Masquarada I Porty

[lszk]

Gdy przekieruje jakiś port (lub ip), to na serwie przestają działać m. in. ftp, ssh, amule dostaje zadyszki, ale apache działa dobrze (oraz te porty/ip na danym kompie). Czyli pewnie będzie to wina złego wpisu w configu (a może zła kolejność). Ja jednak się (JESZCZE) w tym lekko gubie.

Jakby ktoś mógł przejrzeć ten config i napisać, czy widzi tam jakieś błędy (coś poprawić, dodać, zmienić) oraz jak (gdzie) dopisać te regułki do portów, aby all chodziło to będe wdzięczny

 

Pliczek jest tutaj

 

 

Na forum czytałem o masq. i przekierowaniach, ale jutro poczytam więcej Co nie znaczy, że sobie pewnie z tym sam poradze

[ati]

Coś namieszałeś w tym firewallu

 

echo "Blokowanie adresow IP"
    for ADDRDENY in `awk '{print$1}' /etc/ratwall.d/ipdeny`
    do
    
    iptables -A FORWARD -s $ADDRDENY -j ACCEPT
    iptables -A FORWARD -d $ADDRDENY -j ACCEPT
    iptables -t nat -A PREROUTING -s $ADDRDENY -p tcp --dport 1:65535 -j DNAT --to-destination 213.17.236.190:80
    #iptables -t nat -A PREROUTING -p tcp -d 213.17.236.154 --dport 21 -j DNAT --to 192.168.0.206
    #iptables -t nat -A PREROUTING -p tcp -d 213.17.236.154 --dport 80 -j DNAT --to 192.168.0.206
    #iptables -t nat -A PREROUTING -p tcp -d 213.17.236.154 --dport 3306 -j DNAT --to 192.168.0.206
    #iptables -t nat -A PREROUTING -p tcp -d 213.17.236.154 --dport 10341 -j DNAT --to 192.168.0.206
    iptables -t nat -A POSTROUTING -s 213.17.236.190 -p tcp --dport 80 -j SNAT --to-source $ADDRDENY:80
    done
    echo "Udostepnianie neta..."

       #iptables -A FORWARD -p tcp --dport 21 -j REJECT
    #iptables -A FORWARD -p udp --dport 21 -j REJECT    

#przekierowanie adresow IP
    #iptables -A POSTROUTING -t nat -s 192.168.0.249 -j SNAT --to-source 213.17.236.154
    #iptables -A PREROUTING -t nat -d 213.17.236.154 -j DNAT --to-destination 192.168.0.249
    #iptables -t nat -A POSTROUTING -s 213.17.236.154 -j SNAT --to-source 213.17.236.154
    #iptables -t nat -A PREROUTING -d 213.17.236.154 -j DNAT --to-destination 213.17.236.154 

co to jest ^^^^^^

 

Jest kilka sekcji wykluczających się nawzajem

 

a do FTP nie wystarczy odblokowanie i przekierowanie jednego portu

 

#** FTP **
    # Akceptujemy pakiety NEW na naszym porcie 21(ftp) tcp. 
    # Oraz dla otworzenia kanalu danych w aktiv port 20 tcp.
    #$IPTABLES -A INPUT  -p tcp --dport 21 -m state --state NEW -j ACCEPT
    #$IPTABLES -A INPUT  -p tcp --dport 20 -m state --state NEW -j ACCEPT

 

Całych adresów IP nie da sie przekierować bo tymsamym gdzie pakiety mają trafiać ???? tylko na 1 adres sieci LAN ?????

[lszk]

Troche późno, ale wracając do tematu.

 

Co do tych portów, że się wykluczają to i owszem, są źle wpisane . Dlatego są zahaszowane

 

Teraz jest tam taki wpis:

 

iptables -t nat -A PREROUTING -p TCP --destination-port 10341 -j DNAT --to-destination 192.168.0.206:10341
    iptables -t nat -A PREROUTING -p UDP --destination-port 10341 -j DNAT --to-destination 192.168.0.206:10341

 

I tak torrent chodzi na nim - ma zielone buźki, więc jest ok.

Ale jeżeli przypisze go do np. apacha, to już nie chodzi Wpisałem sobie na jednym forum adres w postaci http://[ip_serwera]:[port]/[plik].jpg i nic. Podobnie z ftp. Mi nie chodzi, ani na windzie, ani na (_linuxie_ → Linuksie) ORT. Co prawda na windzie w cesarze widać logi, że ktoś się dobija, ale to wszystko

 

Co ciekawe admin próbował połączyć się na ten port z ftp na windzie poprzez ssh z innego serwera i mu się udało :/

 

Czy dla każdego przekierowanego portu powinna być na serwerze linijka w takim stylu:

iptables -A INPUT -p tcp --dport [nr_portu] -j ACCEPT

:?:

[@WalDo]

Czy dla każdego przekierowanego portu powinna być na serwerze linijka w takim stylu:

iptables -A INPUT -p tcp --dport [nr_portu] -j ACCEPT

:?:

Ja temat iptables wciąż jeszcze rozgryzam, ale wydaje mi się, że niestety tak.

Można oczywiście porty listować --dport [nr_portu],[nr_portu],... lub podać zakresy [nr_portu]:[nr_portu].

No i chyba nie robiłbym zwykłego -j ACCEPT tylko logowałbym ruch na sieci choćby do "analizy powłamaniowej" czyli zrobiłbym nowy łańcuch:

iptables -N costamcostam 
iptables -I costamcostam -m limit --limit 15/min  -j LOG --prefix "COSTAM: "
iptables -A INPUT -p tcp --dport [nr_portu] -j costamcostam

Sorry, jeśli coś tu pomyliłem, ale piszę "z głowy", ale od czego Google . Generalnie to dobrze jest poczytać i poustawiać jak trzeba, bo ja np. przez 4 noce z rzędu zostawiłem torrenta do zasysania i dwa razy miałem "gości" - nawet się nie obudziłem jak pukali a sprzęt mi zawiesili i kilka godzin do tyłu byłem. Właśnie kombinuję czy się da i ew. jak się zabezpieczyć, ale przy otwartym porcie torrenta, to chyba będzie ciężko Tym bardziej, że sprzęt zapięty bezpośrednio do sieci. Jakiś router z FW chyba kupię...

 

Pozdr,

W.

[lszk]

Ja temat iptables wciąż jeszcze rozgryzam, ale wydaje mi się, że niestety tak.

Jednak nie

Już się okazało, dlaczego nie działał mi apache i vsftpd. Poprostu w apachu zmieniłem port, ale zapomniałem o nazwie kompa :/ To był ten błąd. Teraz już chodzi :]

Z ftp pewnie jest podobnie, gdyż nie znalazłem w necie, jak w nim można zmienić dany port na inny. Coś tam zmieniłem i na localhoście to chodzi, ale przez sieć nie. Ale to moze jutro zapytam na forum, jeżeli nic już dzisiaj na ten temat nie znajde

 

A co do tej linijki, to admin mi dzisiaj tłumaczył, dlaczego nie musiał mi jej wpisywać do iptables. Poprostu przekierowanie na ten port nie idzie bezpośrednio przez serwer, tylko jakoś naokoło Sorry, że troche zamieszałem, ale też się jeszcze w tym lekko gubie