Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-02-06 18:03:52

  holekns - Użytkownik

holekns
Użytkownik
Zarejestrowany: 2012-02-06

Odblokowanie portu

Witam
Mam problem chce odblokować port 47808 tak aby był widzialny na zewnątrz nie wiem czy dobra regułka.

Kod:

iptables -t nat -I PREROUTING 1 --protocol tcp --destination-port 47808 -j ACCEPT

Offline

 

#2  2012-02-06 18:06:04

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: Odblokowanie portu

Niedobra.


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#3  2012-02-06 18:14:40

  holekns - Użytkownik

holekns
Użytkownik
Zarejestrowany: 2012-02-06

Re: Odblokowanie portu

Przykładowo mam adres IP 86.35.33.44 i chce na nim udostępnić port 47808.
Jaką regułkę w Iptables zastosować aby był widziany na zewnątrz.

Ostatnio edytowany przez holekns (2012-02-06 18:20:27)

Offline

 

#4  2012-02-06 18:24:41

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: Odblokowanie portu

Najpierw pokaż całego firewalla


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#5  2012-02-06 18:41:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Odblokowanie portu

Pokaż wynik:

Kod:

iptables -S 
iptables -t nat -S
iptables -t mangle -S

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2012-02-06 20:33:56

  qlemik - Użytkownik

qlemik
Użytkownik
Zarejestrowany: 2007-11-27

Re: Odblokowanie portu

np. tak:

Kod:

iptables -I INPUT -p TCP -s 0/0 --destination-port 47808 -j ACCEPT
iptables -I INPUT -p TCP -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

klik -> [url]http://iptables.ovh.org/[/url]

Ostatnio edytowany przez qlemik (2012-02-06 20:35:45)

Offline

 

#7  2012-02-06 20:56:33

  stepien86 - Członek DUG

stepien86
Członek DUG
Skąd: Łódź
Zarejestrowany: 2006-03-26

Re: Odblokowanie portu

np tak:

Kod:

iptables -t nat -A PREROUTING -i ethX -p tcp --dport 123456 -j DNAT --to IP_KOMP_W_SIECI

gdzie ethX to interfejs na swiat


manual ponad wszysytko....konsola ponad manual

Debian GNU Linux

Offline

 

#8  2012-02-06 21:07:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Odblokowanie portu

@qlemik i @stepien86
Znacie moze numery do totolotka.

Bo ładnie wróżycie z fusów.
Skąd wiadomo, że chodż o odblokowanie portu na routerze, i przekierowanie na kompa schowanego za nat, a nie odblokowanie portu w łańcuchu INPUT na lokalnej maszynie?

Kazdy z Was pisze "np tak" jeden podaje sposob na INPUT, drugi na NAT, ale żaden nie wie, co tam się w firewallu dzieje.
A żeby regula prawidłowo działała musi być odpowiednio wsadzona w cały konfig firewalla, bo dopiero caly konfig stanowi spójną całość, nie pojedyncza regułka wrzucona choooj wie gdzie.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-02-06 21:11:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2012-02-06 21:39:10

  holekns - Użytkownik

holekns
Użytkownik
Zarejestrowany: 2012-02-06

Re: Odblokowanie portu

Kod:

# czyszczenie starych regul

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

# ustawienie polityki dzialania

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#zezwolenie na port do testow  20071101
iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 514 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p tcp --dport 514 -j ACCEPT
iptables -A INPUT -s 0/0 -d x.x.x.x -p udp --dport 514 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p udp --dport 514 -j ACCEPT

#zezwolenie na testy symbian 20071112
iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 33333 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p tcp --dport 33333 -j ACCEPT
iptables -A INPUT -s 0/0 -d x.x.x.x -p udp --dport 33333 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p udp --dport 33333 -j ACCEPT

# zezwolenie na laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p tcp --dport 22 -j ACCEPT

# dostep dla Iperf
iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 5001 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p tcp --dport 5001 -j ACCEPT
iptables -A INPUT -s 0/0 -d x.x.x.x -p udp --dport 5001 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p udp --dport 5001 -j ACCEPT

#openvpn
iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 1194 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -s 0/0 -d x.x.x.x -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p udp --dport 1194 -j ACCEPT

#ftp
iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p tcp --dport 20:21 -j ACCEPT

#vnc
iptables -A INPUT -s 0/0 -d x.x.x.x -p tcp --dport 5900 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 8x.x.x.x -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -s 0/0 -d x.x.x.x -p udp --dport 5900 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d x.x.x.x -p udp --dport 5900 -j ACCEPT

#wszystkie porty otwarte z locala
iptables -A INPUT -s 0/0 -d 192.168.3.1 -p tcp --dport 10:65500 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.3.1 -p tcp --dport 10:65500 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.3.1 -p udp --dport 10:65500 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.3.1 -p udp --dport 10:65500 -j ACCEPT


# polaczenia nawiazane
 
  #blokowanie portow dla dzialu marketingu i wsparcia
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 10:19 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 23:24 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 26:79 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 81:109 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 111:442 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 444:6968 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 6970:7003 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 7005:7049 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 7051:8079 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 8082:9099 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 9101:30000 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.4.0/24 -p tcp --sport 60000:65535 -j DROP
  #koniec blokowania portow

  #blokowanie portow 
  iptables -I FORWARD -s 0/0 -d 192.168.3.29 -p tcp --sport 10:16376 -j DROP
  iptables -I FORWARD -s 0/0 -d 192.168.3.29 -p tcp --sport 16378:65535 -j DROP
  iptables -I FORWARD -s 0/0 -d 192.168.4.99 -p tcp --sport 16378:65535 -j DROP
  
  #blokowanie portu 25
  #iptables -A FORWARD -p tcp --dport 25 -j DROP
  #iptables -I FORWARD -s 0/0 -d 192.168.3.8 -p tcp --dport 25 -j DROP
  
  #koniec blokowania portow

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p icmp -j ACCEPT

#########################################
#przekierowania portow###################
#########################################

#sklep
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 80 -j DNAT --to 192.168.3.8

#firma i poczta
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 8080 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 8080 -j DNAT --to 192.168.3.8

#myvoip testy
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 8081 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 8081 -j DNAT --to 192.168.3.8

#sklep i poczta ssl
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 443 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 443 -j DNAT --to 192.168.3.8

#viewer
iptables -I FORWARD -p tcp -d 192.168.3.15 --dport 8085 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 8085 -j DNAT --to 192.168.3.15

#asterisk (nie wlaczac bo wywala sklep !?)
#iptables -I FORWARD -p tcp -d 192.168.3.20 --dport 80 -j ACCEPT
#iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 8082 -j DNAT --to 192.168.3.20:80

#poczta pop3
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 110 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 110 -j DNAT --to 192.168.3.8
#poczta imap
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 143 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 143 -j DNAT --to 192.168.3.8
#poczta smtp
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 587 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x--dport 25 -j DNAT --to 192.168.3.8:587
iptables -I FORWARD -p tcp -d 192.168.3.8 --dport 587 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 587 -j DNAT --to 192.168.3.8

iptables -I FORWARD -p tcp --dport 25 --syn -m limit --limit 1/second --limit-burst 5 -j LOG --log-level info --log-prefix "smtp "

#komprez apache
iptables -I FORWARD -p tcp -d 192.168.4.91 --dport 5555 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 5555 -j DNAT --to 192.168.4.91
#komprez ssh
iptables -I FORWARD -p tcp -d 192.168.4.91 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 5566 -j DNAT --to 192.168.4.91:22
#komprez mysql
iptables -I FORWARD -p tcp -d 192.168.4.91 --dport 5577 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 5577 -j DNAT --to 192.168.4.91
#komprez cos
iptables -I FORWARD -p tcp -d 192.168.4.91 --dport 6666 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6666 -j DNAT --to 192.168.4.91

#danilo alix
iptables -I FORWARD -p tcp -d 192.168.3.41 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 5588 -j DNAT --to 192.168.3.41:22

#danilo alix www
iptables -I FORWARD -p tcp -d 192.168.3.41 --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x--dport 5589 -j DNAT --to 192.168.3.41:80

#danilo mikrotik
iptables -I FORWARD -p tcp -d 192.168.3.40 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x--dport 5598 -j DNAT --to 192.168.3.40:22

#danilo mikrotik www
iptables -I FORWARD -p tcp -d 192.168.3.40 --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d x.x.x.x --dport 5599 -j DNAT --to 192.168.3.40:80


# udostepniaie internetu w sieci lokalnej

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.4.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.5.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.6.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.7.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.7.0/24 -j ACCEPT

# forwardowanie vpn
iptables -A FORWARD -i tun+ -j ACCEPT

To jest cały firewall.
Chodzi mi o to że przypisuje urządzeniu stały ip z zewnętrznym adresem IP, maska , brama i to urządzenie jest widoczne na zewnątrz ale port 47808 jest zablokowany

Offline

 

#10  2012-02-06 21:54:33

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: Odblokowanie portu

Z tego co rozumiem masz poza siecią lokalną wystawione urządzenie z adresem 1.2.3.4 i z sieci lokalnej chcesz się do niego dostać na port 47808 ?


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#11  2012-02-06 21:57:29

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Odblokowanie portu

Skąd żes wytrzasnął takiego firewalla?

To tak dziala na prawdę?

Bo jak domyślna polityka OUTPUT jest na ACCEPT, to po co te wszystkie reguły pozwalające na OUTPUT na poszczególnych portach?

Jeśli działa dostęp do ssh, to możesz tam  (w tym miejscu) dodać zezwolenie na inny port tak samo, jak na port ssh.
Po prostu kopiujesz regułkę i dajesz w niej inny numer portu.

Jeśli to tajemnicze urządzenie jest za natem, i ma adres sieci prywatnej np 192.168.x.x - to wtedy dajesz przekierowanie NAT
Czyli np:

Kod:

iptables -t nat -I PREROUTING -i eth0 -d 195.4.5.6 -p tcp --dport 47080 -j DNAT --to-destination 192.168.55.7:4569

Sznurek: http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables/akcje#DNAT

Tu masz inne przyklady akcji: http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables

To by bylo na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-02-06 21:59:44)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2012-02-06 22:00:30

  holekns - Użytkownik

holekns
Użytkownik
Zarejestrowany: 2012-02-06

Re: Odblokowanie portu

Nie mam urządzenie w sieci lokalnej a chce je wyrzucić na zewnątrz .
urządzenie wew ma
192.168.3.211
255.255.255.0
192.168.3.1
a chce aby było widzialne na np
83.34.55.99
tylko mam zablokowany port 47808 a to urządzenie działa na tym porcie .
wewnątrz sieci działa ale na zewnątrz nie .

Offline

 

#13  2012-02-06 22:10:43

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: Odblokowanie portu

@Jacekalex: bo tam pewnie miała być polityka na DROP ustawiona, ale ktoś zapomniał zmienić ;-)

[quote=holekns]Nie mam urządzenie w sieci lokalnej a chce je wyrzucić na zewnątrz .
urządzenie wew ma
192.168.3.211
255.255.255.0
192.168.3.1
a chce aby było widzialne na np
83.34.55.99
tylko mam zablokowany port 47808 a to urządzenie działa na tym porcie .
wewnątrz sieci działa ale na zewnątrz nie .[/quote]
iptables -A INPUT -p tcp -m state --state NEW --dport 47808 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.3.211 --dport 47808 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 47808 -j DNAT --to 192.168.3.211:47808

A gdzie wstawić ... to zadanie domowe ;-)


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#14  2012-02-06 22:18:04

  holekns - Użytkownik

holekns
Użytkownik
Zarejestrowany: 2012-02-06

Re: Odblokowanie portu

ok super dziękuje zabieram się do knucia :)

Offline

 

#15  2012-02-07 06:04:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Odblokowanie portu

[quote=pasqdnik]@Jacekalex: bo tam pewnie miała być polityka na DROP ustawiona, ale ktoś zapomniał zmienić ;-)

[quote=holekns]Nie mam urządzenie w sieci lokalnej a chce je wyrzucić na zewnątrz .
urządzenie wew ma
192.168.3.211
255.255.255.0
192.168.3.1
a chce aby było widzialne na np
83.34.55.99
tylko mam zablokowany port 47808 a to urządzenie działa na tym porcie .
wewnątrz sieci działa ale na zewnątrz nie .[/quote]
iptables -A INPUT -p tcp -m state --state NEW --dport 47808 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.3.211 --dport 47808 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 47808 -j DNAT --to 192.168.3.211:47808

A gdzie wstawić ... to zadanie domowe ;-)[/quote]
Po co ten INPUT otwarty na porcie 47808?

Przeciez nat działa po tablicach raw i mangle, ale w ogóle omija tablicę filter INPUT , która dotyczy procesów lokalnych.

Kod:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 47808 -j DNAT --to-destination 192.168.3.211:47808
iptables -A FORWARD -p tcp -d 192.168.3.211 --dport 47808 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.3.211 -p tcp -o eth0 --sport 47808 -j SNAT --to-source 83.34.55.99:47808

Tyle powinno wystarczyć, w necie to tajemnicze urządzenie (które nie ma nazwy ani jawnego przeznaczenia) będzie widoczne na adresie: 83.34.55.99:47808.

RTFM dla wszystkich :D
http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf
http://jacekalex.sh.dug.net.pl/iptables_routing.pdf
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-02-07 06:26:39)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#16  2012-02-07 07:40:26

  pasqdnik - Pijak ;-P

pasqdnik
Pijak ;-P
Skąd: Wrocław
Zarejestrowany: 2006-03-06

Re: Odblokowanie portu

[quote=Jacekalex][..]
Po co ten INPUT otwarty na porcie 47808?
[..][/quote]
Na wirtualnych maszynach bez tego nie chciało mi ruszyć ... Nie wiem dlaczego i nie chciało mi się drążyć tematu.

