Zrób
Kod: Zaznacz cały
iptables-save > plik_regulWydaje mi się że nie wyczyściłeś starych niepoprawnych reguł i pakiet jest wyłapywany przez wcześniejszą regułę, która robi z nim coś innego niż przekierowanie.
Przekierowanie portów
Zrobiłem sobie wirtualne środowisko z twoją adresacją i wszystkie te reguły działają.
Zrób i wklej cały plik tutaj.
Wydaje mi się że nie wyczyściłeś starych niepoprawnych reguł i pakiet jest wyłapywany przez wcześniejszą regułę, która robi z nim coś innego niż przekierowanie.
Zrób
Wydaje mi się że nie wyczyściłeś starych niepoprawnych reguł i pakiet jest wyłapywany przez wcześniejszą regułę, która robi z nim coś innego niż przekierowanie.
-
ciscoknx90
- Posty: 27
- Rejestracja: 22 lipca 2013, 08:06
Jutro rano wkleję.
Jakie reguły są według ciebie niepoprawne? Bo może faktycznie nie usunąłem czegoś.
Dalej nie działa.
Jakie reguły są według ciebie niepoprawne? Bo może faktycznie nie usunąłem czegoś.
Kod: Zaznacz cały
#!/bin/sh
### BEGIN INIT INFO
# Provides: scriptname
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start daemon at boot time
# Description: Enable service provided by daemon.
### END INIT INFO
# wlaczenie w kernelu forwardowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw (pakiety znajdujace sie tylko tablicy routingu)
#######/bin/echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
/bin/echo 1 > /proc/sys/net/ipv4/tcp_timestamps
/bin/echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
/bin/echo 10 > /proc/sys/net/ipv4/ipfrag_time
#/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
/bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
/bin/echo 1 > /proc/sys/net/ipv4/tcp_rfc1337
/bin/echo 1 > /proc/sys/net/ipv4/ip_no_pmtu_disc
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#/bin/echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
#/bin/echo 360 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
/bin/echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
/bin/echo 2400 > /proc/sys/net/ipv4/tcp_keepalive_time
/bin/echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
/bin/echo 0 > /proc/sys/net/ipv4/tcp_sack
/bin/echo 20 > /proc/sys/net/ipv4/ipfrag_time
/bin/echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# WĹ‚aczenie proxy arp - dzieki temu serwer nie zdycha po kilku
#/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size
################################
### czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
### koniec czyszczenia starych regul
################################
###############################
###
################################
### ustawienie domyslnej polityki
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 88 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 100 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 7000 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 11111 -j ACCEPT
#########################
### kamery
iptables -A FORWARD --protocol tcp --destination-port 37777 -j ACCEPT
iptables -A FORWARD --protocol udp --destination-port 37778 -j ACCEPT
iptables -A FORWARD --protocol tcp --source-port 37770 -j ACCEPT
iptables -A INPUT --protocol udp --source-port 53 -j ACCEPT
iptables -A INPUT --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
### koniec ustawień domyślnej polityki
################################
################################
###### POĹÄ„CZENIA NAWIÄ„ZANE
##############
## utrzymywanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT
## koniec podtrzymywania polaczen
##############
###### KONIEC POĹÄ„CZEĹ NAWIÄ„ZANYCH
################################
################################
###### PRZEKIEROWANIA PORTOW
#Kamery
#TESTOWE!!
#iptables -I FORWARD --protocol tcp -d 192.168.2.254 --dport 80 -j ACCEPT
#iptables -t nat -I PREROUTING --protocol tcp -d 0/0 --dport 11111 -j DNAT --to 192.168.2.254:80
# <============>
# KAMERY
# <============>
iptables -I FORWARD --protocol tcp -d ip_zew --dport 37770 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 37770 -j ACCEPT
iptables -I FORWARD --protocol tcp -d ip_zew --dport 37777 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 37777 -j ACCEPT
iptables -I FORWARD --protocol tcp -d ip_zew --dport 37778 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 37778 -j ACCEPT
iptables -I FORWARD --protocol tcp -d ip_zew --dport 11111 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 554 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i 10.5.5.2 --dport 37770 -j DNAT --to 192.168.2.254:37770
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 37770 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -I PREROUTING --protocol tcp -d ip_zew --dport 37770 -j DNAT --to 192.168.2.254:37770
iptables -t nat -I PREROUTING --protocol udp -d ip_zew --dport 554 -j DNAT --to 192.168.2.254:554
iptables -t nat -I PREROUTING --protocol tcp -d ip_zew --dport 37777 -j DNAT --to 192.168.2.254:37777
iptables -t nat -I PREROUTING --protocol udp -d ip_zew --dport 37778 -j DNAT --to 192.168.2.254:37778
###### KONIEC PRZEKIEROWANIA PORTOW
################################
################################
###### udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 0/0 -d 0.0.0.0/0 -j SNAT --to 10.5.5.2
###### koniec udostepniania internetu w sieci lokalnej
################################
###############################
###### forwardowanie vpn
# iptables -A FORWARD -i tun+ -j ACCEPT
###### koniec forwardowania vpn
################################Gdzie to mam zrobić? Powyższy wpis skopiowałem z pliku firewall.Kod: Zaznacz cały
iptables-save > plik_regul
-
ciscoknx90
- Posty: 27
- Rejestracja: 22 lipca 2013, 08:06
Kod: Zaznacz cały
# Generated by iptables-save v1.4.8 on Mon Aug 26 07:59:02 2013
*mangle
:PREROUTING ACCEPT [1799907:1312435090]
:INPUT ACCEPT [210161:18667690]
:FORWARD ACCEPT [1588758:1293715855]
:OUTPUT ACCEPT [142471:353921185]
:POSTROUTING ACCEPT [1731181:1647629836]
COMMIT
# Completed on Mon Aug 26 07:59:02 2013
# Generated by iptables-save v1.4.8 on Mon Aug 26 07:59:02 2013
*nat
:PREROUTING ACCEPT [27750:2037476]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [6208:465008]
-A PREROUTING -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.2.252:1234
-A PREROUTING -p tcp -m tcp --dport 1115 -j DNAT --to-destination 192.168.2.252:3389
-A PREROUTING -d ip_zew/32 -p udp -m udp --dport 37778 -j DNAT --to-destination 192.168.2.25$
-A PREROUTING -d ip_zew/32 -p tcp -m tcp --dport 37777 -j DNAT --to-destination 192.168.2.25$
-A PREROUTING -d ip_zew/32 -p udp -m udp --dport 554 -j DNAT --to-destination 192.168.2.254:$
-A PREROUTING -d ip_zew/32 -p tcp -m tcp --dport 37770 -j DNAT --to-destination 192.168.2.25$
-A PREROUTING -i 10.5.5.2 -p tcp -m tcp --dport 37770 -j DNAT --to-destination 192.168.2.254:37770
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -j SNAT --to-source 10.5.5.2
COMMITTe znaczki na końcu również mnie ciekawią, natomiast to co jest istotne, to fakt że stan reguł które są "aktywne" w danej chwili nie bardzo zgadza się z tym co masz w skrypcie FW.
Nie widać żadnych wpisów dla tabeli filter (w tym także potrzebnych wpisów z łańcucha FORWARD).
Albo jest jakiś problem z iptables-save, albo "coś" sprawia że reguły odbiegają od tego co przedstawiłeś w pliku FW.
Jeśli nic nie zmieniałeś w regułach od czasu wygenerowania pliku poleceniem
To przedstaw jeszcze wynik polecenia
Nie widać żadnych wpisów dla tabeli filter (w tym także potrzebnych wpisów z łańcucha FORWARD).
Albo jest jakiś problem z iptables-save, albo "coś" sprawia że reguły odbiegają od tego co przedstawiłeś w pliku FW.
Jeśli nic nie zmieniałeś w regułach od czasu wygenerowania pliku poleceniem
Kod: Zaznacz cały
iptables-save > plikKod: Zaznacz cały
iptables -t filter -L -n -v-
ciscoknx90
- Posty: 27
- Rejestracja: 22 lipca 2013, 08:06
Jak ja uwielbiam administratorów, którzy bawią się w fotografów zamiast przekierować wynik polecenia z konsoli do pliku. I potem się taki dziwi, że coś nie działa lub nikt nie chce pomóc. Jak nie zna podstaw posługiwania się systemem.
Jak można pomóc, jak pan administrator nie zajrzy nawet do podręcznika systemowego:
threads/5676-Przeczytaj-zanim-cokolwiek-napiszesz
content/402-Iptables-dla-pocz%C4%85tkuj%C4%85cych-cz.-1
Podstawy:
threads/13294-Ale-co-ja-mam-zrobi%C4%87 ... #post84983
Jak można pomóc, jak pan administrator nie zajrzy nawet do podręcznika systemowego:
Kod: Zaznacz cały
man iptablesA wyniki poleceń wkleja w postaci obrazka, zamiast:SEE ALSO
iptables-save(8), iptables-restore(8), ip6tables(8), ip6tables-save(8),
ip6tables-restore(8), libipq(3)
Kod: Zaznacz cały
polecenie>wynik.txtcontent/402-Iptables-dla-pocz%C4%85tkuj%C4%85cych-cz.-1
Podstawy:
threads/13294-Ale-co-ja-mam-zrobi%C4%87 ... #post84983
-
ciscoknx90
- Posty: 27
- Rejestracja: 22 lipca 2013, 08:06
Kod: Zaznacz cały
iptables -t filter -L -n -vKod: Zaznacz cały
Chain INPUT (policy ACCEPT 154K packets, 14M bytes)
pkts bytes target prot opt in out source destination
66788 8065K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
289K 21M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:88
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:100
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11111
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:37777
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:37778
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:37770
7896 1678K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53
98 6409 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
62 17080 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW tcp flags:0x3F/0x10
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW tcp flags:0x3F/0x01
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW tcp flags:0x3F/0x29
21956 7108K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2432 157K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 403K packets, 22M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:554
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:11111
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:37778
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:37778
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:37777
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:37777
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:37770
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:37770
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.2.252 tcp dpt:3389
86994 12M ACCEPT tcp -- * * 0.0.0.0/0 192.168.2.252 tcp dpt:1234
58M 50G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:37770
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT 7725 packets, 551K bytes)
pkts bytes target prot opt in out source destination
271K 581M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED