Пожалуйста помогите решить задачу, проброс портов для Ubuntu 13.04 на локальный сервер. [Решено]

Сети и интернет

Владимир666 - 26 Ноябрь, 2013 - 15:14

Пожалуйста помогите решить такую задачу:

Есть локальная сеть 15 компьютеров с внутренним диапазонам 10.1.1.1-10.1.1.16
Вся локалка подключена через сервер на Убунту 13.04 с белым внешним айпишником 109.135.155.145 - и внутренним 10.1.1.2 который раздает интернет в локалку.

В самой локалке есть сервер на котором стоит 1 с-ка у него адрес 10.1.1.16 - к нему нужен удаленный доступ через уд. раб. стол.

Что я делал - я решил пробросить порт 3389 , 109.135.155.145 to 10.1.1.16 тоесть с внешнего на внутренний айпишник

1. Из компа в локалке через ssh клиент Putty захожу на 10.1.1.2 логинюсь root ввожу пароль ....

2. Далее команды:

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

sudo iptables -t nat -A PREROUTING -p tcp -d 109.135.155.145 --dport 3389 -j DNAT --to- destination 10.1.1.16:3389

sudo iptables -t nat -A POSTROUTING -p tcp --dst 10.1.1.16 --dport 3389 -j SNAT --to-source 109.135.155.145

Нажимаю энтер.

Далее по уму запускаю удаленный рабочий стол стол ввожу туда 109.135.155.145 и конект но ничего не работает.

Пожалуйста помогите лаймеру что я не так делаю ?

dyug - 26 Ноябрь, 2013 - 16:17

#iptables -t nat -A POSTROUTING -s 192.168.2.55/32 -d 195.128.xx.xx/32 -o eth1 -j SNAT --to-source 85.xxx.xxx.xxx iptables -t nat -A PREROUTING -p tcp -s 195.128.xxx.xxx/32 -d 85.xxx.xxx.xxx --dport 3389 -j DNAT --to-destination 192.168.2.55:3389 iptables -t nat -A POSTROUTING -s 192.168.2.55/32 -d 0/0 -o eth1 -j SNAT --to-source 85.xxx.xxx.xxx
Вот такая у меня система некоторое время работала.
Собственно - первая строчка не обязательна, она и закоменчена. ибо перекрывается третьей.
Во второй строчке - прием пакетов разрешен только с оного адреса. "-s 195.128.xxx.xxx/32" можно заменить на -s 0/0
Третья - предоставляет доступ в инет этой машине, минуя прокси, и обратку для второй строчки

НАСТОЯТЕЛЬНО рекомендую использовать первую и вторую строки, используя адреса получателя, если, конечно не сильно интересен слив информации на сторону с этого сервера 1С. как я помню сервер для бухгалтерского учета. :-)

Если мне не изменяет память(как мне помнится) , то твоих строках нет имени внешнего интерфейса, а без него, как мне помнится, оно не работало.

ах да: данный фрагмент был в последний раз исправлялся
ls -l vnc.* -rwxr-xr-x 1 root root 8005 Ноя 17 2008 vnc.sh

так что - именно "как мне помнится" :-)

ответить

Flameflower - 27 Ноябрь, 2013 - 07:42

dyug , а можно вопросик?
Зачем указывать -d 0/0 в цепочке POSTROUTING, если у тебя указан явно -o eth1 ?
Решение о маршрутизации принято и трафик явно уйдет через eth1.
IMHO, в твоем случае конструкция -d 0/0 - избыточна.

ответить

dyug - 27 Ноябрь, 2013 - 11:18

на самом деле, наверное не нужен, но я уже точно не помню, какие то склерозы пробиваются...:-)
помню, что были проблемы при НЕуказании интерфейса
Но что и как - не помню.

ответить

Владимир666 - 26 Ноябрь, 2013 - 16:19

Развернуть/свернуть скрытый текст.

]login as: root
[email protected]'s password:
Welcome to Ubuntu 13.04 (GNU/Linux 3.8.0-33-generic i686)

 * Documentation:  https://help.ubuntu.com/

  System information as of Tue Nov 26 19:06:42 YEKT 2013

  System load:  0.12               Processes:           120
  Usage of /:   11.4% of 35.60GB   Users logged in:     1
  Memory usage: 47%                IP address for eth1: 10.1.1.2
  Swap usage:   0%                 IP address for ppp0: 109.135.155.145

  Graph this data and manage this system at https://landscape.canonical.com/

71 packages can be updated.
0 updates are security updates.

New release '13.10' available.
Run 'do-release-upgrade' to upgrade to it.

Last login: Tue Nov 26 15:03:30 2013 from 10.1.1.123
root@server:~# sudo iptables-save
# Generated by iptables-save v1.4.12 on Tue Nov 26 19:07:08 2013
*nat
:PREROUTING ACCEPT [92882:6861926]
:INPUT ACCEPT [6088:373307]
:OUTPUT ACCEPT [2091:152169]
:POSTROUTING ACCEPT [2091:152169]
:NAT_POSTROUTING_CHAIN - [0:0]
:NAT_PREROUTING_CHAIN - [0:0]
:POST_NAT_POSTROUTING_CHAIN - [0:0]
:POST_NAT_PREROUTING_CHAIN - [0:0]
-A PREROUTING -j NAT_PREROUTING_CHAIN
-A PREROUTING -j POST_NAT_PREROUTING_CHAIN
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.200:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 13107 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16
-A POSTROUTING -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -j NAT_POSTROUTING_CHAIN
-A POSTROUTING -s 10.1.1.0/24 ! -d 10.1.1.0/24 -o ppp+ -j MASQUERADE
-A POSTROUTING -j POST_NAT_POSTROUTING_CHAIN
-A POSTROUTING -d 10.0.0.200/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
COMMIT
# Completed on Tue Nov 26 19:07:08 2013
# Generated by iptables-save v1.4.12 on Tue Nov 26 19:07:08 2013
*mangle
:PREROUTING ACCEPT [2846943:1711056906]
:INPUT ACCEPT [310946:26577692]
:FORWARD ACCEPT [2505545:1682548042]
:OUTPUT ACCEPT [158879:21241552]
:POSTROUTING ACCEPT [2664579:1703829128]
COMMIT
# Completed on Tue Nov 26 19:07:08 2013
# Generated by iptables-save v1.4.12 on Tue Nov 26 19:07:08 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:BASE_FORWARD_CHAIN - [0:0]
:BASE_INPUT_CHAIN - [0:0]
:BASE_OUTPUT_CHAIN - [0:0]
:DMZ_FORWARD_IN_CHAIN - [0:0]
:DMZ_FORWARD_OUT_CHAIN - [0:0]
:DMZ_INET_FORWARD_CHAIN - [0:0]
:DMZ_INPUT_CHAIN - [0:0]
:DMZ_LAN_FORWARD_CHAIN - [0:0]
:DMZ_OUTPUT_CHAIN - [0:0]
:EXT_BROADCAST_CHAIN - [0:0]
:EXT_FORWARD_IN_CHAIN - [0:0]
:EXT_FORWARD_OUT_CHAIN - [0:0]
:EXT_ICMP_FLOOD_CHAIN - [0:0]
:EXT_INPUT_CHAIN - [0:0]
:EXT_MULTICAST_CHAIN - [0:0]
:EXT_OUTPUT_CHAIN - [0:0]
:FORWARD_CHAIN - [0:0]
:HOST_BLOCK_DROP - [0:0]
:HOST_BLOCK_DST - [0:0]
:HOST_BLOCK_SRC - [0:0]
:INET_DMZ_FORWARD_CHAIN - [0:0]
:INPUT_CHAIN - [0:0]
:INT_FORWARD_IN_CHAIN - [0:0]
:INT_FORWARD_OUT_CHAIN - [0:0]
:INT_INPUT_CHAIN - [0:0]
:INT_OUTPUT_CHAIN - [0:0]
:LAN_INET_FORWARD_CHAIN - [0:0]
:OUTPUT_CHAIN - [0:0]
:POST_FORWARD_CHAIN - [0:0]
:POST_INPUT_CHAIN - [0:0]
:POST_INPUT_DROP_CHAIN - [0:0]
:POST_OUTPUT_CHAIN - [0:0]
:RESERVED_NET_CHK - [0:0]
:SPOOF_CHK - [0:0]
:VALID_CHK - [0:0]
-A INPUT -j BASE_INPUT_CHAIN
-A INPUT -j INPUT_CHAIN
-A INPUT -j HOST_BLOCK_SRC
-A INPUT -j SPOOF_CHK
-A INPUT -i ppp+ -j VALID_CHK
-A INPUT -i ppp+ ! -p icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i ppp+ -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i ppp+ -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i eth1 -j INT_INPUT_CHAIN
-A INPUT -j POST_INPUT_CHAIN
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "AIF:Dropped INPUT packet: " --log-level 6
-A INPUT -j DROP
-A FORWARD -d 10.1.1.16/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -j BASE_FORWARD_CHAIN
-A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j FORWARD_CHAIN
-A FORWARD -j HOST_BLOCK_SRC
-A FORWARD -j HOST_BLOCK_DST
-A FORWARD -i ppp+ -j EXT_FORWARD_IN_CHAIN
-A FORWARD -o ppp+ -j EXT_FORWARD_OUT_CHAIN
-A FORWARD -i eth1 -j INT_FORWARD_IN_CHAIN
-A FORWARD -o eth1 -j INT_FORWARD_OUT_CHAIN
-A FORWARD -j SPOOF_CHK
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp+ -j LAN_INET_FORWARD_CHAIN
-A FORWARD -j POST_FORWARD_CHAIN
-A FORWARD -m limit --limit 1/min --limit-burst 3 -j LOG --log-prefix "AIF:Dropped FORWARD packet: " --log-level 6
-A FORWARD -j DROP
-A FORWARD -d 10.1.1.16/32 -i eth0 -p tcp -m tcp --dport 3899 -j ACCEPT
-A FORWARD -d 10.1.1.16/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j LOG
-A FORWARD -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -j BASE_OUTPUT_CHAIN
-A OUTPUT -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -j OUTPUT_CHAIN
-A OUTPUT -j HOST_BLOCK_DST
-A OUTPUT -f -m limit --limit 3/min -j LOG --log-prefix "AIF:Fragment packet: " --log-level 6
-A OUTPUT -f -j DROP
-A OUTPUT -o ppp+ -j EXT_OUTPUT_CHAIN
-A OUTPUT -o eth1 -j INT_OUTPUT_CHAIN
-A OUTPUT -j POST_OUTPUT_CHAIN
-A OUTPUT -j ACCEPT
-A BASE_FORWARD_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_FORWARD_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_FORWARD_CHAIN -i lo -j ACCEPT
-A BASE_INPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_INPUT_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_INPUT_CHAIN -i lo -j ACCEPT
-A BASE_OUTPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_OUTPUT_CHAIN -o lo -j ACCEPT
-A EXT_BROADCAST_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p udp -m udp --dport 1024 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -j DROP
-A EXT_FORWARD_IN_CHAIN -j VALID_CHK
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-unreachable flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-time-exceeded fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-param-problem fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request(ping) fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-reply(pong) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-source-quench fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP(other) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:TCP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:UDP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (UNPRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (PRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -d 255.255.255.255/32 -j EXT_BROADCAST_CHAIN
-A EXT_INPUT_CHAIN -d 224.0.0.0/4 -j EXT_MULTICAST_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p igmp -m limit --limit 1/min -j LOG --log-prefix "AIF:IGMP packet: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp ! --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-other: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p igmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -m limit --limit 1/min -j LOG --log-prefix "AIF:Other connect: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_DROP_CHAIN
-A EXT_MULTICAST_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p udp -m udp --dport 1024 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-multicast-request: " --log-level 6
-A EXT_MULTICAST_CHAIN -p icmp -m icmp ! --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-multicast-other: " --log-level 6
-A EXT_MULTICAST_CHAIN -j DROP
-A HOST_BLOCK_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Blocked host(s): " --log-level 6
-A HOST_BLOCK_DROP -j DROP
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A INT_INPUT_CHAIN -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A LAN_INET_FORWARD_CHAIN -j ACCEPT
-A POST_INPUT_DROP_CHAIN -j DROP
-A SPOOF_CHK -s 10.1.1.0/24 -i eth1 -j RETURN
-A SPOOF_CHK -s 10.1.1.0/24 -m limit --limit 3/min -j LOG --log-prefix "AIF:Spoofed packet: " --log-level 6
-A SPOOF_CHK -s 10.1.1.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -j RETURN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-PSH scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-ALL scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth FIN scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/RST scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/FIN scan?: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth Null scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(64): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(128): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -m state --state INVALID -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -f -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Fragment packet: "
-A VALID_CHK -f -j DROP
COMMIT
# Completed on Tue Nov 26 19:07:08 2013
root@server:~#

Вот такой лог теперь

Пользуемся CL для длинных логов!

ответить

dyug - 26 Ноябрь, 2013 - 16:40

Ню, ню, ню.
у тебя во первых есть двойное перенаправление, во вторых дубли.
убери.
и перегрузись.
1. двойное перенаправление
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.200:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899
2. повторы
-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 13107 -j DNAT --to-destination 10.1.1.16:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 -A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16
3. фрагмент неработоспособный, вообще убрать на....

-A POSTROUTING -d 10.0.0.200/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145 -A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145 -A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145 -A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145 -A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145 -A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
ошибка заключается в том, что дпорт здесь не должен вообще находиться.
ибо клиент на этом порту вообще никогда ничего не слушает, на этом порту живет только сервер.
Ну и повторы тоже могут привносить свои радости.

Заодно, есть у меня такое мнение, половина, если не больше, всего что тут есть - является ерундой и зарплатой специОлистов по безопасности, как показывает моя практика.
-A FORWARD -d 10.1.1.16/32 -i eth0 -p tcp -m tcp --dport 3899 -j ACCEPT -A FORWARD -d 10.1.1.16/32 -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT -A FORWARD -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT -A FORWARD -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j LOG -A FORWARD -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j ACCEPT
убрать на..... :-)
ибо может только помешать.
Я бы рекомендовал закоментить весь этот шлак, и оставить минимальную конфигурацию.

ответить

Владимир666 - 26 Ноябрь, 2013 - 16:44

Я повторюсь я ламер в убунту 3й день работаю с ней - учусь спасибо вам за помощь огромное !

ТОЕСТЬ как я понял мне нужно вставить следующие в клиент putty:

и нажать энтер и будет мне счастье ?

ответить

Mike - 26 Ноябрь, 2013 - 16:50

мнэээ... можно развернуто описать логику, по которой иптабля будет все входящие запросы, идущие на РДП-порт, будет заворачивать сразу на два адреса назначения? Ну и, опять же, зачем команду
-A POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145 нужно отрабатывать 5 раз? Типа иптабля глупая и с первого раза не понимает?
Кроме того, если ты "ламер и в убунту 3 день", то зачем тебе вообще вникать в iptables-save? Учись разруливать иптаблю скриптом.

ответить

Владимир666 - 26 Ноябрь, 2013 - 16:53

Можно мне как совсем тупому разжувать какие конкретно команды мне выполнить после которых может все заработает ? БУДУ ОЧЕНЬ БЛАГОДАРЕН

ответить

Владимир666 - 26 Ноябрь, 2013 - 17:01

Скриптом я боюсь совсем все угробить, все что до меня настроено было, так как потом мне 99% не поднять все это будет назад. В теории все просто а на практике никак :)

ответить

Mike - 26 Ноябрь, 2013 - 17:11

срочно изучай матчасть!

ответить

Mike - 26 Ноябрь, 2013 - 17:07

если у тебя по дефолту иптабля работает и изнутри все пашет как часы, то сделать тебе надо всего лишь одно:
iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
И все. Больше ничего делать не надо.

ответить

Владимир666 - 26 Ноябрь, 2013 - 17:15

Спасибо огромное вам ! а перегружать не надо сервак будет ?

ответить

Mike - 26 Ноябрь, 2013 - 17:16

ни в коем разе. если перезагрузишь, то потом эту команду придется снова делать =)

ответить

Владимир666 - 26 Ноябрь, 2013 - 17:18

Мои действия такие примерно:

Захожу по ssh - Putty root - пароль ввожу

Копирую команду эту вставляю туда нажимаю энтер,
и теперь если все там нормально то раб.стол должен будет конектится ?

ответить

Владимир666 - 26 Ноябрь, 2013 - 17:32

iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

Сделал что-то не помогает не знаю даже.

ответить

Mike - 26 Ноябрь, 2013 - 17:34

значит, дело не в прероутинге, а в чем-то другом. Потому как прероутинг правильный.

ответить

Владимир666 - 26 Ноябрь, 2013 - 17:39

Тоесть проброс портов нормально сделал - от сервера Ubuntu отстать можно ?
Ping туда проходит на белый айпишник именно, может быть выделывается сама МАШИНА в локалке 10.1.1.16 так как на ней windows 2008 Server стоит может ещё там чтото надо настроить - хотя в локалке на неё конектятся на уд.раб.стол.

ответить

Mike - 26 Ноябрь, 2013 - 17:43

все может быть.

ответить

dyug - 26 Ноябрь, 2013 - 18:27

эгэ... опять таки, здесь грабля!
PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899
принимаем на адрес 109.135.155.145 с портом 3389 и заворачиваем на 10.1.1.16:3899
после чего наступаем на граблю
POSTROUTING -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 109.135.155.145
Внимание описываю путь: ибо после приема (POSTROUTING), на адрес 10.1.1.16 с портом 3389 мы это все заворачиваем на 109.135.155.145
И куда оно попадет, по твоему? :-)
пойдет на очередное кольцо? :-)

ответить

Mike - 26 Ноябрь, 2013 - 19:31

А почему ты это пишешь мне? я нигде про указаный построутинг не говорил =)

ответить

dyug - 27 Ноябрь, 2013 - 11:20

ты ее упомянул, и я решил уточнить именно у тебя. Понятно, что автор поста не знает и не понимает, зачем это нужно,..

ответить

Владимир666 - 26 Ноябрь, 2013 - 18:28

А как сделать то нужно ?

ответить

Владимир666 - 26 Ноябрь, 2013 - 18:30

я там понимаю все идет по кругу ? подключатся никак не хочет, так вот как этот круг разорвать ?(

ответить

dyug - 26 Ноябрь, 2013 - 18:39

понимаешь ли, я очень давно не пользовался iptables-save и я не помню его организации.
но наличие дублирующих строк, и строк с явными ошибками - меня сильно смущает.

Как я помню, он создает отдельный файл, где хранит все рулесеты, и его нужно найти.
Боюсь, ты выполнив команду root@server:~# sudo iptables-save сохранил неправильные рулесеты.
теперь нужно найти место хранения, и увидеть содержимое этого файла
там как раз и должны быть эти строки "-A PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899"

ответить

Владимир666 - 26 Ноябрь, 2013 - 18:44

получается мне искать Ipconfig.php и чистить его наглухо ?

ответить

Владимир666 - 26 Ноябрь, 2013 - 18:48

найду допустим этот файл удалю из него все выше перечисленное, то юзать команду снова :

iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

ответить

Mike - 26 Ноябрь, 2013 - 19:34

ipconfig.php - это что? это зачем?

ответить

Гость - 27 Ноябрь, 2013 - 05:16

А как называется файл который историю табли этой хранит ?

ответить

Mike - 27 Ноябрь, 2013 - 06:36

увы, телепатов, способных посредством Волшебства определить, куда и что выгружается у каждого конкретного спрашивающего, на форуме нет.

ответить

Владимир666 - 27 Ноябрь, 2013 - 07:13

/etc/sysconfig/iptables только как сюда попасть никак не пойму ?
и такой вопрос если я все же залезу то все правила впринципе можно убить ?

ответить

Владимир666 - 27 Ноябрь, 2013 - 07:23

ЧТО вообще по идее должно быть прописано в файле iptables что-бы из сетки был выход в интернет и при обращении к белому айпишнику попадали на конкретную машину в сетке ?

ответить

Владимир666 - 27 Ноябрь, 2013 - 07:39

Получается сбросить я могу все правила даже без файла при помощи команды, но тогда у меня получается интернет упадет ?

ответить

Mike - 27 Ноябрь, 2013 - 07:43

просто перезагрузи роутер, а потом выполни в консоли команду с прероутингом, которую я давал выше. Один раз.

ответить

Mike - 27 Ноябрь, 2013 - 07:45

попасть туда - посредством mc, запущеным от рута.
Да, убить все правила там можно. Но зачем? Было бы больше пользы, если их попытаться понять.

ответить

Владимир666 - 27 Ноябрь, 2013 - 07:53

iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

тоесть эта команда ?

у меня ещё такой вопрос Gnokii сервис отправки смс заглючил из за настроек табли может быть работает работает бах вырубится и до перезапуска...

ответить

Владимир666 - 27 Ноябрь, 2013 - 07:56

Перезагрузил сервак, ввел команду : iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389

ничего к сожелению, не вызвано это тем что я вчера вводил sudo save ?

ответить

Mike - 27 Ноябрь, 2013 - 10:54

вполне может быть, что был засейвлен уже глючный конфиг.

ответить

Владимир666 - 27 Ноябрь, 2013 - 10:56

я сэйвил но не ресторил ведь его поэтому не может быть + я перезагружал сервер значит настройки слетали.

ответить

Mike - 27 Ноябрь, 2013 - 12:04

если ты сейфил, то после ребута настройки всплыли из криво засейвленного сейва.

ответить

Владимир666 - 27 Ноябрь, 2013 - 12:08

Я это все понимаю, понимаю что где то чтото случилось и не так работает, вопрос в другом как сейчас открыть этот долбаный порт )

ответить

Mike - 27 Ноябрь, 2013 - 13:02

"Обратитесь к вашему системному администратору" (с)
=)

ответить

Владимир666 - 27 Ноябрь, 2013 - 13:04

Ага спасибо :)

ответить

Flameflower - 27 Ноябрь, 2013 - 07:53

Владимир666, у вас паронаидально настроен firewall.
Более того - выглядит как некий скрипт автонастройки.
Более того - выставлена политика DROP
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
Т.е. помимо правил в таблице NAT, цепочки PREROUTING так же потребуется прописать разрешающие правило в таблец FILTER, цепочке FORWARD.
К примеру как это реализовано у меня:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389 iptables -A FORWARD -s 76.54.32.10 -d 192.168.1.2 -p tcp --dport 3389 -j ACCEPT
Что эти правила означают?
Первым правилом мы говорим маршрутизатору, что трафик пришедший на интерфейс ppp0, по протоколу tcp на порт назначения 3389 нам необходимо отправить на адрес 192.168.1.2 и тот же самый порт назначения.
Вторым правилом мы разрешаем транзитный трафик с адреса 76.54.32.10 на 192.168.1.2 опять же по протоколу tcp на порт назначения 3389.

ответить

Владимир666 - 27 Ноябрь, 2013 - 08:00

Сейчас попробую спасибо.

ответить

Владимир666 - 27 Ноябрь, 2013 - 08:08

теперь мой ifconfig выглядит так:

CALL0: IDLE
CALL1: IDLE
RFLevel: 12
Battery: 96
Power Source: Battery
FD: Used 0, Free 6
LD: Used 0, Free 10
MC: Used 5, Free 5
CALL0: IDLE
CALL1: IDLE
RFLevel: 12
Battery: 96
Power Source: Battery
DC: Used 0, Free 10
FD: Used 0, Free 6
MC: Used 5, Free 5
^Z
[3]+ Stopped gnokii --monitor
root@server:~# PREROUTING -d 109.135.155.145/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3899
PREROUTING: command not found
root@server:~# iptables -t nat -A PREROUTING -p TCP -d 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
root@server:~# iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389
root@server:~# iptables -A FORWARD -s 109.135.155.145 -d 10.1.1.16 -p tcp --dport 3389 -j ACCEPT
root@server:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:80:48:42:e0:90
inet6 addr: fe80::280:48ff:fe42:e090/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:872163 errors:0 dropped:0 overruns:0 frame:0
TX packets:547793 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:966611876 (966.6 MB) TX bytes:72348069 (72.3 MB)

eth1 Link encap:Ethernet HWaddr 64:70:02:13:0d:1c
inet addr:10.1.1.2 Bcast:10.1.1.255 Mask:255.255.255.0
inet6 addr: fe80::6670:2ff:fe13:d1c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:649795 errors:0 dropped:1 overruns:0 frame:0
TX packets:888729 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:80111709 (80.1 MB) TX bytes:973934305 (973.9 MB)

eth1:0 Link encap:Ethernet HWaddr 64:70:02:13:0d:1c
inet addr:10.1.1.254 Bcast:10.1.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:7712 errors:0 dropped:0 overruns:0 frame:0
TX packets:7712 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1096995 (1.0 MB) TX bytes:1096995 (1.0 MB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:109.135.155.145 P-t-P:109.195.128.69 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:871956 errors:0 dropped:0 overruns:0 frame:0
TX packets:547364 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:947413908 (947.4 MB) TX bytes:60214641 (60.2 MB)

root@server:~#

ответить

Владимир666 - 27 Ноябрь, 2013 - 08:08

Может все правильно теперь и я тупо из за своей сетки не могу подключится нет ?)))

ответить

Владимир666 - 27 Ноябрь, 2013 - 08:28

может есть какая то команда чтобы посмотреть конфиг IPtables и уже по тому что там имеется мне ктото-бы помог настроить ?

ответить

Владимир666 - 27 Ноябрь, 2013 - 08:39

ВОТ ЛИСТ ВСЕМ МОИХ ПРАВИЛ

root@server:~# iptables --list-rules
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-N BASE_FORWARD_CHAIN
-N BASE_INPUT_CHAIN
-N BASE_OUTPUT_CHAIN
-N DMZ_FORWARD_IN_CHAIN
-N DMZ_FORWARD_OUT_CHAIN
-N DMZ_INET_FORWARD_CHAIN
-N DMZ_INPUT_CHAIN
-N DMZ_LAN_FORWARD_CHAIN
-N DMZ_OUTPUT_CHAIN
-N EXT_BROADCAST_CHAIN
-N EXT_FORWARD_IN_CHAIN
-N EXT_FORWARD_OUT_CHAIN
-N EXT_ICMP_FLOOD_CHAIN
-N EXT_INPUT_CHAIN
-N EXT_MULTICAST_CHAIN
-N EXT_OUTPUT_CHAIN
-N FORWARD_CHAIN
-N HOST_BLOCK_DROP
-N HOST_BLOCK_DST
-N HOST_BLOCK_SRC
-N INET_DMZ_FORWARD_CHAIN
-N INPUT_CHAIN
-N INT_FORWARD_IN_CHAIN
-N INT_FORWARD_OUT_CHAIN
-N INT_INPUT_CHAIN
-N INT_OUTPUT_CHAIN
-N LAN_INET_FORWARD_CHAIN
-N OUTPUT_CHAIN
-N POST_FORWARD_CHAIN
-N POST_INPUT_CHAIN
-N POST_INPUT_DROP_CHAIN
-N POST_OUTPUT_CHAIN
-N RESERVED_NET_CHK
-N SPOOF_CHK
-N VALID_CHK
-A INPUT -j BASE_INPUT_CHAIN
-A INPUT -j INPUT_CHAIN
-A INPUT -j HOST_BLOCK_SRC
-A INPUT -j SPOOF_CHK
-A INPUT -i ppp+ -j VALID_CHK
-A INPUT -i ppp+ ! -p icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i ppp+ -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i ppp+ -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i eth1 -j INT_INPUT_CHAIN
-A INPUT -j POST_INPUT_CHAIN
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "AIF:Dropped INPUT packet: " --log-level 6
-A INPUT -j DROP
-A FORWARD -j BASE_FORWARD_CHAIN
-A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j FORWARD_CHAIN
-A FORWARD -j HOST_BLOCK_SRC
-A FORWARD -j HOST_BLOCK_DST
-A FORWARD -i ppp+ -j EXT_FORWARD_IN_CHAIN
-A FORWARD -o ppp+ -j EXT_FORWARD_OUT_CHAIN
-A FORWARD -i eth1 -j INT_FORWARD_IN_CHAIN
-A FORWARD -o eth1 -j INT_FORWARD_OUT_CHAIN
-A FORWARD -j SPOOF_CHK
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp+ -j LAN_INET_FORWARD_CHAIN
-A FORWARD -j POST_FORWARD_CHAIN
-A FORWARD -m limit --limit 1/min --limit-burst 3 -j LOG --log-prefix "AIF:Dropped FORWARD packet: " --log-level 6
-A FORWARD -j DROP
-A FORWARD -s 109.135.155.145/32 -d 10.1.1.16/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -j BASE_OUTPUT_CHAIN
-A OUTPUT -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -j OUTPUT_CHAIN
-A OUTPUT -j HOST_BLOCK_DST
-A OUTPUT -f -m limit --limit 3/min -j LOG --log-prefix "AIF:Fragment packet: " --log-level 6
-A OUTPUT -f -j DROP
-A OUTPUT -o ppp+ -j EXT_OUTPUT_CHAIN
-A OUTPUT -o eth1 -j INT_OUTPUT_CHAIN
-A OUTPUT -j POST_OUTPUT_CHAIN
-A OUTPUT -j ACCEPT
-A BASE_FORWARD_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_FORWARD_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_FORWARD_CHAIN -i lo -j ACCEPT
-A BASE_INPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_INPUT_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_INPUT_CHAIN -i lo -j ACCEPT
-A BASE_OUTPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_OUTPUT_CHAIN -o lo -j ACCEPT
-A EXT_BROADCAST_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p udp -m udp --dport 1024 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -j DROP
-A EXT_FORWARD_IN_CHAIN -j VALID_CHK
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-unreachable flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-time-exceeded fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-param-problem fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request(ping) fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-reply(pong) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-source-quench fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP(other) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:TCP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:UDP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (UNPRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (PRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -d 255.255.255.255/32 -j EXT_BROADCAST_CHAIN
-A EXT_INPUT_CHAIN -d 224.0.0.0/4 -j EXT_MULTICAST_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p igmp -m limit --limit 1/min -j LOG --log-prefix "AIF:IGMP packet: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp ! --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-other: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p igmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -m limit --limit 1/min -j LOG --log-prefix "AIF:Other connect: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_DROP_CHAIN
-A EXT_MULTICAST_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p udp -m udp --dport 1024 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-multicast-request: " --log-level 6
-A EXT_MULTICAST_CHAIN -p icmp -m icmp ! --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-multicast-other: " --log-level 6
-A EXT_MULTICAST_CHAIN -j DROP
-A HOST_BLOCK_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Blocked host(s): " --log-level 6
-A HOST_BLOCK_DROP -j DROP
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A INT_INPUT_CHAIN -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A LAN_INET_FORWARD_CHAIN -j ACCEPT
-A POST_INPUT_DROP_CHAIN -j DROP
-A SPOOF_CHK -s 10.1.1.0/24 -i eth1 -j RETURN
-A SPOOF_CHK -s 10.1.1.0/24 -m limit --limit 3/min -j LOG --log-prefix "AIF:Spoofed packet: " --log-level 6
-A SPOOF_CHK -s 10.1.1.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -j RETURN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-PSH scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-ALL scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth FIN scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/RST scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/FIN scan?: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth Null scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(64): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(128): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -m state --state INVALID -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -f -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Fragment packet: "
-A VALID_CHK -f -j DROP
root@server:~#

Пользуемся CL!

ответить

Flameflower - 27 Ноябрь, 2013 - 10:24

iptables -nvL
iptables -nvL -t nat
В студию.
Хотя вывод iptables-save тоже сойдет, но первые 2 варианта более наглядны. :)

ответить

Владимир666 - 27 Ноябрь, 2013 - 10:38

ВОТ

Chain INPUT (policy ACCEPT 276 packets, 16887 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 186 packets, 12828 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 187 packets, 12876 bytes)
pkts bytes target prot opt in out source destination
56439 2901K TCPMSS tcp -- * ppp+ 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x02 TCPMSS clamp to PMTU
126K 10M NAT_POSTROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
116K 9701K MASQUERADE all -- * ppp+ 10.1.1.0/24 !10.1.1.0/24
10402 723K POST_NAT_POSTROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain NAT_POSTROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination

Chain NAT_PREROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination

Chain POST_NAT_POSTROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination

Chain POST_NAT_PREROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination
root@server:~#

ответить

Flameflower - 27 Ноябрь, 2013 - 10:45

Уважаемый, не надо здесь выкладывать стену текста.
Пользуйтесь тегом CL (Collapse).
P.S. А что за убунта такая стоит, что столько правил в фаерволе нагорожено?
Откуда бралась первоначальная настройка?

