Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 16.10.2008, 09:21  postituse pealkiri:  shorewall tulemüüri pordi suunamise probleem  

Tere, selline probleem siis shorewalliga: configuratsioonis on järgvenad read ning jama on selles, et telneti tehes sellele pordile näitab nagu kõik töötaks kuid masinasse .155 ei jõua kohale mittemidagi. Logides ei ole näha ei suunamist ega pordi blokeerimist.

NB:terminali suunamine toimib ilma probleemideta. Igasugust teist süntaksit on kah proovitud- vaikus. Shorewalli laadisin ümber käsuga: "service shorewall restart". Operatsioonisüsteemiks on CentOS 4.6.

Kood:
#LUBAME Telneti
ACCEPT net loc:192.168.0.155    tcp 6710

# Telneti SUUNAMINE
DNAT    net     fw:192.168.0.155:6710   tcp     6710

#TERMINALI SUUNAMINE
DNAT    net     loc:192.168.0.250       tcp     3389    -       xxx.159.241.xxx


Milles võib olla jama?




Viimati muutis antik2 16.10.2008, 13:34; muudetud 1 kord
bobc
Pingviini aktivist
Pingviini aktivist


Vanus: 42
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
estonia.gif
postituspostitatud: 16.10.2008, 12:01  postituse pealkiri:  (teema puudub)  

Uuri mis iptables kostab, kuidas kuvab su reeglit.

Kood:

iptables -L -n
või
iptables-save


Sisuliselt peaks selline rida toimima:

Kood:

iptables -I INPUT -p tcp -i "seade kuhu järgi .155 ühendatud" -s 192.168.0.155 --dport 6710 -j ACCEPT

kindlasti koostab su shorewall keerulisema reegli.

_________________
Image

antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 16.10.2008, 12:41  postituse pealkiri:  (teema puudub)  

bobc kirjutas:
kindlasti koostab su shorewall keerulisema reegli.


"iptables -L -n" näitab:

Kood:
Chain net2loc (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.155       tcp dpt:6710


"iptables-save" väljund:

Kood:
-A net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT


bobc
Pingviini aktivist
Pingviini aktivist


Vanus: 42
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
estonia.gif
postituspostitatud: 16.10.2008, 13:16  postituse pealkiri:  (teema puudub)  

Probleem minule paistab selles et esimene rida, net2loc käsitleb seotud ja olemasolevadi ühendusi, kuna aga su 6710 pordi ühendus on NEW (markeeringuga) ei jõuta sinna reeglini üldse.
Peaksid olema teistpidi. Kuskil ahelates peab olema sul ka kirjed kus käsitletakse NEW markeeringuga reegleid (Võimalik, et ei ole NEW markeeringuga pakettide käsitlemist vaid INPUT on seatud DROP -ima kui puudub kirje.

iptables -D net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT
iptables -I net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT

-I seab reegli esimeseks, -D eemaldab reegli.

_________________
Image

antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 16.10.2008, 13:33  postituse pealkiri:  (teema puudub)  

bobc kirjutas:
iptables -D net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT
iptables -I net2loc -d 192.168.0.155 -p tcp -m tcp --dport 6710 -j ACCEPT

-I seab reegli esimeseks, -D eemaldab reegli.


Jama on veel selles, et logides ei näe üldse, et sellele pordile oleks keegi üldse üritanudki ligi pääseda, nmap näitab:

Kood:
PORT     STATE SERVICE
6710/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds


bobc
Pingviini aktivist
Pingviini aktivist


Vanus: 42
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
estonia.gif
postituspostitatud: 16.10.2008, 13:54  postituse pealkiri:  (teema puudub)  

Ma panin natuke mõõda eelneva jutuga, ma sain nii aru, et sa soovid masin .155 pealt saada uhendust selle masinaga mille tulemüüri torgid. Aga paistab, et sa tahad oopis antud X masina pealt teha ühendust .155 masinale.
Saan ma õieti aru.
Need reeglid mis sa postisid "-d 192.168.0.155" nende tõlgendus oleks siis, et sa lubad antud masina pealt ühendust .155 arvutile (peaksid olema OUTPUT -is).
Või tahad sa teha miskit suunamist ?

_________________
Image

antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 16.10.2008, 15:25  postituse pealkiri:  (teema puudub)  

bobc kirjutas:
Ma panin natuke mõõda eelneva jutuga, ma sain nii aru, et sa soovid masin .155 pealt saada uhendust selle masinaga mille tulemüüri torgid. Aga paistab, et sa tahad oopis antud X masina pealt teha ühendust .155 masinale.
Saan ma õieti aru.
Need reeglid mis sa postisid "-d 192.168.0.155" nende tõlgendus oleks siis, et sa lubad antud masina pealt ühendust .155 arvutile (peaksid olema OUTPUT -is).
Või tahad sa teha miskit suunamist ?


Ma tahan väljastpoolt internetist suunata ruuteril pordi 6710 sisevõrguaadressile 192.168.0.155 pordile 6710.


bobc
Pingviini aktivist
Pingviini aktivist


Vanus: 42
Liitunud: 09.07.2005
Postitused: 165
Asukoht: undef
Distributsioon: SouRCe64 GNU/Linux
estonia.gif
postituspostitatud: 16.10.2008, 18:53  postituse pealkiri:  (teema puudub)  

Nii nüüd sain pihta mida sa soovid (PREROUTING), kuidas seda teostada sinu tulemüüritarkvaraga ei tea aga kuidas iptablesiga seda küll.
Kood:

iptables -I INPUT -p tcp -i eth0 --sport 1024:65535 --dport 6710 -j ACCEPT
iptables -I FORWARD -p tcp -i eth0 --sport 1024:65535 --dport 6710 -j ACCEPT

iptables -t nat -I PREROUTING -i eth0 -p tcp --sport 1024:65535 --dport 6710 -j DNAT --to 192.168.0.155:6710

echo 1 > /proc/sys/net/ipv4/ip_forward


Eeldades, et eth0 on seade, mille otsas välisühendus (võib olla ka ppp0 jne)

Peaks taolist viisi toimima, ei oska kahjuks aidata kuidas sinu tulemüüri
confi antud info sisse torgata. Loodan, et sellest on abi.

_________________
Image

antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 16.10.2008, 19:18  postituse pealkiri:  (teema puudub)  

bobc kirjutas:
Peaks taolist viisi toimima, ei oska kahjuks aidata kuidas sinu tulemüüri confi antud info sisse torgata. Loodan, et sellest on abi.


Shorewall on saatanast- läbustab /var/log/messages igast sodi täis aga seda mida vaja, seda ei näita. See ei ole ju loogiline, kui nmap näitab, et port on lahti ja telnetiga sellesse porti minnes näitab, et ühendus on tekitatud- samas shorewalli logides ei ole mittekuimidagi, isegi iptables ise ei näita, et samal ajal on keegi selle pordi kallal. Ah see CentOS läheb niikuinii mahakandmisele- ei viitsi sellega rohkem jamada- interneti hakkab jagama Cisco 881 ruuter.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 17.10.2008, 11:58  postituse pealkiri:  (teema puudub)  

Kood:

#LUBAME Telneti
ACCEPT net loc:192.168.0.155    tcp 6710

# Telneti SUUNAMINE
DNAT    net     fw:192.168.0.155:6710   tcp     6710


võimalik, et panen nüüd täitsa puusse, aga kas esimest rida on üldse vaja? ja teiseks, kas DNAT ei peaks olema sedasi:

Kood:
DNAT    net     loc:192.168.0.155:6710   tcp     6710

suunamine peaks ikka minema lokaalvõrku edasi, mitte samasse masinasse endasse kinni jääma?

_________________
Image Image Image

midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 17.10.2008, 14:19  postituse pealkiri:  (teema puudub)  

Mina kasutangi suunamiseks poest ostetud trendnet'i nat ruuterit välise IP jaoks.

Töölauaarvuti sisaldab endas veel ufw ruuterit. Seda välisvõrgu ja trendneti lubatud suunamise ja kerneli kaitseks.
Topelt ei kärise.


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group