Freesco, NND, CDN, EOS

Pewnie kogos wkurze tym postem ale nie moge sobie dac rady.

mam w sieci komputer o adresie 192.168.1.2 i na 80 porcie chodzi sobie apache2, chce przekierowac ten port na serwerze nnd na port powiedzmy 1001 (mam neo512 i sagem'a), wpisalem nastepujaca regulke do /etc/iptables/firewal i nie działa:
$i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
$i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 1001 -j DNAT --to 192.168.1.2

pomocy!!

A jak ma dzialac, skoro zezwalsz na przekierowanie portu 80, a przekierowujesz port 1001?

zmienilem port apacha w kompie w lanie i tez nie dzila

$i -I FORWARD -p tcp -d 192.168.1.2 --dport 81 -j ACCEPT
$i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 81 -j DNAT --to 192.168.1.2

Teraz regulki sa poprawne. Restart firewalla byl? Masz standardowego firewalla? Masz plik /etc/iptables/iptables.rules? Z wewnatrz da sie polaczyc z tym serwerem?

cos ktos kreci bałwan jestem sa ok zabraklo tylko malego drobiazgu

$i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
$i -t nat -A PREROUTING -p tcp -i $EXTIF -s 0/0 -d 0/0 --dport 1001 -j DNAT --to 192.168.1.2:80


-s 0/0 to jest zbedne a tu -d 0/0 pasowaloby dopisac IP routera.
i wtedy faktycznie wszystko co jest kierowanie do routera z netu na porcie 1001 poleci do 192.168.1.2 na port 80

$i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
$i -t nat -A PREROUTING -p tcp -i $EXTIF -d IP/MASKA --dport 1001 -j DNAT --to 192.168.1.2:80

a zeby inne bałwan jestem nie mieszaly
$i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
$i -t nat -I PREROUTING -p tcp -i $EXTIF -d IP/MASKA --dport 1001 -j DNAT --to 192.168.1.2:80

i na final zeby z lanu tez sie dostac
$i -I FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
$i -t nat -I PREROUTING -p tcp -d IP/MASKA --dport 1001 -j DNAT --to 192.168.1.2:80

MASKA=32 albo napisz samo IP

Jestes pewny, ze bez tego nie bedzie dzialac? Nastepnym razem sprawdz, zanim napiszesz.

Sprawdziles? A wiesz po co jest -i $EXTIF? Nic wychodzacego z lanu nie zostanie przekierowane, nie boj zaby.

-s 0/0 jest faktycznie zbedne, tak samo jak -d 0/0, bo to sa wartosci domyslne. Faktycznie przekierowanie ma byc aktywne z kazdego ip, a do kazdego nie trzeba dopisywac, bo skoro trafilo do routera przez interfejs zewnetrzny, to ma byc przekierowane. Dopisywanie ip nie dosc, ze nie jest do niczego potrzebne, to jeszcze komplikuje sprawe ludziom, ktorzy maja zmienne ip.

Tak mam standardowy firewall i wewnatrz chodzi mi polaczenie ale na zewnatrz nie bardzo

nie mam
/etc/iptables/iptables.rules

Odezwij sie na gg.
EDIT: Problem rozwiazany- literowka.

Dzieki Wielkie

Pozdrawiam

Czy ktoś wie z czym to zjeść...

mam gracza w sieci i prosił mnie o przekierowanie portów, poniżej zamieszczem to co zwróciła mi konsola

mam najnowsze NND, mrtg i niceshapera, firewall standardowy po instalacj.

[root@SOLARIS piast]# iptables -I FORWARD -p tcp -d 192.168.1.13 --dport 2234 -j ACCEPT
[root@SOLARIS piast]# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dpotr 2234 -j DNAT --to 192.168.1.13
Warning: wierd character in interface `--dpotr' (No aliases, :, ! or *).
Bad argument `2234'
Try `iptables -h' or 'iptables --help' for more information.
[root@SOLARIS piast]# iptables -I FORWARD -p tcp -d 192.168.1.13 --dport 47624 -j ACCEPT
[root@SOLARIS piast]# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dpotr 47624 -j DNAT --to 192.168.1.13
Warning: wierd character in interface `--dpotr' (No aliases, :, ! or *).
Bad argument `47624'
Try `iptables -h' or 'iptables --help' for more information.
[root@SOLARIS piast]#

NIE --dpotr tylko --dport

Wpisałem jak poradziłeś ale:

