Portál AbcLinuxu, 12. května 2025 11:12

Dotaz: Prerouting iptables

2.8.2006 20:24 Chap
Prerouting iptables
Přečteno: 727×
Odpovědět | Admin
ahoj, snazim se smerovat porty na routeru. bohuzel tomu zas tak moc nerozumim. na nekolika forech jsem videla jak na to ale stejne se mi nejak nedari. Kdyz dam iptables-save tak vidim: :PREROUTING ACCEPT [403:33726] a :INPUT DROP [183:25759] :FORWARD DROP [712:34348]

z ceho jsem usoudil ze prerouting funguje asi dobre ale pakety to zahodi nekde mezi vnejsi a vnitrni sitovkou :-(

na forwardeni mam nastaveno tohle:

iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -i ath0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

na ath0 je verejna ip. Snad jsem se zeptal dost srozumitelne. predem diky za odpoved Chap
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

2.8.2006 21:41 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Prerouting iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Snad jsem se zeptal dost srozumitelne.

Obávám se že ne.

2.8.2006 22:12 M
Rozbalit Rozbalit vše Re: Prerouting iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
nechces napsat ostatni pravidla na "smerovani portu" co tam mas?;)
2.8.2006 22:22 Chap
Rozbalit Rozbalit vše Re: Prerouting iptables
tak tady je kompletni nastaveni meho FW (1.2.3.4 je moje verejna IP) delal jsem to podle serialu na root.cz

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -N tcp_segmenty
iptables -N udp_segmenty
iptables -A INPUT -p TCP -i ath0 -j tcp_segmenty
iptables -A INPUT -p UDP -i ath0 -j udp_segmenty
iptables -A udp_segmenty -p UDP --dport 5001 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 5000 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 80 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 20 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 21 -j ACCEPT
iptables -A tcp_segmenty -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -p ICMP -i ath0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP -i ath0 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP -i ath0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i ath0 --icmp-type 11 -j ACCEPT


iptables -A INPUT -p ALL -i eth0 -j ACCEPT
iptables -A INPUT -p ALL -i lo -j ACCEPT

iptables -A INPUT -j LOG

iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.10.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 1.2.3.4 -j ACCEPT
iptables -A OUTPUT -j LOG



iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -i ath0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ath0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o ath0 -j MASQUERADE


iptables -t nat -A POSTROUTING -o ath0 -j SNAT --to 1.2.3.4
iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 5000 -j DNAT --to 192.168.10.2:5000
iptables -t nat -A PREROUTING -p udp -d 1.2.3.4 --dport 5001 -j DNAT --to 192.168.10.2:5001

iptables -N spoofing
iptables -A spoofing -s 192.168.0.0/16 -j DROP
iptables -A spoofing -s 172.16.0.0/12 -j DROP
iptables -A spoofing -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ath0 -j spoofing
iptables -A FORWARD -i ath0 -j spoofing

iptables -N syn_flood
iptables -A INPUT -i ath0 -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A INPUT -m limit --limit 3/hour --limit-burst 5 -j LOG
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
2.8.2006 22:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Prerouting iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Výpis aktuální iptables tabulky získáte příkazem iptables -nL --line-numbers, tabulka nat se pak vypíše příkazem iptables -t nat -nL --line-numbers. Obojí sem pokud možno vložte. Směrovat porty na routeru znamená co přichází na port 8080 přesměrovat na tom samém počítači na port 80? Později zase ale píšete o forwardování… Aby jádro povolilo předávání paketů z jednoho síťového rozhraní na jiné, je ještě nutné zapnout 
echo 1 > /proc/sys/net/ipv4/ip_forward
Pro vkládání příkazů a výstupů do diskuze prosím použijte tagy <pre class="kod">…</pre>, které zachovají formátování textu a bude jasné, co jsou jednotlivé řádky.

Ještě pár odkazů:
2.8.2006 23:04 Chap
Rozbalit Rozbalit vše Re: Prerouting iptables
tak tady je vypis iptables a nat. 
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    tcp_segmenty  tcp  --  0.0.0.0/0            0.0.0.0/0
2    udp_segmenty  udp  --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0
4    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 3
5    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
6    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
9    LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
10   spoofing   all  --  0.0.0.0/0            0.0.0.0/0
11   syn_flood  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
12   LOG        all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 3/hour 5 LOG flags 0 
13   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5 
level 4

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3    spoofing   all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  127.0.0.1            0.0.0.0/0
2    ACCEPT     all  --  192.168.10.1         0.0.0.0/0
3    ACCEPT     all  --  1.2.3.4       0.0.0.0/0
4    LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4

Chain spoofing (2 references)
num  target     prot opt source               destination
1    DROP       all  --  192.168.0.0/16       0.0.0.0/0
2    DROP       all  --  172.16.0.0/12        0.0.0.0/0
3    DROP       all  --  10.0.0.0/8           0.0.0.0/0

Chain syn_flood (1 references)
num  target     prot opt source               destination
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 5

Chain tcp_segmenty (1 references)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5000
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain udp_segmenty (1 references)
num  target     prot opt source               destination
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:5001
root@slax:/# iptables -t nat -nL --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DNAT       tcp  --  0.0.0.0/0            1.2.3.4      tcp dpt:5000 to:192.168.10.2:5000
2    DNAT       udp  --  0.0.0.0/0            1.2.3.4      udp dpt:5001 to:192.168.10.2:5001

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0
2    SNAT       all  --  0.0.0.0/0            0.0.0.0/0           to:1.2.3.4

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
3.8.2006 09:11 Jiri Strapina
Rozbalit Rozbalit vše Re: Prerouting iptables
Jeste lepsi vypis z iptables je s prepinacem -v (ukecanejsi), vypise i interface a pocitadla packetu, takze uvidis, zda se pravidlo vubec uplatnilo.

Kdyz si pridas nasledujici dva radku do forwardu, tak by to melo fungovat 
iptables -A FORWARD -m state --state NEW -i ath0 -o eth0 -p tcp -d 192.168.10.2 --dport 5000 -j ACCEPT
iptables -A FORWARD -m state --state NEW -i ath0 -o eth0 -p udp -d 192.168.10.2 --dport 5001 -j ACCEPT
3.8.2006 18:18 Chap
Rozbalit Rozbalit vše Re: Prerouting iptables
Diky moc, ted uz to jde.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.