Iptables Fedora 10

szczepanb · Czerwiec 1, 2009

Witam serdecznie.

Jestem szczesliwym uzytkownikiem fedory 10...

Uzylem systemu jako bramy do internetu. W zwiazku z tym, ze na serwerze dziala jeszcze serwer www oraz ze w sieci lokalnej posiadam duzo urzadzen radiowych chcialbym uzyskac mozliwosc dostepu do nich zza serwera czyli internetu. Np. urzadzenie ktore mam na adresie 192.168.100.2 port 80, chcialbym przekierowac na adres publiczny na port 8002

Tutaj potrzebuje przekierowania portow.

Niestety nie mam zielonego pojecia jak tego dokonac.

Ponizej przedstawiam swoj iptables.

---
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
:adresOK - [0:0]
:OUTPUT ACCEPT [0:0]

-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:

-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT

-A OUTPUT -p tcp -m state -m multiport --state NEW -j ACCEPT  --destination-port 135,137,138,139,445
-A OUTPUT -p udp -m state -m multiport --state NEW -j ACCEPT  --destination-port 135,137,138,139,445,111,609,632
-A RH-Lokkit-0-50-INPUT -p tcp -m state -m multiport --state NEW -j ACCEPT  --destination-port 135,137,138,139,445
-A RH-Lokkit-0-50-INPUT -p udp -m state -m multiport --state NEW -j ACCEPT  --destination-port 135,137,138,139,445

-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 21 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --dport 21 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 20 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --dport 20 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 80 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 10000 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 35307 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 34837 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --dport 61418 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 26577 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 55495 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 50795 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --dport 48967 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 9022 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --dport 9022 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 15785 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --dport 15785 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 0/0 -d 0/0 --dport 8002 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --dport 8002 -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 -d 0/0 --sport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 89.171.233.9 -d 0/0 --sport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 194.204.159.1 -d 0/0 --sport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 194.204.152.34 -d 0/0 --sport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 88.199.133.1 -d 0/0 --sport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -m state --sport 53 --state ESTABLISHED -j ACCEPT
-A RH-Lokkit-0-50-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp ! -i eth0 --dport 53 -j ACCEPT

-A RH-Lokkit-0-50-INPUT -i eth1 -j adresOK
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp -j REJECT  --syn


-A adresOK -m mac -s 192.168.100.101 --mac-source 00:0E:2E:AE:62:E8 -j ACCEPT
-A adresOK -m mac -s 192.168.100.102 --mac-source 00:0E:2E:94:13:51 -j ACCEPT
-A adresOK -m mac -s 192.168.100.103 --mac-source 00:0E:2E:D2:EA:B0 -j ACCEPT
-A adresOK -m mac -s 192.168.100.104 --mac-source 00:0E:2E:B0:D5:28 -j ACCEPT
-A adresOK -m mac -s 192.168.100.105 --mac-source 00:0E:2E:BA:52:09 -j ACCEPT
-A adresOK -m mac -s 192.168.100.106 --mac-source 00:4F:62:0B:14:FD -j ACCEPT
-A adresOK -m mac -s 192.168.100.107 --mac-source 00:4F:62:1B:FE:3B -j ACCEPT
-A adresOK -m mac -s 192.168.100.108 --mac-source 00:4F:62:1D:A8:F3 -j ACCEPT
-A adresOK -m mac -s 192.168.100.109 --mac-source 00:4F:62:1A:E2:AF -j ACCEPT
-A adresOK -m mac -s 192.168.100.110 --mac-source 00:0E:2E:BA:BB:ED -j ACCEPT
-A adresOK -m mac -s 192.168.100.111 --mac-source 00:0E:2E:BA:BB:EB -j ACCEPT
-A adresOK -m mac -s 192.168.100.112 --mac-source 00:30:4F:37:FD:C3 -j ACCEPT
-A adresOK -m mac -s 192.168.100.116 --mac-source 00:0E:2E:6F:49:98 -j ACCEPT
-A adresOK -m mac -s 192.168.100.117 --mac-source 00:30:4F:3C:8C:A8 -j ACCEPT
-A adresOK -m mac -s 192.168.100.201 --mac-source 00:0E:2E:D2:E6:61 -j ACCEPT
-A adresOK -m mac -s 192.168.100.119 --mac-source 00:21:5D:64:29:46 -j ACCEPT
-A adresOK -m mac -s 192.168.100.118 --mac-source 00:23:8B:20:4C:EF -j ACCEPT
-A adresOK -m mac -s 192.168.100.120 --mac-source 00:30:4F:4E:E0:65 -j ACCEPT
-A adresOK -m mac -s 192.168.100.121 --mac-source 00:0E:2E:D2:E6:6D -j ACCEPT
-A adresOK -s 192.168.100.0/24 -j DROP


-A adresOK
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT

*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]


-A PREROUTING -s 192.168.100.100 -j MARK --set-mark 168100100
-A PREROUTING -s 192.168.100.101 -j MARK --set-mark 168100101
-A PREROUTING -s 192.168.100.102 -j MARK --set-mark 168100102
-A PREROUTING -s 192.168.100.103 -j MARK --set-mark 168100103
-A PREROUTING -s 192.168.100.104 -j MARK --set-mark 168100104
-A PREROUTING -s 192.168.100.105 -j MARK --set-mark 168100105
-A PREROUTING -s 192.168.100.106 -j MARK --set-mark 168100106
-A PREROUTING -s 192.168.100.107 -j MARK --set-mark 168100107
-A PREROUTING -s 192.168.100.108 -j MARK --set-mark 168100108
-A PREROUTING -s 192.168.100.109 -j MARK --set-mark 168100109
-A PREROUTING -s 192.168.100.110 -j MARK --set-mark 168100110
-A PREROUTING -s 192.168.100.111 -j MARK --set-mark 168100111
-A PREROUTING -s 192.168.100.112 -j MARK --set-mark 168100112
-A PREROUTING -s 192.168.100.113 -j MARK --set-mark 168100113
-A PREROUTING -s 192.168.100.114 -j MARK --set-mark 168100114
-A PREROUTING -s 192.168.100.115 -j MARK --set-mark 168100115
-A PREROUTING -s 192.168.100.116 -j MARK --set-mark 168100116
-A PREROUTING -s 192.168.100.117 -j MARK --set-mark 168100117
-A PREROUTING -s 192.168.100.118 -j MARK --set-mark 168100118
-A PREROUTING -s 192.168.100.119 -j MARK --set-mark 168100119
-A PREROUTING -s 192.168.100.120 -j MARK --set-mark 168100120
-A PREROUTING -s 192.168.100.121 -j MARK --set-mark 168100121
-A PREROUTING -s 192.168.100.201 -j MARK --set-mark 168100201


-A PREROUTING -p icmp -j MARK --set-mark 0x1
-A PREROUTING -p icmp -j RETURN
-A PREROUTING -m tos --tos Minimize-Delay -j MARK --set-mark 0x1
-A PREROUTING -m tos --tos Minimize-Delay -j RETURN
-A PREROUTING -m tos --tos Minimize-Cost -j MARK --set-mark 0x5
-A PREROUTING -m tos --tos Minimize-Cost -j RETURN
-A PREROUTING -m tos --tos Maximize-Throughput -j MARK --set-mark 0x6
-A PREROUTING -m tos --tos Maximize-Throughput -j RETURN

COMMIT
# Completed

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]


-A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 89.171.233.10

COMMIT
# Completed

---

To generalnie wszystko.

Serdecznie proszę o pomoc.

Pozdrawiam

------------------------------

Proszę o wykorzystywanie znaczników [code][/code] lub [codebox][/codebox] przy wklejaniu listingów (code - krótkie do 15 linii, codebox - dłuższe niż 15)

Edytowane Czerwiec 2, 2009 przez WalDo

morsik · Czerwiec 1, 2009

http://www.gentoo.org/doc/pl/home-router-howto.xml

Polecam

Razem z gotowymi przykłądami IPTables i innymi przydatnymi rzeczami.

Arabski · Czerwiec 1, 2009

Przekierowanie portów -> http://return.dnsalias.net/wiki/index.php/...nie_port.C3.B3w

szczepanb · Czerwiec 2, 2009

a czy istnieje cień szany na gotową linijkę jaką mam zastosować w swoim iptables?

pozdrawiam

Arabski · Czerwiec 2, 2009

A kliknąłeś w mój link? Coś tam jest niezrozumiale opisane?

lanxiss · Czerwiec 2, 2009

a czy istnieje cień szany na gotową linijkę jaką mam zastosować w swoim iptables?

pozdrawiam

He he, no kolega to ma bezgraniczne zaufanie do ludzi, nigdy bym nie dodał do iptables linijki napisanej przez kogoś innego.

Lepiej pomęcz się sam chwilę z konfiguracją tylko na zdrowie Ci wyjdzie.

szczepanb · Czerwiec 4, 2009

dziękuje za odpowiedź.

poradziłem sobie takim wpisame

-A PREROUTING -p tcp --dport 8002 -i eth0 -j DNAT --to 192.168.100.52:80

Pozdrawiam

ps. w sekcji NAT

Zaloguj się

Iptables Fedora 10

Rekomendowane odpowiedzi

szczepanb

Odnośnik do komentarza

Udostępnij na innych stronach

morsik

Odnośnik do komentarza

Udostępnij na innych stronach

Arabski

Odnośnik do komentarza

Udostępnij na innych stronach

szczepanb

Odnośnik do komentarza

Udostępnij na innych stronach

Arabski

Odnośnik do komentarza

Udostępnij na innych stronach

lanxiss

Odnośnik do komentarza

Udostępnij na innych stronach

szczepanb

Odnośnik do komentarza

Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Przeglądaj

Aktywność

Fedora.pl