 anywhere tcp spt:www
ACCEPT udp -- anywhere Komp_3 udp dpt:www
ACCEPT udp -- Komp_3 anywhere udp spt:www
ACCEPT tcp -- anywhere Komp_3 tcp dpt:www
ACCEPT tcp -- Komp_3 anywhere tcp spt:www
ACCEPT udp -- anywhere Komp_3 udp dpt:www
ACCEPT udp -- Komp_3 anywhere udp spt:www
ACCEPT tcp -- anywhere Komp_3 tcp dpt:www
ACCEPT tcp -- Komp_3 anywhere tcp spt:www
ACCEPT udp -- anywhere Komp_3 udp dpt:www
ACCEPT udp -- Komp_3 anywhere udp spt:www
ACCEPT all -- Komp_2 anywhere
ACCEPT all -- Komp_4 anywhere
ACCEPT all -- Komp_5 anywhere
ACCEPT all -- Komp_6 anywhere
ACCEPT all -- Komp_7 anywhere
ACCEPT all -- Komp_8 anywhere
ACCEPT all -- Komp_9 anywhere
ACCEPT all -- Komp_10 anywhere
ACCEPT all -- Komp_11 anywhere
ACCEPT all -- Komp_12 anywhere
ACCEPT all -- Komp_13 anywhere
ACCEPT all -- Komp_20 anywhere
ACCEPT all -- 192.168.0.29 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@RCNdeamon rc.d]#


...
czy ktoś pomoże mi rozwązać tą łamigłówkę ?!?!?!?!?!?, naprawdę nie mam do tego zdrowia :/
moj gg to 3625368

pzdr i pomocy

Maly edit
wpisz:
iptables -I INPUT -p tcp --dport 81 -j ACCEPT
I zobacz, czy wtedy serwer thttpd na porcie 81 bedzie widoczny spoza sieci.

wygląda to dokładnie tak


(internet)---(serwer z skryptem zew ip) ---wlan ---- (ap:10.0.0.129)---- kabel (router NND : 10.0.0.229 | 192.168.0.1 ) , ----- lan .....

_________________
Pomogłem ? wypij moje zdrowie
Nie polemizuj z idiotą - najpierw sprowadzi Cię do swojego poziomu, a później pobije doświadczeniem.

DZIALA!!! , TERAZ TYLKO TEN FORWARD... CO DALEJ?

_________________
in the name of god.. !

Nie zebym sie pogubil, ale rozumiem ze masz zew ip na swoim NND (nie hx'a) i teraz chcesz przekierowac jakis port do kompa w LANie (np. 192.168.0.2), jesli tak to www.wiki.nnd.freesco.pl

dalej robię gdzieś błąd, próbowałem przez firewalla, prz iptables...
source adres powinienem uzywac 10.0.0.229, czy 83.18.xx.xx (nadany)?!?

iptables -t nat -A PREROUTING -i eth0 -p TCP -d 10.0.0.229 --dport 900 -j REDIRECT --to 192.168.0.4:80

nie dziala

iptables -t nat -A PREROUTING -i eth0 -p TCP -d 83.18.xx.xx--dport 900 -j REDIRECT --to 192.168.0.4:80

nie dziala


iptables -t nat -A PREROUTING -i eth0 -p TCP -d 10.0.0.229 --dport 900 -j DNAT --to 192.168.0.4:80

nie dziala

iptables -t nat -A PREROUTING -i eth0 -p TCP -d 83.18.xx.xx--dport 900 -j DNAT --to 192.168.0.4:80

nie dziala


&^%$&^%$&$#%$#^%$# wrrrr

_________________
in the name of god.. !

Bo nie czytasz dokladnie...
iptables -I FORWARD -p tcp -d 192.168.0.4 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 900 -j DNAT --to 192.168.0.4:80

ufff, nie czytam, bo nie wiem zabradzo gdzie mam czytać??!?! nie lda kazdego iptables to chleb powszedni... nie wiem czy te reguły dodać czy zastosować 'odzienie'
po wklepaniu ich , dalej 900 nie chodzi,

przepraszam za moją niewiedzę, ale gdzies się tego muszę nauczyć, a książki czy wiki, to trochę błądzenie w kółko i tygodnie pracy

:/

_________________
in the name of god.. !

Jesli Twoj eth0 ma ip 10.0.0.229, to te regulki sa poprawne i szczerze mowiac nie mam pomyslu dlaczego to nie dziala.
Za niewiedze nie masz co przepraszac, ale zapalu do nauki to Ty nie masz Wiki nnd wcale nie jest takie obszerne, a jak chcesz poczytac o iptables to zacznij tu: http://szluug.org/pliki/wyklady/2004/28 ... filter.pdf
Sprobuj jeszcze przekierowac port 80 na 192.168.0.4 wedlug opisu stad: http://www.wiki.nnd.freesco.pl/index.ph ... gramie_p2p

czy ja dobrze rozumiem, że uruchamiasz thttpd na porcie 81 a przekierowujesz port 80?

