The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables & банк клиент"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables & банк клиент"  +/
Сообщение от alexcandr (ok) on 28-Июл-11, 16:05 
Всем привет, возникла очередная проблема с iptables...Нужно подружить локальную машину с БК,,
что имеем, Centos с 2 интерфейсами
eth0 - 1.1.1.1 смотрит в мир
eth1 -192.9.100.254 - в локалку
ip банк-клиента 213.195.86.9
есть клиент 192.9.100.55 на ней стоит банк-клиент СПБ, естественно коннекта с банком нет, в руководстве БК написано что должно быть прямое соединение с 213,195,86,9 по 1024 порту,,,
Ну вроде понятно все, нужно пробросить пакеты приходящие на eth0 с IP 213.195.86.9 на 1024 порт на локальный комп 192,9,100,55 и обратно
Что я сделал
Открываю порт на eth0 и перекидываю пакеты на локальную машину
$ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J DNAT --to-destination 213.195.86.9:1024
$ipt -A FPRWARD -i eth0 -p tcp -s 192.9.100.55 -d 213.195.86.9 --dport 1024 -j ACCEPT

Правило это неправильное потому что к банку не подключиться, tcpdump ом проверял, тишина пакеты не идут ни от меня ни ко мне)))
Народ помогите решить проблему
Заранее всем спасибо!!!



Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables & банк клиент"  +/
Сообщение от HanTengry (ok) on 28-Июл-11, 16:47 
>[оверквотинг удален]
> Открываю порт на eth0 и перекидываю пакеты на локальную машину
> $ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT
> $ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J
> DNAT --to-destination 213.195.86.9:1024
> $ipt -A FPRWARD -i eth0 -p tcp -s 192.9.100.55 -d 213.195.86.9 --dport
> 1024 -j ACCEPT
> Правило это неправильное потому что к банку не подключиться, tcpdump ом проверял,
> тишина пакеты не идут ни от меня ни ко мне)))
> Народ помогите решить проблему
> Заранее всем спасибо!!!

http://www.nixp.ru/forum/%D0%9E%D0%B1�...

если ссылка не работает на бери в гугле: "nixp.ru Вход из интернета в компьютер локальной сети"
правда читать там много, но ответ найти можно..

В общем-то у меня работало что то типа этого:
___________________________________________________
*filter

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -d $INT_IP -i $EXT_IFACE -m state --state NEW -p tcp -m tcp --dport $INT_PORT -j ACCEPT

*nat

-A PREROUTING -i $EXT_IFACE -p tcp -m tcp --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT

-A POSTROUTING -s $INT_IP -o $EXT_IFACE -j SNAT --to-source $EXT_IP

где

$EXT_IP - внешний IP-адрес "фаервола" (в твоём случае: 212.155.155.58);

$INT_IP - IP-адрес внутреннего ресурса (к которому требуется организовать доступ);

$EXT_PORT - значение порта, на который будут обращаться пользователи из Интернет;

$INT_PORT - значение порта, который слушает внутренний ресурс и накоторый будут перенаправляться запросы из Интернет;

$EXT_IFACE - имя внешнего сетевого интерфейса (тот, на котором задан IP-адрес 212.155.155.58).

_______________________________

плюс эти корректировки:
____________________________
Если заморачиваться с алиасом, то в моём примере немного изменится правило для цепочки PREROUTING (там надо будет явно указать адрес назначения '-d 212.155.155.58' и убрать упоминание об имени внешнего интерфейса $EXT_IFACE) и цепочке POSTORUTING (убрать упоминание об имени внешнего интерфейса $EXT_IFACE).
_____________________________

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables & банк клиент"  +/
Сообщение от alexcandr (ok) on 28-Июл-11, 16:50 
> если ссылка не работает на бери в гугле: "nixp.ru Вход из интернета
> в компьютер локальной сети"
> правда читать там много, но ответ найти можно..

спс сча изучу...


