qemu i brak przekierowania portów w iptables

[szakkanaku]

Witam!
Dawno tu mnie nie było - być może dlatego, że udawało mi się rozwiązywać napotkane problemy. Niedawno jednak napotkałem problem, którego nie mogę rozgryźć, ani przeskoczyć. Mianowicie chodzi o przekierowanie paru portów. Pewnie zaraz pojawią się głosy, że temat wałkowany tysiąc razy itp, a jednak problem występuje. Grzebałem już po tym forum, innych oraz przetrzepałem kieszenie wujkowi Google i nic.

Może teraz parę szczegółów. Postawiłem sobie serwer, w którym zainstalowałem qemu. Stworzyłem wirtualną maszynę poprzez qemu z serwerem www apache2. Próbuję przekierować port 80 z eth0 na port 9001 na br0. Teraz podam więcej informacji:

Kod: Zaznacz cały

ifconfig
br0       Link encap:Ethernet  HWaddr xxx 
          inet addr:10.168.10.1  Bcast:192.168.255.255  Mask:255.255.0.0
          inet6 addr: xxx Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:964 errors:0 dropped:0 overruns:0 frame:0
          TX packets:512 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:187556 (183.1 KiB)  TX bytes:172383 (168.3 KiB)

eth0      Link encap:Ethernet  HWaddr xxx 
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: xxx Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6761 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6101 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:812145 (793.1 KiB)  TX bytes:1101365 (1.0 MiB)
          Interrupt:17 Base address:0xec00

eth1      Link encap:Ethernet  HWaddr xxx 
          inet6 addr: xxx Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:977 errors:0 dropped:0 overruns:0 frame:0
          TX packets:512 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:202696 (197.9 KiB)  TX bytes:174225 (170.1 KiB)
          Interrupt:16 Base address:0x2800

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:227 errors:0 dropped:0 overruns:0 frame:0
          TX packets:227 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:24896 (24.3 KiB)  TX bytes:24896 (24.3 KiB)

tap0      Link encap:Ethernet  HWaddr xxx 
          inet6 addr: xxx Scope:Link
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Adresów mac nie podałem ze względów bezpieczeństwa.

Kod: Zaznacz cały

netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.1.0     *               255.255.255.0   U         0 0          0 eth0
10.168.0.0      *               255.255.0.0     U         0 0          0 br0
default         192.168.1.1     0.0.0.0         UG        0 0          0 eth0

Kod: Zaznacz cały

iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:www 
ACCEPT     tcp  --  10.168.10.0/24       anywhere            tcp dpt:domain 
ACCEPT     udp  --  10.168.10.0/24       anywhere            udp dpt:domain 
ACCEPT     udp  --  10.168.10.0/24       anywhere            udp dpt:bootps 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED 
ACCEPT     tcp  --  o1                   anywhere            tcp dpt:ftp 
ACCEPT     tcp  --  o1                   anywhere            tcp dpt:www 
ACCEPT     tcp  --  o1                   anywhere            tcp dpt:7171 
ACCEPT     tcp  --  o1                   anywhere            tcp dpt:7171 
ACCEPT     icmp --  o1                   anywhere            icmp echo-request 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:9001 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:www 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ssh

Kod: Zaznacz cały

iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 422 packets, 40670 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   12   720 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.2       tcp dpt:80 to:10.168.10.1:9001 

Chain POSTROUTING (policy ACCEPT 44 packets, 8691 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  352 24871 SNAT       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           to:192.168.1.2 

Chain OUTPUT (policy ACCEPT 325 packets, 24959 bytes)
 pkts bytes target     prot opt in     out     source               destination

moj firewall

Kod: Zaznacz cały

#!/bin/sh
# Czyszczenie tablic NAT-a i filtrowania
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A FORWARD -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED
iptables -t filter -A FORWARD -p tcp -s 10.168.10.2/32 --dport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 10.168.10.2/32 --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 10.168.10.2/32 --dport 7171 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 10.168.10.2/32 --dport 7171 -j ACCEPT
iptables -t filter -A FORWARD -s 10.168.10.2/32 -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth0 --dport 9001 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i br0 --sport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source=192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.2 --dport 80 -j DNAT --to-destination 10.168.10.1:9001

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 80 -j ACCEPT
iptables -A INPUT -s 10.168.10.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 10.168.10.0/24 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 10.168.10.0/24 -p udp --dport 67 -j ACCEPT

iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p udp --dport 80 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p udp --dport 22 -j ACCEPT

Logując się na serwer przez ssh mogę bez problemu wywołać następujące polecenie:

Kod: Zaznacz cały

telnet 10.168.10.1 9001
Trying 10.168.10.1...
Connected to 10.168.10.1.
Escape character is '^]'.
GET /index.html
<html><body><h1>It works!</h1>
<p>This is the default web page for this server.</p>
<p>The web server software is running but no content has been added, yet.</p>
</body></html>
Connection closed by foreign host.

ale jak próbuję uruchomić stronę z zewnątrz to się nie uruchamia. Próbowałem już wielu sposobów na przekierowanie portu, bo tu chyba występuje problem, ale to nie działa jak należy. Co dziwne jak wywołuje polecenie:

Kod: Zaznacz cały

iptables -t nat -L -n -v

to pojawia się informacja, że jakieś pakiety są przekierowywane:

Kod: Zaznacz cały

12   720 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.2       tcp dpt:80 to:10.168.10.1:9001

Używałem także innej opcji:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to-port 9001

ale także nie skutkuje.

Jeśli ktoś ma jakiś pomysł jak sprawdzić co jest nie tak lub, nawet lepiej, jak rozwiązać ten problem to czekam na propozycje.

[grzesiek]

Zaraz, zaraz. Adres maszyny KVM to nie to samo co adres mostu! Przekieruj na taki adres jaki ustawiłeś dla maszyny.

Poza tym jeżeli piszesz tak:

Kod: Zaznacz cały

iptables -A FORWARD -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED
iptables -t filter -A FORWARD -p tcp -s 10.168.10.2/32 --dport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 10.168.10.2/32 --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 10.168.10.2/32 --dport 7171 -j ACCEPT
...

to wiedz, że druga i kolejne reguły w tym łańcuchu nie będą czytane, bo jądro dopasuje każdy pakiet (poprawny) do pierwszej reguły.

Teraz trzecia uwaga, choć nie istotna z praktycznego punktu widzenia w tym temacie, to fajnie by było gdyby admin rozumiał takie rzeczy.

Adresów mac nie podałem ze względów bezpieczeństwa.

Otóż adres MAC ma znaczenie tylko dla najbliższych sąsiadów, jeżeli dzieli ich jakikolwiek router to w komunikacji jest używany jego adres MAC, a nie twojego serwera. To inna warstwa sieciowa - Ethernet.

[szakkanaku]

Zaraz, zaraz. Adres maszyny KVM to nie to samo co adres mostu! Przekieruj na taki adres jaki ustawiłeś dla maszyny.

To sprawdzę dzisiaj dopiero. Z tego co już wcześniej sprawdzałem to nie mogłem bezpośrednio trafić w adres maszyny wirtualnej i jej port, bo system tego nie widział, gdyż qemu dopiero przez bramę (a dokładnie przez interfejs tap) przekierowuje do maszyny wirtualnej. Dla pewności jeszcze to sprawdzę.

.. to wiedz, że druga i kolejne reguły w tym łańcuchu nie będą czytane, bo jądro dopasuje każdy pakiet (poprawny) do pierwszej reguły.

W sumie masz rację. Dziękuję za oświecenie. Może to właśnie powodowało cały ten bałagan z przekierowaniem. Pozmieniałem trochę w firewallu. Oto przykład:

Kod: Zaznacz cały

iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -m udp --dport 22 -j ACCEPT

powinno być już lepiej - tak mi się wydaje.

Otóż adres MAC ma znaczenie tylko dla najbliższych sąsiadów, jeżeli dzieli ich jakikolwiek router to w komunikacji jest używany jego adres MAC, a nie twojego serwera. To inna warstwa sieciowa - Ethernet.

Wiem to. To ta sama sprawa co z adresem wewnętrznym w sieci, z tą tylko różnicą, że adresy mac są unikatowe - no chyba, że ktoś je z klonuje lub przypisze swój. Dla pewności jednak nie podałem.
Posprawdzam to wszystko i się jeszcze odezwę.

Dodane:
Mój firewall po zmianie:

Kod: Zaznacz cały

#!/bin/sh
# Czyszczenie tablic NAT-a i filtrowania
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -t filter -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp -s 10.168.10.2/32 --dport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp -s 10.168.10.2/32 --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp -s 10.168.10.2/32 --dport 7171 -j ACCEPT
iptables -t filter -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -m udp -s 10.168.10.2/32 --dport 7171 -j ACCEPT
iptables -t filter -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -m tcp -s 10.168.10.2/32 -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp -i eth0 -o br0 --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp -i br0 -o eth0 --dport 80 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source=192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.2 --dport 80 -j DNAT --to-destination 10.168.10.50:80

iptables -A INPUT -s 0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 10.168.10.0/24 -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 10.168.10.0/24 -p udp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 10.168.10.0/24 -p udp -m state --state NEW,ESTABLISHED,RELATED -m tcp --dport 67 -j ACCEPT

iptables -A OUTPUT -s 0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p udp -m state --state NEW,ESTABLISHED,RELATED -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p udp -m state --state NEW,ESTABLISHED,RELATED -m tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -m tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -p udp -m state --state NEW,ESTABLISHED,RELATED -m tcp --sport 22 -j ACCEPT

Wynik arp przy podaniu adresu ip maszyny wirtualnej w firewallu:

Kod: Zaznacz cały

arp
10.168.10.50                     (incomplete)                              br0

Jakieś pakiety są przesyłane, ale nie są przekierowywane

Kod: Zaznacz cały

iptables -L -n -v
6   360 ACCEPT     tcp  --  eth0   br0     0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80 
0     0 ACCEPT     tcp  --  br0    eth0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80

Kod: Zaznacz cały

iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 244 packets, 18188 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   120 DNAT       tcp  --  *      *       0.0.0.0/0            192.168.1.2       tcp dpt:80 to:10.168.10.50:80

Chain POSTROUTING (policy ACCEPT 2 packets, 120 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    60 SNAT       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           to:192.168.1.2 

Chain OUTPUT (policy ACCEPT 2492 packets, 192K bytes)
 pkts bytes target     prot opt in     out     source               destination

Wydaje mi się jednak, że trzeba przekierować port nie na adres maszyny wirtualnej, bo ta znajduje się w innej strefie i nie ma z nią bezpośredniego połączenia, a na adres interfejsu mostkującego br0. Świadczył by o tym fakt braku przypisania adresu mac w arp, port adresu ip interfejsu br0, na którym qemu nasłuchuje:

Kod: Zaznacz cały

netstat -nap
tcp        0      0 10.168.10.1:9000      0.0.0.0:*               LISTEN      1624/qemu-system-x8
tcp        0      0 10.168.10.1:9001      0.0.0.0:*               LISTEN      1624/qemu-system-x8
tcp        0      0 10.168.10.1:9000      10.168.10.1:44485     ESTABLISHED   1624/qemu-system-x8
tcp        0      0 10.168.10.1:44485     10.168.10.1:9000      ESTABLISHED   2410/ssh

a także brak możliwości bezpośredniego połączenia z maszyną wirtualną:

Kod: Zaznacz cały

telnet 10.168.10.50 80
Trying 10.168.10.50...
telnet: Unable to connect to remote host: Connection timed out

Próbowałem przekierować port na adres interfejsu mostkującego, a także na adres ip maszyny wirtualnej, jednak bez pozytywnego rezultatu - żadne pakiety nie docierają do maszyny wirtualnej (nasłuchiwanie przez tcpdump).

Adres maszyny KVM...

Nie korzystam z KVM - nie potrzebna mi wizualizacja. Używam pod terminalem samego qemu.

[grzesiek]

Wydaje mi się jednak, że trzeba przekierować port nie na adres maszyny wirtualnej, bo ta znajduje się w innej strefie...

Wiesz co robisz?

Nie korzystam z KVM - nie potrzebna mi wizualizacja. Używam pod terminalem samego qemu.

A, teraz rozumiem

A tak na poważnie, pewnie jest źle routing ustawiony, ale już nie będę się wtrącać.

[szakkanaku]

Routing mam chyba dobrze ustawiony:

Kod: Zaznacz cały

netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.1.0     *               255.255.255.0   U         0 0          0 eth0
10.168.0.0      *               255.255.0.0     U         0 0          0 br0
default         192.168.1.1     0.0.0.0         UG        0 0          0 eth0

Ma ktoś jeszcze jakiś pomysł na rozwiązanie tego problemu?

[markossx]

Zapoznaj się dokładniej z warstwami 2 i 3 modelu OSI. Sama nazwa wskazuje, że iptables działa na warstwie sieciowej a most to styk w warstwie łącza. Do działania na interfejsach typu most służy ebtables chociaż można wymusić na iptables, żeby filtrował również most. To potraktuj jako zadanie domowe...

[grzesiek]

Jeżeli wszystko masz dobrze ustawione i możesz łączyć się z tym wirtualnym hostem, to może problem leży w tym, że nigdzie nie masz mechanizmu NAT dla sieci wewnętrznej (MASQUERADE).

[szakkanaku]

Do działania na interfejsach typu most służy ebtables ...

Masz rację. Zacząłem kopać po sieci i też na to natrafiłem. Będę musiał się temu przyjrzeć bliżej. Sam się zastanawiam czy potrzebuje mostek, czy też nie prościej skonfigurować całość w oparciu o poszczególne interfejsy.

.. to może problem leży w tym, że nigdzie nie masz mechanizmu NAT dla sieci wewnętrznej ...

Właśnie w tym problem, że jest:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source=192.168.1.2

ale wydaje mi się, że w moim firewallu jednak jest coś namieszane, bo niedawno odkryłem, że w sieci wewnętrznej dns nie przetwarza nazw.

Pokombinuję jeszcze trochę i dam znać jak wygląda sprawa.

[grzesiek]

Lepiej poczytaj o iptables: http://debian.linux.pl/content/402-Ipta ... cych-cz.-1wszystkie 4 części i nie pisz głupich stwierdzeń, że masz ustawiony mechanizm NAT dla sieci wewnętrznej, bo chyba nawet nie wiesz co to jest.

[szakkanaku]

No dobrze, grzesiek, jeżeli mogę Cię prosić napisz co robię nie tak z NAT, bo jak na razie to widzę, że rzucasz pustymi hasłami i nie pokazujesz co jest nie tak i jak to można rozwiązać. Przeczytałem Twoje wskazówki odnośnie NAT i muszę stwierdzić, że nic czego bym nie wiedział tam nie znalazłem. Zaciekawiły mnie jednak artykuły o zabezpieczeniach przed atakami.


Proszę bez takich uwag, można delikatniej.
fnmirk