Ostatnio edytowany przez pasqdnik (2012-02-07 07:42:17)


Dum spiro - spero ...
pozdrawiam, pasqdnik

Offline

 

#17  2012-02-07 07:55:56

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Odblokowanie portu

[quote=pasqdnik][quote=Jacekalex][..]
Po co ten INPUT otwarty na porcie 47808?
[..][/quote]
Na wirtualnych maszynach bez tego nie chciało mi ruszyć ... Nie wiem dlaczego i nie chciało mi się drążyć tematu.[/quote]
Ale tutaj chyba nie chodzi o maszyny wirtualne, bo FORWARD i NAT omijają łańcuch INPUT tablicy filter.

Filter INPUT i OUTPUT są tylko dla lokalnych procesów.
Widać to tutaj: http://jacekalex.sh.dug.net.pl/iptables_routing.pdf

Natomiast na Vboxach i innych ustrojstwach wszystko zależy, jak ustawisz sieć w danej maszynie wirtualnej, np domyślny dla Vboxa nat nie ma nic wspólnego z natem w iptables.

To zupełnie inna bajka.

Ostatnio edytowany przez Jacekalex (2012-12-15 15:14:21)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2012-12-15 13:56:02

  pietrek - Użytkownik

pietrek
Użytkownik
Zarejestrowany: 2010-11-11

Re: Odblokowanie portu

Koledzy i koleżanki powiedzcie jak prawidłowo odblokować porty na połączenia FTP pasywne i aktywne. Po lokalu jest ok. Z zewnątrz nie działa.

Czytam i czytam ale nic mi nie wychodzi.

Chodzi o to ze komp z FTP jest za routerem na routerze są przekierowane porty natomiast gdy się łączę z adresem FTP nie pobiera mi zawartości. Serwer FTP mam skonfigurowany na port 77.

odpowiedz na powyzsze komendy:

Kod:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -d 192.168.1.3/32 -p tcp -m tcp --dport 77 -j ACCEPT

Kod:

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -i eth0 -p tcp -m tcp --dport 77 -j DNAT --to-destination 192.168.1.3:77
-A PREROUTING -i eth0 -p tcp -m tcp --dport 77 -j DNAT --to-destination 192.168.1.3:77

Kod:

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT

Proszę o pomoc.

Ostatnio edytowany przez pietrek (2012-12-15 14:33:01)

Offline

 

#19  2012-12-15 14:42:40

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Odblokowanie portu

Z serwerem ftp za natem na routerze możesz sobie w łeb strzelić co najwyżej.

Jak potrzebujesz prywatny dostęp, to weź ssh - ten pracuje na 1 (słownie jednym) porcie komunikacyjnym), który przekierowujesz na routerze na kompa w LANie.

Serwer ftp się wystawia na publicznym adresie IP, chyba, ze masz router np z DDWRT lub innego Linuxa , to tam możesz kombinować z modułem conntrac-ftp-helper, który jest napisany po to, żeby jakoś ogarnąć tak pojebaną usługę jak ftp.

Wzglednie, możesz zrobić DMZ w routerze, i przekierować na kompa wszystko powyżej portu 1024 i dodatkowo porty 20 i 21, wzglednie ustawić na sztywno zakres portów pasywnych w konfiguracji serwera ftp, i cały ten zakres przekierowywać.

Ale osobiście nigdy bym sobie tak życia nie utrudniał.
W ssh masz protokół transferu plików sftp (to integralna część usługi ssh), obsługuje ten protokół m.in Filezilla i WinSCP - na Widnows, na Linuxie czy*BSD też Filezilla, Rsync i Sshfs , generalnie działa, łatwiej go zabezpieczyć, i jest 50 razy sprawniejszy i bezpieczniejszy od ftp.


Sznurki:
http://pl.wikipedia.org/wiki/File_Transfer_Protocol
http://pl.wikipedia.org/wiki/OpenSSH
http://pl.wikipedia.org/wiki/SFTP

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-12-15 15:10:17)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00008 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00127 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.12.34.209' WHERE u.id=1
0.00061 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.12.34.209', 1733365054)
0.00041 SELECT * FROM punbb_online WHERE logged<1733364754
0.00043 SELECT topic_id FROM punbb_posts WHERE id=193526
0.00007 SELECT id FROM punbb_posts WHERE topic_id=20599 ORDER BY posted
0.00028 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20599 AND t.moved_to IS NULL
0.00022 SELECT search_for, replace_with FROM punbb_censoring
0.00107 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20599 ORDER BY p.id LIMIT 0,25
0.00100 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20599
Total query time: 0.00549 s