iptables и проброс портов / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables и проброс портов

20 сообщений из 20, страница 1 из 1

iptables и проброс портов

#34042729

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

Народ может кто подскажет, нужно сделать проброс порта ххх.ххх.ххх.ххх:2222 -> 192.168.127.2:3389

где ххх.ххх.ххх.ххх внешний ip сервака, 192.168.127.2 - ip сервера терминалов.

Сейчас уже стоит проброс ххх.ххх.ххх.ххх:3389 -> 192.168.127.2:3389

Но к этому порту 3389 могут подключаться только опредленные ip. А для порта 2222 надо сделать всеобщий доступ. Все это задумывается из-за того, что у одного клиента динамический ip и прописать его в iptables нет возможности.

Но вся проблема в том, что как только я разрешаю форвардинг порта 3389, то на ххх.ххх.ххх.ххх:3389 могут зайти все, а это неприемлимо.

Вот и не знаю как быть.

...

Рейтинг:

0 / 0

09.10.2006, 18:51:46

| Ответить | Цитировать | Написать

iptables и проброс портов

#34042768

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

ALex_hha Все это задумывается из-за того, что у одного клиента динамический ip и прописать его в iptables нет возможности.Можно прописать его диапазон.Он в любом случае будет значительно меньше чем все множество адресов в интернете. ALex_hhaНо вся проблема в том, что как только я разрешаю форвардинг порта 3389, то на ххх.ххх.ххх.ххх:3389 могут зайти все, а это неприемлимо.А зачем ты разрешаешь форвардинг порта 3389, если тебе надо 2222?

...

Рейтинг:

0 / 0

09.10.2006, 19:14:30

| Ответить | Цитировать | Написать

iptables и проброс портов

#34042797

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторМожно прописать его диапазон.Он в любом случае будет значительно меньше чем все множество адресов в интернете.
тоже проблема, утром у клиента был 82.ххх.ххх.ххх, а днем уже 195.ххх.ххх.ххх. Так что так мне пол инета придется прописывать

авторА зачем ты разрешаешь форвардинг порта 3389, если тебе надо 2222?
Если не открывать его, то не работает.

...

Рейтинг:

0 / 0

09.10.2006, 19:35:58

| Ответить | Цитировать | Написать

iptables и проброс портов

#34042824

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

ALex_hha авторМожно прописать его диапазон.Он в любом случае будет значительно меньше чем все множество адресов в интернете.
тоже проблема, утром у клиента был 82.ххх.ххх.ххх, а днем уже 195.ххх.ххх.ххх. Так что так мне пол инета придется прописыватьВряд ли... мало у кого из операторов используется два блока адресов, три - еще реже и т.д.
Вот если этот клиент мигрирует по всей стране и по разным операторам, то да, все прописать не получится... ALex_hha

авторА зачем ты разрешаешь форвардинг порта 3389, если тебе надо 2222?
Если не открывать его, то не работает.не работает что именно?
как сделан существующий проброс?
если мне память не изменяет, то тебе нужен DNAT

...

Рейтинг:

0 / 0

09.10.2006, 19:54:04

| Ответить | Цитировать | Написать

iptables и проброс портов

#34043158

Михаил0

Гость

А смысл? Отсек лишних от порта 3389, дык они по 2222 будут ходить :). Но если очень надо, то вот...

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

Ключ             --to-destination
Пример           iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport
 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10
Описание         Ключ --to-destination указывает, какой IP адрес должен быть
 подставлен в качестве адреса места назначения. В выше приведенном примере во
 всех пакетах, пришедших на адрес 15.45.23.67, адрес назначения будет изменен
 на один из диапазона от 192.168.1.1 до 192.168.1.10. Как уже указывалось выше,
 все пакеты из одного потока будут направляться на один и тот же адрес, а для
 каждого нового потока будет выбираться один из адресов в указанном диапазоне
 случайным образом. Можно также определить единственный IP адрес. Можно
 дополнительно указать порт или диапазон портов, на который (которые) будет
 перенаправлен траффик. Для этого после ip адреса через двоеточие укажите порт,
 например --to-destination 192.168.1.1:80, а указание диапазона портов выглядит
 так: --to-destination 192.168.1.1:80-100. Как вы можете видеть, синтаксис
 действий DNAT и SNAT во многом схож. Не забывайте, что указание портов
 допускается только при работе с протоколом TCP или UDP, при наличии опции
 --protocol в критерии.

Мне кажется, в таких случаях vpn поднимают...

...

Рейтинг:

0 / 0

10.10.2006, 07:45:06

| Ответить | Цитировать | Написать

iptables и проброс портов

#34043218

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

2 miksoft - неправы.
У нас три. Прямо сейчас.
Бдем брать четвёртый.

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

10.10.2006, 08:59:51

| Ответить | Цитировать | Написать

iptables и проброс портов

#34043368

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

lissyara
2 miksoft - неправы.
У нас три. Прямо сейчас.
Бдем брать четвёртый.Т.е. у вашего оператора будет одновременно четыре диапазона для динамической выдачи адресов? что-то крайне слабо верится...

...

Рейтинг:

0 / 0

10.10.2006, 10:11:43

| Ответить | Цитировать | Написать

iptables и проброс портов

#34043403

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

А тут про динамику.
Нет. Мы динамические не раздаём. А вот статических прямо щас три диапазона.
Как-то так получилось в процессе роста компании :))

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

10.10.2006, 10:20:15

| Ответить | Цитировать | Написать

iptables и проброс портов

#34043420

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторВряд ли... мало у кого из операторов используется два блока адресов, три - еще реже и т.д.
я сам лично проверял, так что может быть. Провайдер - Укртелеком.

авторне работает что именно?
клиент не подключается

авторкак сделан существующий проброс?

Код: plaintext

1.
2.

$IPTABLES -A PREROUTING -t nat -d xxx.xxx.xxx.xxx -p tcp --dport 3389 -j DNAT --to-destination 192.168.127.2:3389
$IPTABLES -A ppp0-eth0 -p tcp --dport 3389 -j in-servers

ppp0-eth0 это цепочка форвардинга между интерфейсами ppp0 и eth0

Код: plaintext

1.
2.

$IPTABLES -N ppp0-eth0
$IPTABLES -A FORWARD -i ppp0 -o eth0 -j ppp0-eth0

т.е. с такими правилами, форвард порта 3389 разрешается только для машин, которые находятся в цепочке in-servers. В этой цепочке прописаны все наши сервера. В таком виде

Код: plaintext

1.
2.
3.
4.
5.

$IPTABLES -A in-servers -s xxx.xxx.xxx.xxx -j allowed
$IPTABLES -A in-servers -s xxx.xxx.xxx.xxx -j allowed
...
$IPTABLES -A in-servers -s xxx.xxx.xxx.xxx -j allowed
$IPTABLES -A in-servers -s xxx.xxx.xxx.xxx -j allowed

где xxx.xxx.xxx.xxx ip наших серверов, с которых разрешенно подключаться.

авторесли мне память не изменяет, то тебе нужен DNAT
я и так его использую

авторМне кажется, в таких случаях vpn поднимают...
в будущем так и сделаю.

...

Рейтинг:

0 / 0

10.10.2006, 10:23:09

| Ответить | Цитировать | Написать

iptables и проброс портов

#34043428

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторА смысл? Отсек лишних от порта 3389, дык они по 2222 будут ходить :)
тут свами согласен. Просто порт 3389 всем известен. А вот если я задам например 45896, то врдяли кто то его случайно найдет. Понятно что можно просканировать nmap'ом и найти его, но это только если специально задаться целью.

...

Рейтинг:

0 / 0

10.10.2006, 10:25:22

| Ответить | Цитировать | Написать

iptables и проброс портов

#34043843

v6y

Участник

Откуда: Душанбе, Таджикистан

Сообщения: 733

Рейтинг: 0 / 0

ALex_hha
авторкак сделан существующий проброс?

Код: plaintext

$IPTABLES -A PREROUTING -t nat -d xxx.xxx.xxx.xxx -p tcp --dport 3389 -j DNAT --to-destination 192.168.127.2:3389

Могу ошибаться, но попробуй еще и демаскарад сделать:

Код: plaintext

$IPTABLES -A POSTROUTING -t nat -s  192 . 168 . 127 . 2  --sport 3389 -p tcp -j SNAT  --to Твой_Внешний_IP_на_этом_компе

...

Рейтинг:

0 / 0

10.10.2006, 12:01:53

| Ответить | Цитировать | Написать

iptables и проброс портов

#34044847

mozheyko_d

Участник

Откуда: Мутноводск

Сообщения: 489

Рейтинг: 0 / 0

v6y ALex_hha
[quot автор]как сделан существующий проброс?
Могу ошибаться, но попробуй еще и демаскарад сделать:

Код: plaintext

$IPTABLES -A POSTROUTING -t nat -s  192 . 168 . 127 . 2  --sport 3389 -p tcp -j SNAT  --to Твой_Внешний_IP_на_этом_компе

Ошибаешься, не надо.

Вот этого хватит:

Код: plaintext

1.
2.
3.
4.
5.
6.

*filter
-A INPUT -p tcp --dport 2222 -j ACCEPT
-A FORWARD -d  192 . 168 . 127 . 2  -p tcp --dport 3389 -j ACCEPT
-A FORWARD -s  192 . 168 . 127 . 2  -p tcp --sport 3389 -j ACCEPT
*nat
-A PREROUTING -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.127.2:3389

...

Рейтинг:

0 / 0

10.10.2006, 15:54:26

| Ответить | Цитировать | Написать

iptables и проброс портов

#34044981

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

Код: plaintext

-A FORWARD -d  192 . 168 . 127 . 2  -p tcp --dport  3389  -j ACCEPT

это правило неприемлимо, так как при нем на порт 3389 могут подключаться все.

...

Рейтинг:

0 / 0

10.10.2006, 16:39:22

| Ответить | Цитировать | Написать

iptables и проброс портов

#34049142

mozheyko_d

Участник

Откуда: Мутноводск

Сообщения: 489

Рейтинг: 0 / 0

ALex_hha

Код: plaintext

-A FORWARD -d  192 . 168 . 127 . 2  -p tcp --dport  3389  -j ACCEPT

это правило неприемлимо, так как при нем на порт 3389 могут подключаться все.
Не "все", а кто пришёл снаружи на 2222, а их Вы, как я понял, ограничивать не собираетесь.
Прийти снаружи на 192.168.127.2:3389 невозможно кроме как придя на внешний интерфейс 3389(что Вы строго фильтруете) либо на 2222(что Вы фильтровать не собираетесь).

...

Рейтинг:

0 / 0

12.10.2006, 09:12:03

| Ответить | Цитировать | Написать

iptables и проброс портов

#34051529

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторНе "все", а кто пришёл снаружи на 2222, а их Вы, как я понял, ограничивать не собираетесь.
При этом правиле пустит всех, так как пункт назначения у них один и тот же. Как для порта 3389 так и для порта 2222

Если б можно было задать правила типа
-A FORWARD --sport 2222 -d 192.168.127.2 -p tcp --dport 3389 -j ACCEPT

тогда б не было проблем.

Как я понял, единственный выход, маркировка пакетов пришедших на порт 2222, и потом в цепочке FORWARD разрешать проброс только для пакетов с определенным маркером.

...

Рейтинг:

0 / 0

12.10.2006, 17:29:50

| Ответить | Цитировать | Написать

iptables и проброс портов

#34052387

v6y

Участник

Откуда: Душанбе, Таджикистан

Сообщения: 733

Рейтинг: 0 / 0

ALex_hha
Как я понял, единственный выход, маркировка пакетов пришедших на порт 2222, и потом в цепочке FORWARD разрешать проброс только для пакетов с определенным маркером.
Sorry если опять что то не так понял, но если протокол tcp, то почему нельзя просто syn-ки прибить на 3389:

Код: plaintext

iptables -A INPUT -p tcp --dport 3389 --syn -j REJECT

...

Рейтинг:

0 / 0

13.10.2006, 08:33:40

| Ответить | Цитировать | Написать

iptables и проброс портов

#34052535

mozheyko_d

Участник

Откуда: Мутноводск

Сообщения: 489

Рейтинг: 0 / 0

ALex_hha авторНе "все", а кто пришёл снаружи на 2222, а их Вы, как я понял, ограничивать не собираетесь.
При этом правиле пустит всех, так как пункт назначения у них один и тот же. Как для порта 3389 так и для порта 2222

Если б можно было задать правила типа
-A FORWARD --sport 2222 -d 192.168.127.2 -p tcp --dport 3389 -j ACCEPT

тогда б не было проблем.

Как я понял, единственный выход, маркировка пакетов пришедших на порт 2222, и потом в цепочке FORWARD разрешать проброс только для пакетов с определенным маркером.

Кто-то из нас не понимает другого.

Кого он пустит?
Пример можно ?

...

Рейтинг:

0 / 0

13.10.2006, 09:34:02

| Ответить | Цитировать | Написать

iptables и проброс портов

#34052598

Barlone

Участник

Сообщения: 1 506

Рейтинг: 0 / 0

ALex_hhaПросто порт 3389 всем известен. А вот если я задам например 45896, то врдяли кто то его случайно найдет.Зря вы так думаете. Найдут. Загляните в логи файрвола - порты сканируют по нескольку раз в день.

...

Рейтинг:

0 / 0

13.10.2006, 09:53:52

| Ответить | Цитировать | Написать

iptables и проброс портов

#34053231

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторЗря вы так думаете. Найдут. Загляните в логи файрвола - порты сканируют по нескольку раз в день.
даже если найдут открытый порт, что им это даст? Откуда они будут знать что там рдп? Я ж писал это защита от дурака. А если там будет тарпит, то ты ОЧЕНЬ долго будешь сканировать 65535 портов ;)

авторSorry если опять что то не так понял, но если протокол tcp, то почему нельзя просто syn-ки прибить на 3389
зачем, если политика по умолчанию DROP?

авторКого он пустит?
пустит всех, кто попытается подсоединится на порт 3389

Вообщем решил проблему с помощью маркировки.

...

Рейтинг:

0 / 0

13.10.2006, 12:25:42

| Ответить | Цитировать | Написать

iptables и проброс портов

#34053588

mozheyko_d

Участник

Откуда: Мутноводск

Сообщения: 489

Рейтинг: 0 / 0

ALex_hha

авторКого он пустит?
пустит всех, кто попытается подсоединится на порт 3389

Вообщем решил проблему с помощью маркировки.

Вы же сами писали что
ALex_hha
...
Но к этому порту 3389 могут подключаться только опредленные ip.
...

Так что проблемы я не вижу.

...

Рейтинг:

0 / 0

13.10.2006, 13:39:04

| Ответить | Цитировать | Написать

20 сообщений из 20, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / iptables и проброс портов

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=34043420&tid=1488936]:	0ms
get settings:	7ms
get forum list:	10ms
check forum access:	2ms
check topic access:	2ms
track hit:	34ms
get topic data:	8ms
get forum data:	2ms
get page messages:	38ms
get tp. blocked users:	1ms
others:	208ms

total:	312ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы