- iptables,
 stas, 13:19 , 16-Янв-08 (1)>[оверквотинг удален]
>правильно ли я делаю?
>
>И второй вопрос, хочу разрешить хождение траффика по порту 5190, вот правило
>
>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT
>--dports 25,53,20,21,5190
>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT
>--dports 25,53,20,21,5190
>правильно ли оно?
>Заранее спасибо Не очень понятно: зачем Вы это делаете в цепочке PREROUTING. Такие вещи, по-моему, надо делать в цепочке FORWARD. Разрешаете все что надо, а остальное сбрасывается политикой по умолчанию, либо последним правилом с -j DROP. Прочитайте внимательно руководство по iptables. Там все очень доходчиво написано.
- iptables, kim_kirill, 14:21 , 16-Янв-08 (2)
Вот листинг iptable, подскажите пожалуста что я указал не так, потому что у меня не проходит ничего по портам 5190,20,21# Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p tcp -m tcp -s 10.0.0.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128-3128
-A PREROUTING -s 10.0.0.0/255.255.255.0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,10025
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,445
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 139,3128,12345,20034,27374,31337
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 445,139,3128,12345,20034,27374,31337
-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP
COMMIT
# Completed on Thu Mar 29 08:58:56 2007
# Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007
*mangle
:PREROUTING ACCEPT [28:2938]
:INPUT ACCEPT [28:2938]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:6271]
:POSTROUTING ACCEPT [18:6271]
COMMIT
# Completed on Thu Mar 29 08:58:56 2007
# Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007
*filter
:INPUT ACCEPT [216:21081]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [206:116175] COMMIT
# Completed on Thu Mar 29 08:58:56 2007
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p tcp -m tcp -s 10.0.0.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 10.0.0.0/255.255.255.0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,111,110,113,10000,3306,3128,514,587,631,953,143,10025,443,1723
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 139,12345,443,445,20034,27374,31337
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 22,113,111,10000,3306,3128,514,587,631,953,143,443,1723
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 445,139,12345,20034,27374,31337
-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP
COMMIT
# Completed
- iptables, stas, 16:13 , 16-Янв-08 (3)
>[оверквотинг удален]
>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP
>--dports 139,12345,443,445,20034,27374,31337
>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP
>--dports 22,113,111,10000,3306,3128,514,587,631,953,143,443,1723
>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP
>--dports 445,139,12345,20034,27374,31337
>-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP
>
>COMMIT
># Completed Не очень понятно, что Вы вообще хотите получить. Вы пишите про два интерфейса eth0 и eth1, между тем в конфиге iptables у Вас почему-то указан ppp0.
Еще раз настоятельно Вам рекомендую внимательно прочитать руководство. Глядя на Ваш конфиг, я понимаю, что у Вас полная каша в голове. Критиковать Ваш конфиг не имеет смысла.
Схема настройки может быть, например, такой:
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -m multiport --sport 20,21,5190 -j ACCEPT,
если нужно разрешить хождение пакетов из внутр. сети наружу на порты 20,21,5190 .
Либо:
iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j DROP
Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство.
- iptables, Lt_Flash, 16:14 , 18-Янв-08 (4)
>[оверквотинг удален]
>если нужно разрешить хождение пакетов из внутр. сети наружу на порты 20,21,5190
>.
>Либо:
>iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j
>ACCEPT
>iptables -A FORWARD -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -j
>ACCEPT
>iptables -A FORWARD -j DROP
>Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство.
>Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :)
- НЕнаучный метод тыка :), Andrey Mitrofanov, 19:21 , 18-Янв-08 (5)
>>Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство.
>Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :) Как следствие старой, как мир, ошибки - сначала делать, потом не получать ожидаемого, потом спрашивать, потом читать. Вместо - читать, потом делать, потом получать результат.
|
Версия для распечатки
iptables, 
