Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Проблема с пробросом портов
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Russian
View previous topic :: View next topic  
Author Message
rdn
n00b
n00b


Joined: 02 Sep 2008
Posts: 3

PostPosted: Wed Sep 03, 2008 5:58 am    Post subject: Проблема с пробросом портов Reply with quote

На машине с gentoo ядро 2.6.25 два интерфейса, один в локалку второй в инет.
Пробросил порт 4181 на машину в локалке:

iptables -F
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

export LAN=eth0
export WAN=eth1

iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT

iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

iptables -I FORWARD -i ${LAN} -d 192.168.1.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.1.0/255.255.255.0 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 4181 -i ${WAN} -j DNAT --to 192.168.1.1
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

внешний ip - 191.191.191.191
из инета захожу на 191.191.191.191:4181 - всё нормально
со своей машины в локалке зайти не могу на этот же адрес
инет в локалке работает, прокси нет
где капать?
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Sep 03, 2008 6:12 am    Post subject: Re: Проблема с пробросом портов Reply with quote

rdn wrote:
iptables -t nat -A PREROUTING -p tcp --dport 4181 -i ${WAN} -j DNAT --to 192.168.1.1
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
со своей машины в локалке зайти не могу на этот же адрес

у вас же в правилах редирект и нат только на внешнем интерфейсе, а из локалки вы заходите по внутреннему...
Back to top
View user's profile Send private message
rdn
n00b
n00b


Joined: 02 Sep 2008
Posts: 3

PostPosted: Wed Sep 03, 2008 6:18 am    Post subject: Reply with quote

это да, но я пробывал писать так:

iptables -t nat -A PREROUTING -p tcp -d ${WAN_IP} --dport 4181 -j DNAT --to 192.168.1.1
и
iptables -t nat -A PREROUTING -p tcp -i ${LAN} --dport 4181 -j DNAT --to 192.168.1.1

результат тотже
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Sep 03, 2008 7:53 am    Post subject: Reply with quote

правило в POSTROUTING на внутреннем тоже нужно
что-то типа
Code:

iptables -t nat -A POSTROUTING -o ${LAN} -s 192.168.1.0/24 -d 192.168.1.1 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i ${LAN} --dport 4181 -j DNAT --to 192.168.1.1

ну и правила в FORWARD чтобы только это можно было...
еще возможно будет полезно сделать сисктл-ки
Code:
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.send_redirects=0
Back to top
View user's profile Send private message
rdn
n00b
n00b


Joined: 02 Sep 2008
Posts: 3

PostPosted: Wed Sep 03, 2008 9:00 am    Post subject: Reply with quote

добавил:

iptables -t nat -A POSTROUTING -o ${LAN} -s 192.168.1.0/24 -d 192.168.1.1 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i ${LAN} --dport 4181 -j DNAT --to 192.168.1.1

и закоментарил:

#iptables -I FORWARD -i ${LAN} -d 192.168.1.0/255.255.255.0 -j DROP

заработало! Большое спасибо!
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Russian All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum