Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-07-03 16:03:36
matiss - Użytkownik
- matiss
- Użytkownik
- Zarejestrowany: 2013-07-03
Problem z IPTABLES
Na początek witam wszystkich,
mam następujący problem, zrobiłem sobie wirtualne środowisko:
- Router (Debian) ma 6 interfejsów (nas będą interesować 3), na eth0 jest Internet, na eth1 jest LAN, na eth5 DMZ
- komputer (XP) - podłączony do eth1
- serwer www i dns (Debian) - podłączony do eth5
Na routerze mam ustawione przekierowanie, jeśli coś przyjdzie na jego "publiczny adres" (eth0) robi przekierowanie na 80 i 53 do serwera w DMZ. O ile z zewnątrz (od strony eth0) mogę się dostać po publicznym adresie, o tyle XP, może dostać się do www tylko po jego wewnętrznym adresie (tym którym jest podłączony do eth5), czyli krótko mówiąc, przekierowanie działa z zewnątrz, ale nie działa z Lanu, i nie wiem dlaczego :/
Dołączam listing mojej zapory:
Kod:
#!/bin/bash echo "1" >/proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -F -t nat iptables -X -t nat ###DOMYSLNE### #iptables -P INPUT DROP iptables -P INPUT ACCEPT iptables -P FORWARD DROP #iptables -P FORWARD ACCEPT ###FIREWALL### #z uwagi na to ze wszystkie sieci powinny miec dostep do tych samych uslug #adres zrodlowy zawiera wszystkie podsieci iptables -A FORWARD -d 10.0.0.0/21 -m state --state ESTABLISHED,RELATED -j ACCEPT ###DOSTEP DO ROUTERA TYLKO PO SSH iptables -A INPUT -d 192.168.111.137 -p tcp --dport 22 -j ACCEPT ####NAT#### iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -d 0/0 -j MASQUERADE #ze wzgledu na brak dostepu do publicznej adresacji powyzsza linijka zostala #stworzona do testow, w srodowisku rzeczywistym nalezy je zakomentowac i odkomentowac ponizsze linie #iptables -t nat -A POSTROUTING -s 10.0.1.0/26 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.2.0/28 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.3.0/25 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.4.0/25 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.5.8/29 -o eth0 -j SNAT --to 88.220.77.193 ###SIECI nie moga miec dostepu do siebie nawzajem, poza www, ftp i dns iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p tcp --dport 80 -j ACCEPT #http iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p udp --dport 53 -j ACCEPT #http iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p tcp --dport 20:21 -j ACCEPT #http ##SIEC GOSCIE iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.4.0/25 -j REJECT iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.5.8/29 -j REJECT ##SIEC PRACOWNICY iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.4.0/25 -j REJECT iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.5.8/29 -j REJECT ##SIEC KONF PARTER iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.4.0/25 -j REJECT iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.5.8/29 -j REJECT ##SIEC KONF PIETRO iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.5.8/29 -j REJECT ##DMZ iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.4.8/25 -j REJECT ###reguly zezwalajace#### iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 443 -j ACCEPT #https iptables -A FORWARD -s 10.0.0.0/21 -p udp --dport 53 -j ACCEPT #dns iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 20:21 -j ACCEPT #ftp iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 25 -j ACCEPT #pop3 iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 110 -j ACCEPT #pop3s iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 25 -j ACCEPT #smtp iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 465 -j ACCEPT #smtps iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 143 -j ACCEPT #imap iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 993 -j ACCEPT #imaps ###REGULY ZEZWALAJACE NA DOSTEP DO USLUG W DMZ iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 80 -j ACCEPT #http iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 80 -j ACCEPT #http iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 20:21 -j ACCEPT #ftp iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 20:21 -j ACCEPT #ftp iptables -A FORWARD -d 10.0.5.12 -p udp --dport 53 -j ACCEPT #dns iptables -A FORWARD -s 10.0.5.12 -p udp --sport 53 -j ACCEPT #dns iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 3389 -j ACCEPT #mstsc iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 3389 -j ACCEPT #mstsc ####PRZEKIEROWANIA#### iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 80 -j DNAT --to-destination 10.0.5.12:80 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 20 -j DNAT --to-destination 10.0.5.12:20 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 21 -j DNAT --to-destination 10.0.5.12:21 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p udp --dport 53 -j DNAT --to-destination 10.0.5.12:53 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 3389 -j DNAT --to-destination 10.0.5.12:3389
Dzięki za pomoc
Offline
#2 2013-07-03 18:07:19
matiss - Użytkownik
- matiss
- Użytkownik
- Zarejestrowany: 2013-07-03
Re: Problem z IPTABLES
Ok nieistotne głupi błąd, niepotrzebnie w przekierowaniach wskazałem interfejs, temat można zamknąć
Offline
#3 2013-07-04 22:12:42
urbinek - 
Użytkownik
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00067 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.163.138' WHERE u.id=1 |
| 0.00066 | UPDATE punbb_online SET logged=1732502514 WHERE ident='3.145.163.138' |
| 0.00043 | SELECT * FROM punbb_online WHERE logged<1732502214 |
| 0.00058 | DELETE FROM punbb_online WHERE ident='3.135.184.136' |
| 0.00079 | DELETE FROM punbb_online WHERE ident='54.36.148.81' |
| 0.00489 | SELECT topic_id FROM punbb_posts WHERE id=236365 |
| 0.00079 | SELECT id FROM punbb_posts WHERE topic_id=23878 ORDER BY posted |
| 0.00062 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=23878 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00072 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=23878 ORDER BY p.id LIMIT 0,25 |
| 0.00087 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=23878 |
| Total query time: 0.01121 s | |