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "iptables & банк клиент"  +/
Сообщение от artemrts (ok) on 12-Авг-11, 22:36 
>[оверквотинг удален]
> -A PREROUTING -i $EXT_IFACE -p tcp -m tcp --dport $EXT_PORT -j DNAT
> --to-destination $INT_IP:$INT_PORT
> -A POSTROUTING -s $INT_IP -o $EXT_IFACE -j SNAT --to-source $EXT_IP
> где
> $EXT_IP - внешний IP-адрес "фаервола" (в твоём случае: 212.155.155.58);
> $INT_IP - IP-адрес внутреннего ресурса (к которому требуется организовать доступ);
> $EXT_PORT - значение порта, на который будут обращаться пользователи из Интернет;
> $INT_PORT - значение порта, который слушает внутренний ресурс и накоторый будут перенаправляться
> запросы из Интернет;
> $EXT_IFACE - имя внешнего сетевого интерфейса (тот, на котором задан IP-адрес 212.155.155.58).

Я ни в коем случае не хочу разводить демагогию *BSD vs Linux, тут на днях и так развели, что у меня чуть ящик не забился))), но какой ужос этот айпитаблес. Всмысле его синтаксис. Как же все просто и, да!, красиво в PF да и, пожалуй в любом другом BSD-шном фаерволе.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables & банк клиент"  +/
Сообщение от daloman (ok) on 28-Июл-11, 16:59 
>[оверквотинг удален]
> Открываю порт на eth0 и перекидываю пакеты на локальную машину
> $ipt -A IMPUT -i eth0 -p tcp --dport 1024 -j ACCEPT
> $ipt -t nat -A PREROUTING -p tcp -d 192.9.100.254 --dport 1024 -J
> DNAT --to-destination 213.195.86.9:1024
> $ipt -A FPRWARD -i eth0 -p tcp -s 192.9.100.55 -d 213.195.86.9 --dport
> 1024 -j ACCEPT
> Правило это неправильное потому что к банку не подключиться, tcpdump ом проверял,
> тишина пакеты не идут ни от меня ни ко мне)))
> Народ помогите решить проблему
> Заранее всем спасибо!!!

О! Полезнейшая вещь!! https://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "iptables & банк клиент"  +/
Сообщение от alexcandr (ok) on 02-Авг-11, 13:54 
Сделал следующие, эти правила работают, может кому-нибудь пригодятся,,,
Правда слишком много понаписал я))))
где
eth0 - смотрит в мир
eth1 - смотрит в локалку
217.195.86.9 ip банка
213.172.3.19 ip банка
192.9.100.12 ip клиента, на котором стоит банк клиент


$ipt -A INPUT -i $EXTIF -p tcp --dport 1024 -j ACCEPT

$ipt -t nat -A PREROUTING -p tcp -d eth1 --dport 1024 -j DNAT --to-destination 217.195.86.9:1024
$ipt -t nat -A PREROUTING -p tcp -d eth1  --dport 1024 -j DNAT --to-destination 213.172.3.19:1024
$ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 217.195.86.9 --dport 1024 -j ACCEPT
$ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 213.172.3.19 --dport 1024 -j ACCEPT

$ipt -t nat -A POSTROUTING -s 192.9.100.0/24 -o $EXTIF -j SNAT --to внешний IP

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "iptables & банк клиент"  +/
Сообщение от HanTengry (ok) on 12-Авг-11, 06:43 
>[оверквотинг удален]
> $ipt -t nat -A PREROUTING -p tcp -d eth1 --dport 1024 -j
> DNAT --to-destination 217.195.86.9:1024
> $ipt -t nat -A PREROUTING -p tcp -d eth1  --dport 1024
> -j DNAT --to-destination 213.172.3.19:1024
> $ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 217.195.86.9 --dport
> 1024 -j ACCEPT
> $ipt -A FORWARD -i $INTIF -p tcp -s 192.9.100.12 -d 213.172.3.19 --dport
> 1024 -j ACCEPT
> $ipt -t nat -A POSTROUTING -s 192.9.100.0/24 -o $EXTIF -j SNAT --to
> внешний IP

Неужели банк-клиент ограничен одним ip? На ноутбуки не ставите что ли? Мда.. подход правильный :)


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "iptables & банк клиент"  +/
Сообщение от ALex_hha (ok) on 14-Авг-11, 13:19 
> Я ни в коем случае не хочу разводить демагогию *BSD vs Linux, тут на днях и так развели, что у меня чуть ящик не забился))), но какой ужос этот айпитаблес. Всмысле его синтаксис. Как же все просто и, да!, красиво в PF да и, пожалуй в любом другом BSD-шном фаерволе.

привыкнуть надо, а меня наоборот тошнит от ipfw. pf особо не изучал, только в общих целях

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру