[+] iptables i terminal serwisowy

Masz problemy z siecią bądź internetem? Zapytaj tu
ODPOWIEDZ
Awatar użytkownika
czarownik
Beginner
Posty: 240
Rejestracja: 22 maja 2009, 17:23

Post autor: czarownik »

-
Na górę
Pacek
Beginner
Posty: 315
Rejestracja: 18 sierpnia 2009, 15:17
Lokalizacja: Gdynia

Post autor: Pacek »

Może zacznijmy od podstaw. Iptables działa sekwencyjnie, a więc dla każdego nadchodzącego pakietu sprawdzane jest, czy spełnia warunek (polecenie iptables z parametrami). Jeżeli pasuje to jest wykonywana akcja na pakiecie (np ACCEPT DROP itp.), jeżeli nie spełnia, to wykonywane jest następne w kolejności polecenie i tak do końca Twoich reguł. No i tak na pierwszy rzut oka patrząc Twój skrypt najpierw próbuje rutować pakiet na port, który jeszcze nie ma włączonego przekazywania pakietów (forwardowania). Chodzi dokładnie o to:

Kod: Zaznacz cały

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389
/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
Proszę jeszcze kogoś mądrego o zweryfikowanie tego, czy pisze prawdę bo czasami człowiek takie głupoty opowiada ;)
Na górę
montie
Posty: 42
Rejestracja: 19 sierpnia 2008, 15:03

Post autor: montie »

No tak, to co napisałeś

Kod: Zaznacz cały

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389
/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
działa ale i to działa:

Kod: Zaznacz cały

/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.2:3389
ale tylko dla portu 3389 (tak jak napisałem wcześniej).

Ale to już nie działa (wyższy port):

Kod: Zaznacz cały

/sbin/iptables -A FORWARD -p tcp --dport 13389 -j ACCEPT

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 13389 -j DNAT --to-destination 10.0.0.2:3389
Nie jestem aż takim specem od tego, uczę się iptables dopiero i im więcej wiem tym wiem że jestem głupszy.

Dodane:
Jakim oprogramowaniem linuksowym mogę sprawdzić co się dzieje z pakietem? Może tak dojdę do tego co jest nie tak.

Dodane:
Już wiem, do komunikacji z terminal serwerami nieważne czy std port 3389 lub też inny trzeba pozwolić firewallowi na ruch na porcie 3389, i ta konfiguracja działa:

Kod: Zaznacz cały

/sbin/iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 13389 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 13389 -j DNAT --to-destination 10.0.0.2:3389
Opis usługi http://technet.microsoft.com/en-us/libr ... 10%29.aspx
Załącznik cc755399.d5d6fc8d-1c9a-4a6c-ac97-243c24faf8b7(en-us,WS.10)[1].gif nie jest już dostępny
Załączniki
cc755399.d5d6fc8d-1c9a-4a6c-ac97-243c24faf8b7(en-us,WS.10)[1].gif
Na górę
Pacek
Beginner
Posty: 315
Rejestracja: 18 sierpnia 2009, 15:17
Lokalizacja: Gdynia

Post autor: Pacek »

To fajnie że działa
Na górę
montie
Posty: 42
Rejestracja: 19 sierpnia 2008, 15:03

Post autor: montie »

Jeszcze jedno pytanie, gdzie najlepiej blokować adresy MAC? na początku po domyślnej polityce sieci czy gdzieś przy końcu?
Na górę
Awatar użytkownika
Bastian
Member
Posty: 1424
Rejestracja: 30 marca 2008, 16:09
Lokalizacja: Poznañ

Post autor: Bastian »

Wszystko zalży do tego co chcesz osiągnąć. Jeśli chcesz domyślnie całkowicie blokować jakieś hosty po MAC to na początku.
Na górę
montie
Posty: 42
Rejestracja: 19 sierpnia 2008, 15:03

Post autor: montie »

Witaj, i tak też zrobiłem i działa :)
Na górę
ODPOWIEDZ

Wróć do „Sieci”