abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 11:40 | Pozvánky
Program letošního ročníku konference Prague PostgreSQL Developer Days, která se koná již 15.-16.2. 2017 na ČVUT FIT, Thákurova 9, Praha 6, byl dnes zveřejněn. Najdete ho na stránkách konference včetně anotací přednášek a školení. Registrace na konferenci bude otevřena zítra (24.1.) v brzkých odpoledních hodinách.
TomasVondra | Komentářů: 0
včera 02:20 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, upozorňuje na svém blogu, že nový Inkscape 0.92 rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Problém by měl být vyřešen v Inkscape 0.92.2 [reddit].

Ladislav Hagara | Komentářů: 0
včera 02:02 | Komunita

Øyvind Kolås, hlavní vývojář grafických knihoven GEGL a babl, které využívá grafický program GIMP, žádá o podporu na Patreonu. Díky ní bude moci pracovat na vývoji na plný úvazek. Milník 1000 $, který by stačil na holé přežití, se již téměř podařilo vybrat, dalším cílem je dosažení 2500 $, které mu umožní běžně fungovat ve společnosti.

xkomczax | Komentářů: 12
21.1. 23:54 | Pozvánky

DevConf.cz 2017, již devátý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne od pátku 27. ledna do neděle 29. ledna v prostorách Fakulty informačních technologií Vysokého učení technického v Brně. Na programu je celá řada zajímavých přednášek a workshopů. Letos je povinná registrace.

Ladislav Hagara | Komentářů: 0
21.1. 22:11 | Nová verze

Byla vydána verze 1.0.0 emulátoru terminálu Terminology postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.1. 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 6
20.1. 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 10
20.1. 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
20.1. 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
20.1. 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (4%)
 (10%)
Celkem 367 hlasů
 Komentářů: 25, poslední 21.1. 13:34
Rozcestník
Reklama

Dotaz: Jednoduché IPTABLES v OpenWRT

Jaja avatar 15.11.2008 09:01 Jaja | skóre: 2
Jednoduché IPTABLES v OpenWRT
Přečteno: 1356×
Zdravím,
Mám problém se zdánlivě jednoduchým případem:
Potřebuji z internetu přístup na jeden z lokálních PC, kde mi běží intranetový WWW. Na Routeru mám web na portu :80, proto chci přistupovat na lokální web přes wan na portu :81

Zde je IPTABLES:
/etc/firewall.user

#!/bin/sh
# Copyright (C) 2006 OpenWrt.org

iptables -F input_rule
iptables -F output_rule
iptables -F forwarding_rule
iptables -t nat -F prerouting_rule
iptables -t nat -F postrouting_rule

# The following chains are for traffic directed at the IP of the
# WAN interface

iptables -F input_wan
iptables -F forwarding_wan
iptables -t nat -F prerouting_wan

### Open port to WAN
iptables -t nat -A prerouting_wan -p tcp --dport 22 -j ACCEPT
 iptables        -A input_wan      -p tcp --dport 22 -j ACCEPT
 iptables -t nat -A prerouting_wan -p tcp --dport 80 -j ACCEPT
 iptables        -A input_wan      -p tcp --dport 80 -j ACCEPT
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
 iptables        -A input_wan      -p tcp --dport 81 -j ACCEPT


### Port forwarding
## -- This forwards port 81 on the WAN to port 80 on 192.168.1.11
 iptables -t nat -A prerouting_wan -p tcp --dport 81 -j DNAT --to 192.168.1.11:80
 iptables        -A forwarding_wan -p tcp --dport 80 -d 192.168.1.11 -j ACCEPT

Zde je /etc/config/firewall

forward:dport=81:192.168.1.11:80

Server je však na portu :81 z venku nedostupný.

Vidí z vás někdo chybu?

Díky za radu..

Mira

Odpovědi

15.11.2008 09:31 snajpa | skóre: 19 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Ja jsem to vyresil tak, ze jsem kompletne vyhodil sitovaci skripty openwrt a napsal si svoje na miru.
--- vpsFree.cz --- Virtuální servery svobodně
Jaja avatar 15.11.2008 10:03 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
A je to někde publikované, abych se poučil, jak na to??
16.11.2008 20:40 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Teda mě se nezdá ten chain prerouting_wan a forwarding_wan. Jestli tedy nemá OpenWRT nějaký hack, který "normální" netfilter předělává nebo se to v dalších pravidlech usměrňuje do správnýho chainu. Podle mě by to předávání mělo být v PREROUTING a FORWARD a ne v prerouting_wan a forwarding_wan.
17.11.2008 17:24 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Mozna hloupy dotaz, ale mas povolene forwardovani? (je to nekde v /proc/sys/net/ tusim, pohledej, tady se to resilo mockrat)

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
Jaja avatar 20.11.2008 16:25 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
V souboru /proc/sys/net/ipv4/ip_forward mám nastavenu hodnotu "1", což by mělo podle dokumentace povolovat forward..
17.11.2008 18:47 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Tak jsem se na to podival jeste jednou a mam nasledujici pripominky:
  • nelibi se mi tam dva radky:
    iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
     iptables        -A input_wan      -p tcp --dport 81 -j ACCEPT
    Podle me totiz povoluji port 81 na tom routeru, coz by patrne byt nemelo (ten web ti bezi uvnitr site)

  • Tak jako tak si myslim, ze pakety se k vyhodnoceni vlastne vubec nedostanou, protoze ti tam chybi predani paketu do chainu prerouting_wan a forwarding_wan
A taky se pridavam ke snajpovi (nebo snajpe?) - vlastni skript je IMHO srozumitelnejsi ( = prehlednejsi), nez ty "vestavene".

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
Jaja avatar 20.11.2008 16:29 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Na routeru z venku povoluji port 81, abych se pak přes www.mujrouter.cz:81/ dostal na vnitřní adresu 192.168.1.11:80 , teda alespoň tak jsem to plánoval..
21.11.2008 08:43 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
Tim, ze mas
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
iptables        -A input_wan      -p tcp --dport 81 -j ACCEPT
pred
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j DNAT --to 192.168.1.11:80
iptables        -A forwarding_wan -p tcp --dport 80 -d 192.168.1.11 -j ACCEPT
ti IMHO pakety na port 81 zustanou na routeru.

Posli vystupy z iptables -nvL a iptables -t nat -nvL, jak jsem uz zminil, chybi mi tam presmerovani do chainu prerouting_wan a input_wan, tak at nevestime z vody.

Dejv
Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
Jaja avatar 21.11.2008 10:06 Jaja | skóre: 2
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT
VYŘEŠENO.
Děkuji Vám za radu, opravdu stačilo přehodit takto:

### Port forwarding
## -- This forwards port 81 on the WAN to port 80 on 192.168.1.11
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j DNAT --to 192.168.1.11:80
iptables -A forwarding_wan -p tcp --dport 80 -d 192.168.1.11 -j ACCEPT
iptables -t nat -A prerouting_wan -p tcp --dport 81 -j ACCEPT
iptables -A input_wan -p tcp --dport 81 -j ACCEPT
24.11.2008 08:14 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT

Najde o to, ze by ta pravidla byla prehozena, ale o to, ze pokud port 81 ma byt presmerovan "dovnitr", tak nemuzes ty pakety ACCEPTovat. A tim, ze je DNATujes, tak nasledujici pravidlo s ACCEPTem je zbytecne a nadbytecne (mluvim samozrejme o tabulce NAT, ta pravidla musi byt "ve dvojici" tak, jak jsi to mel a mas). Zamysli se nad tim:

iptables -t nat         -A prerouting_wan  -p tcp                --dport 81           -j ACCEPT
         v tabulce NAT  chain prerouting   pakety protokolu TCP  s cilovym portem 81  povol = nic dalsiho s nima nedelej

Nikde ani slovo o tom, ze by paket mel jit na jiny pocitac.

A nasledujici

iptables                    -A input_wan   -p tcp                --dport 81           -j ACCEPT
         v tabulce filter   chain input    pakety protokolu TCP  s cilovym portem 81  povol = nic dalsiho s nima nedelej

ty pakety taky povoli - ale v INPUTu, takze na lokale.

Pakety prochazi postupne vsemi pravidly a pokud nektere vyhovi natolik, ze je jednoznacne urceno, co se s tim paketem ma udelat, pruchod konci, s paketem se nalozi podle vysledku a vyhodnocuje se dalsi paket. A ty jsi mel napred ACCEPT a az potom DNAT. Takze ten DNAT se nikdy nemohl dostat ke slovu.

Zkus si precist neco o tom, jak se provadi (v jakem poradi a kdy konci) pruchod paketu skrz iptables. Mozna ti taky pomuze tohle nebo tohle.

Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...
24.11.2008 09:29 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT

pokud pouzivas verzi Kamikaze (7.09), tak mrkni na soubor /etc/config/firewall

never use rm after eight
24.11.2008 11:56 Dejv | skóre: 36 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Jednoduché IPTABLES v OpenWRT

Doporucuji pred psanim odpovedi projit komentare, ktere uz u dotazu jsou. Treba bys prisel na to, z problem uz je vyresen.

Dejv

Pevne verim, ze zkusenejsi uzivatele me s mymi napady usmerni a poslou tam, kam tyto napady patri...

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.