помогите, пожалуйста, с файерволом, m12051, 24-Фев-07, 13:42 [смотреть все]непонятная проблема с файерволом стоящим в d-link dsl-504t не могу открыть порты на вход:-(# iptables -t filter -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED DROP all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere 192.168.1.37 tcp dpt:443 ACCEPT tcp -- anywhere 192.168.1.37 tcp dpt:www ACCEPT tcp -- anywhere 192.168.1.37 tcp dpt:ftp TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS set 1360 DROP all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP icmp -- anywhere anywhere icmp destination-unreachable DROP icmp -- anywhere anywhere state INVALID # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:443 to:192.168.1.37:443 DNAT tcp -- anywhere anywhere tcp dpt:www to:192.168.1.37:80 DNAT tcp -- anywhere anywhere tcp dpt:ftp to:192.168.1.37:21 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination # вроде прописывает он через вебинтерфейс все верно, а на 37 пакеты из инета не приходят, т.е. те, которые отправляются на 80 или 21 порт реального внешнего ip (да на 37 все настроено и в локалке видно)
в чем может быть проблема? |
- помогите, пожалуйста, с файерволом, Mikhail, 22:51 , 24-Фев-07 (1)
Не совсем понятно, что именно надо, и не видно топологии. Предполагается, что внутри сетка 192.168.1/24, внешний интерфейс с "белым" адресом, требуется проброс снаружи внутрь трафика на 80 и 21 порты?Если угадал верно, то - вспоминаем, как обычно, что таблица nat переписывает пакеты, но никак не соотносится с разрешением их пропускать/не пропускать. Для разрешений служит -t filter, а в ней в Chain INPUT нет разрешения для этих пакетов. Еще 5 копеек: policy ACCEPT - вещь на любителя. Лучше бы сделать -P DROP, а перед правилами -j DROP вставить правило -j LOG, на нем будет видно, что доходит до этого правила и будет вырезано следующим DROP.
- помогите, пожалуйста, с файерволом, pavel_simple, 23:15 , 26-Фев-07 (2)
>разрешений служит -t filter, а в ней в Chain INPUT нет Совершенно верно про полиси -- только в данном случае -t filter, а в ней в Chain FORWARD
- помогите, пожалуйста, с файерволом, Mikhail, 12:36 , 27-Фев-07 (3)
Если я правильно ошибаюсь, то сначала соединение образуется на внешний порт роутера, для него это - INPUT. И только потом работает DNAT, FORWARD и пр. Или я не понял топологии.
- помогите, пожалуйста, с файерволом, pavel_simple, 12:44 , 27-Фев-07 (4)
да я и не спорю, естественно сначало инпут, просто с данном случае у человека обычный нат, а в инпуте в данном случае обычно динамическое правило -m conntrack --ctstate RELATED,ESTABLISHED
|