Главная » Форум » Gentoo Linux » Системное администрирование

Научите пожалуйста как пробросить порты

vAsia 20 февраля, 2012 - 13:19

Не могу врубиться в iptables. Помогите пожалуйста выполнить конкретную задачу.

На компе стоит Gentoo и работает роутером. Раздаёт интернет на несколько компов. К самому Gentoo-роутеру нужен доступ из интернета по ssh. И к одному из клиентских компов по rdp.

Параметры сети такие:

Внешний адрес Gentoo 85.113.142.120

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1e:67:31:ec:a1  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6347472 errors:0 dropped:15 overruns:0 frame:0
          TX packets:3930647 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:7779580083 (7.2 GiB)  TX bytes:1313902423 (1.2 GiB)
          Interrupt:19 Memory:c1600000-c1620000 

eth1      Link encap:Ethernet  HWaddr 00:1e:67:31:ec:a0  
          inet addr:192.168.1.103  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3922737 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6200898 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1336975111 (1.2 GiB)  TX bytes:7767397776 (7.2 GiB)
          Interrupt:16 Memory:c1300000-c1320000

Читал роутер ноум гайд но не до конца понял, или может не той командой подключиться пытаюсь ?
Если раньше задавал правило:

iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT

То нужен ли дополнительно проброс портов ?
И если добавляю правило:

# iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ${WAN} -j DNAT --to 192.168.0.***

То правильно ли подключаюсь ?

rdesktop 192.168.0.***:3389
‹ Трансляция 8 потоков для ZoneMinder автостарт pppoe [РЕШЕНО] ›
»

iptables -t nat -A PREROUTING

Автор slepnoga, дата создания 20 февраля, 2012 - 13:27.
 iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport 3389 -j DNAT --to-destination $LOCAL_IP:3389

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

не получается

Автор vAsia, дата создания 20 февраля, 2012 - 13:40.
slepnoga написал(а):
 iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport 3389 -j DNAT --to-destination $LOCAL_IP:3389

Что-то не получается:

localhost # iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport 3389 -j DNAT --to-destination $LOCAL_IP:3389
Bad argument `3389'
Try `iptables -h' or 'iptables --help' for more information.

ООО, тормознул извиняюсь. Сейчас исправлю :) А $EXT_R_IP и $LOCAL_IP это ведь переменные ? Их надо заранее объявлять ? Или можно прочто вместо $EXT_R_IP вписать внешний адрес ?

Забанен

»

Такие темы лучше сразу

Автор md5, дата создания 20 февраля, 2012 - 14:05.

Такие темы лучше сразу удалять с форума. Судя по вопросам в теме можно сделать только два вывода. Либо человек необразованный, либо толстый тролль. В любом случае, как пробросить порты в инете много информации, даже в формате как для девочек-даунов.

»

Если бы я был образованный то

Автор vAsia, дата создания 20 февраля, 2012 - 14:15.

Если бы я был образованный то с такими как ты даже в туалете рядом не сел. Та-что оставь своё мнение при себе или пиши его в своих постах. Ты меня сейчас практически оскорбил. На этом форуме много таких как ты, которые языком болтают зная что за слова отвечать не придётся ?

Забанен

»

vAsia написал(а): ...Ты меня

Автор SysA, дата создания 20 февраля, 2012 - 17:05.
vAsia написал(а):
...Ты меня сейчас практически оскорбил...

А вы это практически заслужили... присоединяюсь к предыдущему оратору...
Если срочно и не хотите читать - вам в "Разовые работы".

»

Всё равно почему то не

Автор vAsia, дата создания 20 февраля, 2012 - 14:49.

Всё равно почему то не получается. Как можно посмотреть в чём дело ?

Забанен

»

( . ) ( . )

Автор Vovike, дата создания 20 февраля, 2012 - 15:11.

Читать до просветления

»

В том то и всё дело что мне

Автор vAsia, дата создания 20 февраля, 2012 - 15:27.

В том то и всё дело что мне надо к завтрашнему дню. Неужели трудно подсказать ?

Забанен

»

( . ) ( . )

Автор Vovike, дата создания 20 февраля, 2012 - 15:37.

Подсказать = Сделать за Вас
SSH + 100$

»

Во первых ssh я и не могу

Автор vAsia, дата создания 20 февраля, 2012 - 15:56.

Во первых ssh я и не могу настроить (если ты не понял). А во вторых я за 100$ воробья в поле загоняю.

