Obejití fireqwallu - tunel pro icq

DD,

potreboval bych obejit firewall, ktery blokuje pripojeni na icq servery. Jelikoz mam server na verejne IP, napadlo mi udelat nejake presmerovani portu - napr. v klientu se pripojim na moje.ip:5555 a na mem serveru pobezi neco, co se spoji s login.icq.com:5190 a bude tak delat prostrednika (predpokladam, ze dany firewall blokuje pouze ip/port a nezkouma, co skutecne tece, to by pak muselo prijit na radu jine reseni).

Pokudmozno nechci delat vpn ani ssh tunel, jde mi o co nejjednodussi reseni na strane klienta (jde o nelinuxoveho uzivatele a nemuzu mu nic instalovat). Zkousel jsem si hrat s IPtables, ale ne moc uspesne. Mohl by prosim nekdo poradit? Diky.

Odpovědi

ssh tunel není nijak složitý a na Windows k tomu stačí putty. Pokud chcete skutečně jen přesměrovat vše, co vám přijde na server na port 5555 na login.icq.com:8190, vyberte si jednu IP adresu, na kterou se překládá login.icq.com a přidejte si do iptables následující pravidlo:

iptables -t nat -A PREROUTING -p tcp --dport 5555 -d vase.ip -j DNAT --to-destination ip.icq:5190

Komunikace se pak ale bude přesměrovávat stále na jeden ze serverů login.icq.com a pokud ten vypadne nebo se jeho IP adresa změní, přestane vám to fungovat a budete muset do pravidla dosadit jiný server.

16.9.2008 08:55 Vašek M.
Rozbalit Rozbalit vše Re: Obejití fireqwallu - tunel pro icq

Je treba mit jeste neco predtim aktivni? Zkousel jsem to a nefunguje (dal jsem si pro testovani tunel na smtp server a telnet je hluchy). Presmerovani delam prvne, iptables mam samozrejme aktivni a funkcni.

16.9.2008 09:30 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Obejití fireqwallu - tunel pro icq

Aha, vy vlastně potřebujte dělat i SNAT, aby se odpověď od login.icq.com vrátila zase na váš server. V tom případě potřebujete ještě jedno pravidlo:

iptables -t nat -A POSTROUTING -p tcp --dport 5190 -d ip.icq -j SNAT --to-source vase.ip

Pokud se dělá DNAT do vlastní sítě, není tohle potřeba, protože router je zpravidla výchozí brána té sítě, takže se k těm odchozím paketům dostane stejně. Ale tady je potřeba je explicitně nasměrovat zpět na váš server.

Možností je mnoho. Já si pamatuji, že jsem na to v dávných dobách s úspěchem používal xinetd (používá ho řada distribucí místo inetd), který má přímo podporu pro port forwarding a v daném okamžiku to bylo nejjednodušší řešení.

Stačí do adresáře /etc/xinetd.d/ přidat soubor vhodného (libovolného) názvu, který bude vypadat nějak takto (příklad):

#       redir portu 5555 na SSH serveru example.com
service unlisted
{
        disable         = no
        port            = 5555
        protocol        = tcp
        type            = UNLISTED
        socket_type     = stream
        wait            = no
        user            = nobody
        log_on_success  += DURATION USERID
        log_on_failure  += USERID
        nice            = 10
        redirect        = example.com 22
        only_from       = 192.168.1.10
        bind            = 192.168.1.1
}

Poslední dva řádky tam být nemusí, jejich význam je zřejmě jasný. :-)

Pak již stačí jen restartovat xinetd (podmínkou pro toto řešení tedy je to, že distro xinetd používá).

Dotaz: Obejití fireqwallu - tunel pro icq

Odpovědi