[root@SOLARIS piast]# iptables -I FORWARD -p udp -d 192.168.1.13 --dport 2234 -j ACCEPT
[root@SOLARIS piast]# iptables -t nat -A PREROUTING -p udp -i $EXTIF --dport 2234 -j DNAT --to 192.168.1.13
Warning: wierd character in interface `--dport' (No aliases, :, ! or *).
Bad argument `2234'
Try `iptables -h' or 'iptables --help' for more information.
[root@SOLARIS piast]#

zmieniłem jeszcze tylko tcp na udp i dalej ten sam komunikat
Może brakuje jakiegos pliku albo katalogu, w /etc/iptables/ mam dwa pliki:

empty.rules z zawartością:
# Empty iptables rule file
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

*firewall z zawartością:
#!/bin/sh
# firewall 0.1-2004.12.27 Zciech (poprawka w lini 113 i 49 - macieks)
#
# W podstawowej wersji caly ruch z inerfejsow wewnetrznych jest dopuszczony i maskowany
# ruch z internetu zabroniony poza pakietami "powracajacymi" juz nawiazanych polaczen
# i polaczen na strone www (port 80 tcp) oraz pingi 1/s

. /etc/rc.conf
. /etc/rc.d/functions

i=`which iptables`

# Zmienne pobierane z rc.conf
# EXTIF="ppp0" # Interfejs do inetu
# CONNECTION="neorj" # Rodzaj polaczenia
# NETWORK=1 # Wlaczenie maskarady

case $1 in

start)

if [ -e /proc/sys/net/ipv4/tcp_ecn ];then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi

echo 1 > /proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

$i -F
$i -F -t nat

$i -P INPUT DROP
$i -P FORWARD DROP
$i -P OUTPUT ACCEPT

# interfejs lo
$i -A INPUT -i lo -j ACCEPT
$i -A FORWARD -o lo -j ACCEPT

# Neostrada zmiana MTU
#if [ $CONNECTION = "neorj" -o $CONNECTION = "neosagem" -o $CONNECTION = "neothomson" ];then
if [ "$CONNECTION" = "neorj" -o "$CONNECTION" = "neosagem" ];then
$i -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
fi

# Blaster i Saser
$i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP
$i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP

# Odrzucamy z komunikatem ICMP Port Unreachable polaczenia
# na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC)
# Jesli udostepniasz te uslugi zaplotkuj (#) odpowiedne linie
# zaplotkuj jesli nie chcesz udostepniac serwisu ident do inetu
if [ "$IDENT" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 113 -j ACCEPT
else
$i -A INPUT -p tcp --dst 0/0 --dport 113 -j REJECT --reject-with icmp-port-unreachable
fi
$i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable

# zaplotkuj jesli nie chcesz udostepniac serwisu http do inetu
if [ "$WWW" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT
fi

# zaplotkuj jesli nie chcesz udostepniac serwisu https do inetu
if [ "$HTTPS" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 443 -j ACCEPT
fi

# zaplotkuj jesli nie chcesz udostepniac serwisu ftp do inetu
if [ "$FTP" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 20 -j ACCEPT
$i -A INPUT -p tcp -i $EXTIF --dport 21 -j ACCEPT
fi

# zaplotkuj jesli nie chcesz udostepniac poczty do inetu
if [ "$MAIL" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 110 -j ACCEPT
$i -A INPUT -p tcp -i $EXTIF --dport 25 -j ACCEPT
fi

# zaplotkuj jesli nie chcesz udostepniac SSH do inetu
if [ "$SSH" = "1" ]; then
PORT_SSH=`grep ^Port /etc/ssh/sshd_config| cut -f 2 -d " "`
[ -z $PORT_SSH ] && PORT_SSH=22
$i -A INPUT -p tcp -i $EXTIF --dport $PORT_SSH -j ACCEPT
fi

# zaplotkuj jesli nie chcesz udostepniac serwera IMAP do inetu
if [ "$IMAP" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 143 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --dport 143 -j ACCEPT
fi

# zaplotkuj jesli nie chcesz udostepniac serwera IMAPS do inetu
if [ "$IMAPS" = "1" ]; then
$i -A INPUT -p tcp -i $EXTIF --dport 993 -j ACCEPT
$i -A INPUT -p udp -i $EXTIF --dport 993 -j ACCEPT
fi


# pingi pozwalamy
$i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec

# Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy
$i -A INPUT -i ! $EXTIF -j ACCEPT
$i -A FORWARD -i ! $EXTIF -j ACCEPT
# i maskujemy
if [ "$NETWORK" = "1" ]; then
$i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
fi

# Zezwalamy na wszystko co odbywa sie w ramach juz dozwolonych polaczen
$i -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$i -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
wynik
;;
stop)
$i -F INPUT
$i -F FORWARD
$i -F OUTPUT

$i -P INPUT DROP
$i -P FORWARD DROP
$i -P OUTPUT DROP
echo 0 > /proc/sys/net/ipv4/ip_forward
wyni
k
;;
esac