Забанен

»

1. Несоответствие внешнего IP

Автор Vovike, дата создания 20 февраля, 2012 - 16:17.

1. Несоответствие внешнего IP и IP eth0 и eth1 в ifconfig. В связи с чем вопрос откуда и каким образом берется внешний IP
8. Для начала вывод команд:
#route -n
#iptables -nv -L
#iptables -t nat -L PREROUTING
#iptables -t nat -L POSTROUTING
#cat /proc/sys/net/ipv4/ip_forward

»

Vovike написал(а): 1.

Автор vAsia, дата создания 20 февраля, 2012 - 16:46.
Vovike написал(а):
1. Несоответствие внешнего IP и IP eth0 и eth1 в ifconfig. В связи с чем вопрос откуда и каким образом берется внешний IP
8. Для начала вывод команд:
#route -n
#iptables -nv -L
#iptables -t nat -L PREROUTING
#iptables -t nat -L POSTROUTING
#cat /proc/sys/net/ipv4/ip_forward

Сервер с Gentoo подключен к интернету через роутер D-Link. Этот роутер и выдаёт серверу адрес. Вывод команд пожалуйста:

localhost ~ # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    1      0        0 eth1
127.0.0.0       127.0.0.1       255.0.0.0       UG    0      0        0 lo
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     1      0        0 eth1

localhost ~ # iptables -nv -L
Chain INPUT (policy ACCEPT 320 packets, 93104 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  870 75697 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     udp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            udp dpt:67 reject-with icmp-port-unreachable
    0     0 REJECT     udp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 reject-with icmp-port-unreachable
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 DROP       tcp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            tcp dpts:0:1023
    0     0 DROP       udp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            udp dpts:0:1023

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   92  9218 DROP       all  --  eth0   *       0.0.0.0/0            192.168.0.0/16      
15582 8665K ACCEPT     all  --  eth0   *       192.168.0.0/16       0.0.0.0/0           
18432   14M ACCEPT     all  --  eth1   *       0.0.0.0/0            192.168.0.0/16      

Chain OUTPUT (policy ACCEPT 726 packets, 125K bytes)
 pkts bytes target     prot opt in     out     source               destination

localhost ~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere

localhost ~ # cat /proc/sys/net/ipv4/ip_forward
1

Забанен

»

( . ) ( . )

Автор Vovike, дата создания 20 февраля, 2012 - 16:59.

Я по прежнему не вижу в конфигах IP 85.113.142.120
Забыли PREROUTING
Зачем маскарадинг?

Лично мне так и непонятно откуда и куда Вы неможете получить доступ и пытаетесь пробросить порты.

Запускайте tcpdump и смотрите что пришло, что ушло, что недошло

»

Vovike написал(а): Я по

Автор vAsia, дата создания 20 февраля, 2012 - 17:32.
Vovike написал(а):
Я по прежнему не вижу в конфигах IP 85.113.142.120
Забыли PREROUTING
Зачем маскарадинг?

Лично мне так и непонятно откуда и куда Вы неможете получить доступ и пытаетесь пробросить порты.

Запускайте tcpdump и смотрите что пришло, что ушло, что недошло

Сейчас попробую объяснить подробнее. 85.113.142.120 это адрес который выдан мне провайдером, таким адресом меня видят в интернете. Кабель с улицы подключен через медиа конвертер к железному роутеру. Роутер подключен к серверу на котором установлен Gentoo. Таким образом Gentoo подключен к интернету (eth1). Адрес с роутера получен динамически. Вторая сетевуха (eth0) воткнута в свич. Из свича сеть расходится на несколько компов. На один из этих компов надо заходить из интернета по rdp. Все мои настройки iptables взяты отсюдаHome Router Guideя ихпросто копипастил. Сейчас повторю вывод консоли без своей самодеятельности.

localhost ~ # iptables -nv -L
Chain INPUT (policy ACCEPT 38 packets, 9742 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  284 23849 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     udp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            udp dpt:67 reject-with icmp-port-unreachable
    0     0 REJECT     udp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 reject-with icmp-port-unreachable
    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 DROP       tcp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            tcp dpts:0:1023
    0     0 DROP       udp  --  !eth0  *       0.0.0.0/0            0.0.0.0/0            udp dpts:0:1023

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   19  1912 DROP       all  --  eth0   *       0.0.0.0/0            192.168.0.0/16      
 3521 2181K ACCEPT     all  --  eth0   *       192.168.0.0/16       0.0.0.0/0           
 4378 3643K ACCEPT     all  --  eth1   *       0.0.0.0/0            192.168.0.0/16      

Chain OUTPUT (policy ACCEPT 222 packets, 59841 bytes)
 pkts bytes target     prot opt in     out     source               destination

localhost ~ # iptables -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

В том же Home Router Guide для проброса портов советуют:

All the port forwarding rules are of the form iptables -t nat -A PREROUTING [-p protocol] --dport [external port on router] -i ${WAN} -j DNAT --to [ip/port to forward to]. Unfortunately, iptables does not accept hostnames when port forwarding. If you are forwarding an external port to the same port on the internal machine, you can omit the destination port.

После того как я выполняю:

# export WAN=eth1
# export LAN=eth0
# iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ${WAN} -j DNAT --to 192.168.0.144

localhost ~ # iptables -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             anywhere             tcp dpt:ms-wbt-server to:192.168.0.144


localhost ~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere

Теперь всё должно быть понятно.

Забанен

»

85.113.142.120 на роутере

Автор izbushka, дата создания 20 февраля, 2012 - 17:35.

85.113.142.120 на роутере (длинке)?
В таком случае это все надо настаивать на нем.

У вас что-то лишнее: либо длинк, либо генту.

»

izbushka

Автор vAsia, дата создания 20 февраля, 2012 - 17:58.
izbushka написал(а):
85.113.142.120 на роутере (длинке)?
В таком случае это все надо настаивать на нем.

У вас что-то лишнее: либо длинк, либо генту.

Gentoo не рутер а сервер. D-Link навязан провайдером и стоял до меня. Когда втыкаю напрямую сервер в медиа конвертер
то получаю ip dns и т.д. Но интернета нет. Надо с провайдером разбираться.

Забанен

»

Все-равно не понятно, какая у

Автор izbushka, дата создания 20 февраля, 2012 - 18:02.

Все-равно не понятно, какая у вас схема?
Интернет->длинк->генту->свитч->локалка?
85.113.142.120 на Длинке? Если схема такая, я бы настроил на длинке DMZ на IP gentoo. И дальше все делать, как тут подсказывали.

»

1 Вытащить кабель из eth1 2

Автор Vovike, дата создания 20 февраля, 2012 - 17:37.

1 Вытащить кабель из eth1
2 Воткнуть его в свич
3 Настроить роутер (D-Link)

»

vAsia написал(а): Внешний

Автор Ukito, дата создания 22 февраля, 2012 - 12:04.
vAsia написал(а):
Внешний адрес Gentoo 85.113.142.120

vAsia написал(а):
Сейчас попробую объяснить подробнее. 85.113.142.120 это адрес который выдан мне провайдером, таким адресом меня видят в интернете. Кабель с улицы подключен через медиа конвертер к железному роутеру.

вась, если ты еще здесь, кто из устройств владеет внешним ип адресом?

»

D-Link рулит :-)

Автор Vovike, дата создания 20 февраля, 2012 - 17:12.

Если есть D-Link зачем роутер на Gentoo?
D-Link может всё что Вы хотите

»

Vovike написал(а): Если есть

Автор vAsia, дата создания 20 февраля, 2012 - 17:59.
Vovike написал(а):
Если есть D-Link зачем роутер на Gentoo?
D-Link может всё что Вы хотите

Gentoo не рутер а сервер, читайте пост выше.

Забанен

»

Мне не жалко 100 баков. Где

Автор slepnoga, дата создания 20 февраля, 2012 - 16:23.

Мне не жалко 100 баков. Где можно посмотреть шоу ? Можешь ли выехать в другие города ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

После того как настрою сеть.

Автор vAsia, дата создания 20 февраля, 2012 - 16:34.

После того как настрою сеть. Незначительные вопросы по поводу гастролей решает мой импрессарио.

Забанен

»

Вам уже подсказали, а вот

Автор _SerEga_, дата создания 20 февраля, 2012 - 15:45.

Вам уже подсказали, а вот разобраться почему у вас не работает 100% рабочее решение - гораздо сложнее.
К тому же недавно тема провешивания портов обсуждалась, там было много разных вариантов
почитайте про ssh с опцией -L . оно не завязано на iptables, что для вас большой плюс.

»

Может не получаться из-за

Автор vAsia, дата создания 20 февраля, 2012 - 16:02.

Может не получаться из-за того что добавляю правило не во время ?

Забанен

»

Там много мест, где могут

Автор _SerEga_, дата создания 20 февраля, 2012 - 16:38.

Там много мест, где могут быть проблемы, поэтому рекомендую ssh -L и поиск аналогичной темы на форуме

»

Без ssh я пока обойдусь, а

Автор vAsia, дата создания 20 февраля, 2012 - 16:49.

Без ssh я пока обойдусь, а вот rdp срочно нужен.

Забанен

»

Просба не кормить тролля и

Автор slepnoga, дата создания 20 февраля, 2012 - 17:10.

Просба не кормить тролля и его имресарио. Все необходимое для настройки в топике дано

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): Просба

Автор vAsia, дата создания 20 февраля, 2012 - 18:01.
slepnoga написал(а):
Просба не кормить тролля и его имресарио. Все необходимое для настройки в топике дано

Круче тебя здесь троля не найти. Не лезь и не мешай.

Забанен

»

A то что ? :)

Автор slepnoga, дата создания 20 февраля, 2012 - 18:50.

A то что ? :)

П.С да, я начал троллить аж в 1-м посте :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

UF

Автор Vovike, дата создания 20 февраля, 2012 - 18:57.

А то он ультрафиолетом посветит

»

Класс, в контексте данного

Автор Com-P, дата создания 20 февраля, 2012 - 19:31.

Класс, в контексте данного поста долго, долго ржал, спасибо!!!

»

Если кругом троли мерещатся,

Автор vAsia, дата создания 20 февраля, 2012 - 19:07.

Если кругом троли мерещатся, может это параноя ?

Забанен

»

А если они не мерещатся ?

Автор slepnoga, дата создания 20 февраля, 2012 - 20:30.

А если они не мерещатся ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

TRACE This target

Автор slepnoga, дата создания 20 февраля, 2012 - 15:49.
 TRACE
       This target marks packets so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules.

       A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for this to be visible.  The packets are logged  with  the  string
       prefix:  "TRACE:  tablename:chainname:type:rulenum  " where type can be "rule" for plain rule, "return" for implicit rule at the end of a
       user defined chain and "policy" for the policy of the built in chains.
       It can only be used in the raw table.

Подсказал 2

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а):

Автор vAsia, дата создания 22 февраля, 2012 - 08:56.
slepnoga написал(а):
 TRACE
       This target marks packets so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules.

       A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for this to be visible.  The packets are logged  with  the  string
       prefix:  "TRACE:  tablename:chainname:type:rulenum  " where type can be "rule" for plain rule, "return" for implicit rule at the end of a
       user defined chain and "policy" for the policy of the built in chains.
       It can only be used in the raw table.

Подсказал 2

Сходи к доктору, к тому с которым по душам разговаривают. И ещё... Ты тут постоянно что-то выпрашиваешь на форуме и похоже тебе никто не даёт. Адрес какой-то предлагаешь и пр. Если ты хочешь по зубам то давай обсудим встречу. Пиши в личку. Только пожалуйста без громких слов.

Забанен

»

Если ты хочешь по зубам то

Автор slepnoga, дата создания 22 февраля, 2012 - 11:26.
 Если ты хочешь по зубам то давай обсудим встречу.

Мой адрес в профиле. Жду. Надеюсь. Но в Воронеж не поеду, особенно к таким админам
В качестве подготовки баню

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Вы уже совсем

Автор SysA, дата создания 22 февраля, 2012 - 13:10.

Вы уже совсем охренели?!!!

Забыли, где находитесь?!

Не надо реагировать на дебилов и засорять форум... и так его уровень уже не очень... :(
Да и модераторам неплохо бы не забывать, для чего они существуют...

»

Я еще в самом начале темы

Автор md5, дата создания 22 февраля, 2012 - 13:58.

Я еще в самом начале темы написал, что не плохо бы её вообще удалить.

»

Да и сам слепнога тоже не

Автор Longman, дата создания 23 февраля, 2012 - 18:19.

Да и сам слепнога тоже не подарок.

OS: Gentoo KDE4
Kernel: x86_64 Linux 4.0.5-gentoo
CPU: Pentium Dual-Core CPU E6500 @ 2.933GHz
GPU: GeForce GT 630/PCIe/SSE2
RAM: 3956MB
Since 2011

»

emerge ferm, ознакомиться с

Автор Aladdin, дата создания 23 февраля, 2012 - 11:21.

emerge ferm, ознакомиться с примерами и не мучать мозг :)

P.S.: Linux - это красная таблетка :-) Windows - синяя...

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".