Otwarte porty w iptables

wujek_bogdan

oto sekcja odpowiadajaca za otwarcie portów

#otwarcie portow
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 27960:27969 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 4662 -j ACCEPT
iptables -I FORWARD -p udp -d 10.0.0.0/16 --dport 4672 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 6881:6889 -j ACCEPT

oraz za ich przekierowanie do lokalnych ip

Kod: Zaznacz cały

#przekierowanie portow
#emule
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.4
#torrent
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.4

wygląda ok. prawda?

coś jest nie tak ponieważ gdy sprawdzam na jednym z klientów czy ip są przekierowane prawidłowo na przuklad TUTAJ.
okazuje się, że port 6881 jest otwarty, natomiast 4662 jest zamknięty!.
dziwna sprawa ponieważ jak widać powyżej regułki iptables są identyczne!

co ciekawe gdy sprawdzam przekierowanie portu 21 oraz 22 też okazuje się, że te porty są otwarte. jakim cudem skoro nie mam nic na ich temat w iptables!

dodam na wszelki wypadek:

Kod: Zaznacz cały

 iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             10.0.0.0/16         tcp dpts:6881:6889 
ACCEPT     udp  --  anywhere             10.0.0.0/16         udp dpt:4672 
ACCEPT     tcp  --  anywhere             10.0.0.0/16         tcp dpt:4662 
ACCEPT     tcp  --  anywhere             10.0.0.0/16         tcp dpts:27960:27969 
ACCEPT     all  --  10.0.0.0/16          anywhere            
ACCEPT     all  --  anywhere             10.0.0.0/16         
ACCEPT     all  --  anywhere             loopback/8

Post autor: **Yampress** » 31 października 2007, 22:00

wklej wszystkie reguły firewalla

wujek_bogdan

proszę:

Kod: Zaznacz cały

#!/bin/sh
# Firewall

echo "::: Firewall:::"

# Odpalenie przekazywania pakietow IP
echo "1" > /proc/sys/net/ipv4/ip_forward

# Czyszczenie tablic NAT-a i filtrowania
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

# Brak pozwolenia na forward pakietow
iptables -t filter -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

# Przepuszczanie pakietow z sieci i do sieci
iptables -t filter -A FORWARD -s 10.0.0.0/255.255.0.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 10.0.0.0/255.255.0.0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 127.0.0.1/255.0.0.0 -j ACCEPT

# Udostepnienie netu przez maskarade
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -d 0/0 -j MASQUERADE

#otwarcie portow
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 27960:27969 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 4662 -j ACCEPT
iptables -I FORWARD -p udp -d 10.0.0.0/16 --dport 4672 -j ACCEPT
iptables -I FORWARD -p tcp -d 10.0.0.0/16 --dport 6881:6889 -j ACCEPT

#przekierowanie portow
#emule
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 4662 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 4672 -j DNAT --to 10.0.0.4
#torrent
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.2
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.3
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 6881 -j DNAT --to 10.0.0.4

gothye · Post autor: **gothye** » 01 listopada 2007, 15:55

przekierowanie portów robie tak :

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i $INTER -p tcp -d IP_ZEW --dport 1551 -j DNAT --to-destination 192.168.0.2:1551

i działa

wujek_bogdan · Post autor: **wujek_bogdan** » 01 listopada 2007, 17:19

sprawdze to jak tylko bede w domu, ale zastanawia mnie jeszcze czemu mam otwarte porty 22 oraz 21 skoro nie ma ich w firewallu.

co prawda mam zainstalowane i uruchomione ssh oraz proftpd dzialajace na tych portach. tylko gdzie te porty się otwierają? co odpowiada za otwieranie tych portów?
czyzby daemon ssh oraz proftpd?

edit:
pomogłem sobie generatorem quicktables.
niestety port 4662 dalej nie chce sie otworzyc!
pomimo ze regulki wygladaja identycznie jak dla portu 6881, ktory jest otwarty.

nic z tego nie rozumiem.

edit2:
już wszystko jasne.
oczywiscie regulki w iptables są poprawne. sprawdzalem przekierowanie portow na stronie deluge. okazalo sie ze skrypt testujacy informuje ze port jest otwarty jedynie wtedy gdy jest jakis ruch na danym porcie.
wszystko gra