uruchamiam www na porcie 80, ale na innej MASZYNIE ! (192.168.0.4) i na 192.168.0.1 przekierowuje z 81 (1) na 80(4) i lipa, i nie mówcie że tak się nie da zrobić bo na freesco 0.27 i 0.3x , robi się to w 30 sec.

pzdr

_________________
in the name of god.. !

zrobilem, tak jak na wiki

aby nie popierdolić, otworzylem sertwer www na porcie 4343 na komputerze o adresie IP 192.168.0.4 !!!!

a na 192.168.0.1 (router)
wpisalem nastepujące regułki
iptables -I FORWARD -p tcp -d 192.168.0.4 --dport 4343 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4343 -j DNAT --to 192.168.0.4

i dalej liiiiiiiiipaaaaaaaaaaaaaaaa

nie ma przekierowania ani na eth0 (10.0.0.229) ani na eth1(192.168.0.1)

iptables po oberacji wyglada tak
_________________
[root@RCNdeamon maya]# iptables -I FORWARD -p tcp -d 192.168.0.4 --dport 4343 -j ACCEPT
[root@RCNdeamon maya]# iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4343 -j DNAT --to 192.168.0.4
[root@RCNdeamon maya]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
ACCEPT all -- Komp_7 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:auth reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:1080 reject-with icmp-port-unreachable
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT all -- Komp_2 anywhere
ACCEPT all -- Komp_4 anywhere
ACCEPT all -- Komp_5 anywhere
ACCEPT all -- Komp_6 anywhere
ACCEPT all -- Komp_7 anywhere
ACCEPT all -- Komp_8 anywhere
ACCEPT all -- Komp_9 anywhere
ACCEPT all -- Komp_10 anywhere
ACCEPT all -- Komp_11 anywhere
ACCEPT all -- Komp_12 anywhere
ACCEPT all -- Komp_13 anywhere
ACCEPT all -- Komp_20 anywhere
ACCEPT all -- 192.168.0.29 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere Komp_3 tcp dpt:4343
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
DROP tcp -- Komp_2 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_4 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_5 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_6 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_9 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_10 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_11 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
DROP tcp -- Komp_13 anywhere tcp flags:SYN,RST,ACK/SYN #conn/32 > 50
ACCEPT all -- Komp_2 anywhere
ACCEPT all -- Komp_4 anywhere
ACCEPT all -- Komp_5 anywhere
ACCEPT all -- Komp_6 anywhere
ACCEPT all -- Komp_7 anywhere
ACCEPT all -- Komp_8 anywhere
ACCEPT all -- Komp_9 anywhere
ACCEPT all -- Komp_10 anywhere
ACCEPT all -- Komp_11 anywhere
ACCEPT all -- Komp_12 anywhere
ACCEPT all -- Komp_13 anywhere
ACCEPT all -- Komp_20 anywhere
ACCEPT all -- 192.168.0.29 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@RCNdeamon maya]#
_____________________________

oczywisie nie musze dodawac ze w lokalu wpisuje 192.168.0.4:4343 i odpala się strona!

_________________
in the name of god.. !

Wklej no ten twój skrypt do iptables, bo kolejność reguł ma znaczenie.
Poza tym nie wiem jak to ma działać, skoro masz:

Spróbuj też wywalić wszystko co masz w firewallu oprócz masq, ustawić wszystkie polityki na ACCEPT i po POSTROUTING w skrypcie dać:


Pozdrawiam.

dzieki pomocy kilku osób rozwiązałem problem ,wiec sam odpowiadam na swoje pytanie :>

1. każdy komputer do którego robimy przekierowanie, powinien być przepuszczany przez maskarade, czyli musi mieć dostęp do inetu
2. musi mieć ustwioną bramę internetową
3. przekierowanie można zrobić przez kreatora np. w firewall czerwo lub przez iptables, etc.

oto regułki:
iptables -t nat -A PREROUTING -p tcp --dport 900 -j DNAT --to 192.168.0.5:80
iptables -I FORWARD -p tcp -d 192.168.0.5 --dport 80 -j ACCEPT

na tym przykładzie przekierowujemy ruch do komputera w sieci lokalnej 192.168.0.5 na port 80
na zewnątrz będzie nasłuchiwał port 900

czyli : internet ----- 192.168.0.1:900 (firewall)----> 192.168.0.6:80(client)

pozdrawiam

_________________
in the name of god.. !