| Autor |
Sõnum |
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
Tere, selline probleem siis shorewalliga: configuratsioonis on järgvenad read ning jama on selles, et telneti tehes sellele pordile näitab nagu kõik töötaks kuid masinasse .155 ei jõua kohale mittemidagi. Logides ei ole näha ei suunamist ega pordi blokeerimist.
NB:terminali suunamine toimib ilma probleemideta. Igasugust teist süntaksit on kah proovitud- vaikus. Shorewalli laadisin ümber käsuga: "service shorewall restart". Operatsioonisüsteemiks on CentOS 4.6.
| Kood: | | #LUBAME Telneti
ACCEPT net loc:192.168.0.155 tcp 6710
# Telneti SUUNAMINE
DNAT net fw:192.168.0.155:6710 tcp 6710
#TERMINALI SUUNAMINE
DNAT net loc:192.168.0.250 tcp 3389 - xxx.159.241.xxx |
Milles võib olla jama?
|
|
|
|
Viimati muutis antik2 16.10.2008, 14:34; muudetud 1 kord
|
|
|
  |
bobc
Pingviini aktivist
Vanus: 44
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
|
|
Uuri mis iptables kostab, kuidas kuvab su reeglit.
| Kood: | |
iptables -L -n
või
iptables-save
|
Sisuliselt peaks selline rida toimima:
| Kood: | |
iptables -I INPUT -p tcp -i "seade kuhu järgi .155 ühendatud" -s 192.168.0.155 --dport 6710 -j ACCEPT
|
kindlasti koostab su shorewall keerulisema reegli.
|
|
|
|
_________________
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| bobc kirjutas: | | kindlasti koostab su shorewall keerulisema reegli. |
"iptables -L -n" näitab:
| Kood: | | Chain net2loc (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 192.168.0.155 tcp dpt:6710 |
"iptables-save" väljund:
| Kood: | | -A net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT |
|
|
|
|
|
|
|
|
bobc
Pingviini aktivist
Vanus: 44
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
|
|
Probleem minule paistab selles et esimene rida, net2loc käsitleb seotud ja olemasolevadi ühendusi, kuna aga su 6710 pordi ühendus on NEW (markeeringuga) ei jõuta sinna reeglini üldse.
Peaksid olema teistpidi. Kuskil ahelates peab olema sul ka kirjed kus käsitletakse NEW markeeringuga reegleid (Võimalik, et ei ole NEW markeeringuga pakettide käsitlemist vaid INPUT on seatud DROP -ima kui puudub kirje.
iptables -D net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT
iptables -I net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT
-I seab reegli esimeseks, -D eemaldab reegli.
|
|
|
|
_________________
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| bobc kirjutas: | | iptables -D net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT
iptables -I net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT
-I seab reegli esimeseks, -D eemaldab reegli. |
Jama on veel selles, et logides ei näe üldse, et sellele pordile oleks keegi üldse üritanudki ligi pääseda, nmap näitab:
| Kood: | | PORT STATE SERVICE
6710/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds |
|
|
|
|
|
|
|
|
bobc
Pingviini aktivist
Vanus: 44
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
|
|
Ma panin natuke mõõda eelneva jutuga, ma sain nii aru, et sa soovid masin .155 pealt saada uhendust selle masinaga mille tulemüüri torgid. Aga paistab, et sa tahad oopis antud X masina pealt teha ühendust .155 masinale.
Saan ma õieti aru.
Need reeglid mis sa postisid "-d 192.168.0.155" nende tõlgendus oleks siis, et sa lubad antud masina pealt ühendust .155 arvutile (peaksid olema OUTPUT -is).
Või tahad sa teha miskit suunamist ?
|
|
|
|
_________________
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| bobc kirjutas: | | Ma panin natuke mõõda eelneva jutuga, ma sain nii aru, et sa soovid masin .155 pealt saada uhendust selle masinaga mille tulemüüri torgid. Aga paistab, et sa tahad oopis antud X masina pealt teha ühendust .155 masinale.
Saan ma õieti aru.
Need reeglid mis sa postisid "-d 192.168.0.155" nende tõlgendus oleks siis, et sa lubad antud masina pealt ühendust .155 arvutile (peaksid olema OUTPUT -is).
Või tahad sa teha miskit suunamist ? |
Ma tahan väljastpoolt internetist suunata ruuteril pordi 6710 sisevõrguaadressile 192.168.0.155 pordile 6710.
|
|
|
|
|
|
|
|
bobc
Pingviini aktivist
Vanus: 44
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
|
|
Nii nüüd sain pihta mida sa soovid (PREROUTING), kuidas seda teostada sinu tulemüüritarkvaraga ei tea aga kuidas iptablesiga seda küll.
| Kood: | |
iptables -I INPUT -p tcp -i eth0 --sport 1024:65535 --dport 6710 -j ACCEPT
iptables -I FORWARD -p tcp -i eth0 --sport 1024:65535 --dport 6710 -j ACCEPT
iptables -t nat -I PREROUTING -i eth0 -p tcp --sport 1024:65535 --dport 6710 -j DNAT --to 192.168.0.155:6710
echo 1 > /proc/sys/net/ipv4/ip_forward
|
Eeldades, et eth0 on seade, mille otsas välisühendus (võib olla ka ppp0 jne)
Peaks taolist viisi toimima, ei oska kahjuks aidata kuidas sinu tulemüüri
confi antud info sisse torgata. Loodan, et sellest on abi.
|
|
|
|
_________________
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| bobc kirjutas: | | Peaks taolist viisi toimima, ei oska kahjuks aidata kuidas sinu tulemüüri confi antud info sisse torgata. Loodan, et sellest on abi. |
Shorewall on saatanast- läbustab /var/log/messages igast sodi täis aga seda mida vaja, seda ei näita. See ei ole ju loogiline, kui nmap näitab, et port on lahti ja telnetiga sellesse porti minnes näitab, et ühendus on tekitatud- samas shorewalli logides ei ole mittekuimidagi, isegi iptables ise ei näita, et samal ajal on keegi selle pordi kallal. Ah see CentOS läheb niikuinii mahakandmisele- ei viitsi sellega rohkem jamada- interneti hakkab jagama Cisco 881 ruuter.
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
| Kood: | |
#LUBAME Telneti
ACCEPT net loc:192.168.0.155 tcp 6710
# Telneti SUUNAMINE
DNAT net fw:192.168.0.155:6710 tcp 6710 |
võimalik, et panen nüüd täitsa puusse, aga kas esimest rida on üldse vaja? ja teiseks, kas DNAT ei peaks olema sedasi:
| Kood: | | DNAT net loc:192.168.0.155:6710 tcp 6710 |
suunamine peaks ikka minema lokaalvõrku edasi, mitte samasse masinasse endasse kinni jääma?
|
|
|
|
_________________
  
|
|
|
 |
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
Mina kasutangi suunamiseks poest ostetud trendnet'i nat ruuterit välise IP jaoks.
Töölauaarvuti sisaldab endas veel ufw ruuterit. Seda välisvõrgu ja trendneti lubatud suunamise ja kerneli kaitseks.
Topelt ei kärise.
|
|
|
|
|
|
|
|
|
|