ответить

Владимир666 - 27 Ноябрь, 2013 - 10:54

Извеняюсь за стену текста не правильно скопировал - Поправил, настраивал изначально не я и как настраивали не знаю того человека сейчас нет, я сам ничего не понимаю в настройке. Ubuntu 13.04

ВОТ

Развернуть/свернуть скрытый текст.

root@server:~# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 3588 packets, 245K bytes)
pkts bytes target prot opt in out source destination
273K 20M NAT_PREROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
273K 20M POST_NAT_PREROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
16 776 DNAT tcp -- * * 0.0.0.0/0 109.135.155.145 tcp dpt:3389 to:10.1.1.16:3389
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:10.1.1.16:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 109.135.155.145 tcp dpt:3389 to:10.1.1.16:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 109.135.155.145 tcp dpt:3389 to:10.1.1.16:3389
Chain INPUT (policy ACCEPT 276 packets, 16887 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 186 packets, 12828 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 187 packets, 12876 bytes)
pkts bytes target prot opt in out source destination
56439 2901K TCPMSS tcp -- * ppp+ 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x02 TCPMSS clamp to PMTU
126K 10M NAT_POSTROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
116K 9701K MASQUERADE all -- * ppp+ 10.1.1.0/24 !10.1.1.0/24
10402 723K POST_NAT_POSTROUTING_CHAIN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain NAT_POSTROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination
Chain NAT_PREROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination
Chain POST_NAT_POSTROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination
Chain POST_NAT_PREROUTING_CHAIN (1 references)
pkts bytes target prot opt in out source destination
root@server:~#

ответить

Flameflower - 27 Ноябрь, 2013 - 11:32

Посидел, повкуривал в скрипт запуска правил.
IMHO, либо это какой то гламурный сетевой экранчик на базе бубунты с гламурными отчетиками, графиками и еще чем то. Либо это красноглазый админ, который "курит" эти логи каждый день.
Хотя, конечно, дело каждого. На мой взгляд некоторые моменты можно опустить.
Попробуй сделать так, но только вместо ip адресов пропиши адреса и названия интерфейсов:
iptables -t nat --insert PREROUTING 1 -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389 iptables -t filter --insert FORWARD 1 -s 76.54.32.10 -d 192.168.1.2 -p tcp --dport 3389 -j ACCEPT

ответить

Владимир666 - 27 Ноябрь, 2013 - 11:40

пропиши адреса и названия интерфейсов: это как ? простите тормоза но я не понимаю

ответить

Владимир666 - 27 Ноябрь, 2013 - 11:54

iptables -t nat --insert PREROUTING 1 -i ppp0 -p tcp 109.135.155.145 --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 iptables -t filter --insert FORWARD 1 -s 109.135.155.145 -d 10.1.1.16 -p tcp 109.135.155.145 --dport 3389 -j ACCEPT

ТАК ?

ответить

Владимир666 - 27 Ноябрь, 2013 - 12:02

Может есть смысл вообще отключить этот файрвол, но опять тогда как порты пробросить без него ?

ответить

Finist - 27 Ноябрь, 2013 - 14:35

sudo apt-get install rinetd
в /etc/rinetd.conf
вставить строку 109.135.155.145 3389 10.1.1.2 3389
перезапустить демон /sudo /etc/init.d/rinetd restart

ответить

Flameflower - 27 Ноябрь, 2013 - 12:30

iptables -t nat --insert PREROUTING 1 -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 10.1.1.16:3389 iptables -t filter --insert FORWARD 1 -i ppp0 -d 10.1.1.16 -p tcp --dport 3389 -j ACCEPT
Вот так попробуй.

ответить

Владимир666 - 27 Ноябрь, 2013 - 12:45

Всем большущее спасибо !!!!

Flameflower Респект и уважуха. кланяюсь ! ВРОДе работает !

ТОЛЬКО у мня вопрос я тут тысячу компанд делал всетаки какой именно командой пробразывается порт этой последней я так понял мы правила некоторые выключили ????

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389 iptables -A FORWARD -s 76.54.32.10 -d 192.168.1.2 -p tcp --dport 3389 -j ACCEPT это команда перенаправляет/пробрасывает порт ?

ответить

Flameflower - 27 Ноябрь, 2013 - 12:55

Я долго "курил" выводы результата команд.
Идет много перенаправлений трафика в кастомные цепочки, причем нет возврата из этих цепочек. И, дабы совсем не погружаться в специфику данных нагромождений я тебе написал команды для iptables, которые осуществляют трансляцию адресов и разрешают пропуск трафика, с одной оговоркой - они идут на первом месте. Т.е. изначально netfilter обработает пакеты по данным правилам, а потом идут твои правила.

ответить

Отправить комментарий

Формат ввода

Доступны HTML теги: <h1> <h2> <h3> <h4> <h5> <h6> <a> <img> <em> <u> <hr> <strong> <b> <s> <cite> <q> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br> <p> <table> <tr> <td>
Строки и параграфы переносятся автоматически.
Используйте <code>...</code> для вставки кода в сообщения
Используйте [collapse] и [/collapse] для сворачиваемого текстового блока. [collapse collapsed] или [collapsed] для изначально свернутого блока.
Для вставки видео используйте [video:URL]

Подробнее о форматировании

Код: *

Введите цифры

Leave this field blank:

Пожалуйста помогите решить задачу, проброс портов для Ubuntu 13.04 на локальный сервер. [Решено]

Отправить комментарий

Вход в систему

Сейчас на сайте