abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 20:11 | Zajímavý článek

Bjorn Stahl v obsáhlém zápisku rozebírá architekturu alternativního grafického frameworku a serveru Arcan z pohledu návrhu operačního systému.

Fluttershy, yay! | Komentářů: 0
dnes 15:44 | Nová verze

Byla vydána verze 3.12 prohlížeče obrázků gThumb (Wikipedie, GitLab). Z novinek lze zdůraznit například přidání podpory AVIF, HEIF a JPEG XL.

Ladislav Hagara | Komentářů: 0
dnes 12:11 | Nová verze

Byla vydána nová verze 5.5 programovacího jazyka Swift (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu. Ke stažení jsou oficiální binární balíčky pro Ubuntu 16.04, Ubuntu 18.04, Ubuntu 20.04, CentOS 7, CentOS 8 a Amazon Linux 2.

Ladislav Hagara | Komentářů: 0
dnes 09:00 | Komunita

Do pátku probíhá konference vývojářů Linuxu aneb linuxových instalatérů Linux Plumbers Conference 2021 (LPC 2021). Přednášky lze sledovat online.

Ladislav Hagara | Komentářů: 1
včera 23:11 | Zajímavý software

Prohlížeč obrázků nsxiv (Neo (or New or Not) Simple (or Small or Suckless) X Image Viewer) byl vydán ve verzi 27.1. Jedná se o fork již nevyvíjeného prohlížeče obrázku sxiv. Přehled novinek v CHANGELOGu.

Ladislav Hagara | Komentářů: 0
včera 21:33 | Zajímavý článek

MojeFedora.cz informuje co nového přinese Fedora Workstation 35: Lepší podpora Waylandu pod ovladačem od NVidie, režim pro kiosky, myši s vysokým rozlišením, PipeWire, podpora zatemňovacích obrazovek, OpenGL nad Vulkanem a profily napájení.

Ladislav Hagara | Komentářů: 3
včera 11:00 | Nová verze

Byla vydána nová verze 1.9.10 multiplatformního frontendu k emulátorům, herním enginům a multimediálním přehrávačům RetroArch (Wikipedie). Přehled novinek v příspěvku na blogu. RetroArch je nově k dispozici také na Steamu.

Ladislav Hagara | Komentářů: 0
včera 10:22 | Pozvánky

Od 23. do 25. září bude probíhat online konference LibreOffice 2021. Během tří dnů je připraveno okolo padesáti přednášek, workshopů a komunitních setkání s tématy týkající se kancelářského balíku, komunity a open source. Program je k dispozici na stránce konference. Konference se bude konat na komunikační platformě Jitsi a je zdarma. Připravuje se také YouTube přenos. Registrace je dostupná na stránce konference.

Zdeněk Crhonek | Komentářů: 0
včera 08:00 | Zajímavý software

Chafa (GitHub) je utilita a knihovna pro zobrazování libovolných obrázků v terminálu. Novinky v nejnovější verzi 1.8 v příspěvku na blogu.

Ladislav Hagara | Komentářů: 9
19.9. 12:11 | Nová verze

Společnost Jolla oznámila vydání verze 4.2.0 s kódovým názvem Verla mobilního operačního systému Sailfish OS (Wikipedie). Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
Dotykový displej na notebooku nebo desktopu
 (36%)
 (7%)
 (6%)
 (52%)
Celkem 471 hlasů
 Komentářů: 11, poslední 18.9. 18:45
Rozcestník



Dotaz: iptable zpristupneni PC z internetu

18.5.2005 12:14 lukyLk
iptable zpristupneni PC z internetu
Přečteno: 334×
mam takovy problem, nevy nekdo jak pres IPTABLE zpristupnim pocitac v interni siti do internetu. tak abych se na nej dostal z internetu pres port 256 zkousel jsem

$IPTABLES -t nat -A PREROUTING -p TCP --dport 256 -j DNAT --to-destination 10.0.0.56:256

ale nepomohlo to:-(

Odpovědi

18.5.2005 17:24 hates | skóre: 30 | blog: Jak_jsem_se_dostal_k_linuxu
Rozbalit Rozbalit vše Re: iptable zpristupneni PC z internetu
chybi ti tam -i [inet_iface] a misto --to-destination tam dej pouze --to

tak ze asi takhle:
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 256 -j DNAT --to 10.0.0.56:256
samozrejme ze pri pristupu z netu tam zadej IP adresu toho stroje pres ktery to posilas dal (pravdepodobne router), a ne 10.0.0.56, dale musis mit povolen FORWARD a routovani paketu
23.5.2005 17:43 LukyLk
Rozbalit Rozbalit vše Re: iptable zpristupneni PC z internetu
asi jsem trozku natvrdlej ale muzes mi teda poslat jak by melo to nastaveni pro PREROUTING a FORWARD vypadat? na servru mam eth0 s IP XXX (lokalni sit) eth1 z IP YYY a maskaradu

a potrebuji se dostat na PC s IP 10.0.0.56:256 na eth0
23.5.2005 18:34 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: iptable zpristupneni PC z internetu
Vždyť ti to tu už napsal:
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 256 -j DNAT --to 10.0.0.56:256
No když máš internet na eth1 tak tam změníš pouze eth0 za eth1 no a musíš na tom serveru si povolit forward na ten stroj s 10.0.0.56

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -p TCP --dport 113 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -p tcp -d 10.0.0.56 --dport 256 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Případně nějak jinak prostě nevíme jak to máš přesně udělané.
24.5.2005 18:05 LukyLk
Rozbalit Rozbalit vše Re: iptable zpristupneni PC z internetu
super, ale taky nefunguje :-(
24.5.2005 18:23 LukyLk
Rozbalit Rozbalit vše Re: iptable zpristupneni PC z internetu
Chytre hlavy pomozete, ja v tom nejsem prilis zbehly.
Pouzivam jemne upraveny nastaveni pro firewall(odkud si z netu). Pred servrem na kterem bezi firewall je jeste router ktery smeruje vsechny pakety na muj server
ma IP xxx.xxx.xxx.1

predtim jsem mel Widle s Keriem a chodilo mi to. :-)
Ale v mich oblibenych Linuchach ne:-(

#!/bin/sh

# IP adresa internet

INET_IP="xxx.xxx.xxx.2"
INET_IFACE="eth1"

# IP a broadcast adresa a rozhrani vnitrni site
LAN1_IP="10.0.0.1/32"
LAN1_BCAST="10.0.0.255/32"
LAN1_IFACE="eth0"

# Lokalni loopback rozhrani
LO_IFACE="lo"
LO_IP="127.0.0.1/32"

# Cesta k programu iptables
IPTABLES="/sbin/iptables"

# Inicializace databaze modulu
/sbin/depmod -a

# Zavedeme moduly pro nestandardni cile
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

# Modul pro FTP prenosy
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Zapneme routovani paketu
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# rp_filter na zamezeni IP spoofovani
for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo "1" > ${interface}
done

# Implicitni politikou je zahazovat nepovolene pakety
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#
# Retezec PREROUTING v NAT tabulce
#

# Odchozi HTTP pozadavky (na port 80 s vyjimkou lokalniho serveru)
# budou presmerovany na lokalniho squida (na portu 3128) ve funkci
#transparentni proxy cache.
#$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 80 -j REDIRECT --to-port 3128

# Presmerujeme port 256 na port 256 stanici uvnitr site

# ABC
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 256 -j DNAT --to 10.0.0.56:256


#
# Retezec POSTROUTING v NAT tabulce
#

# IP maskarada - SNAT
# NATujeme
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP


#
# Pridavne retezce pro snazsi kontrolu na rezervovane adresy
#

# Zahazovat a logovat (max. 5 x 3 pakety za hod)
$IPTABLES -N logdrop
$IPTABLES -A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa: "
$IPTABLES -A logdrop -j DROP


# V tomto retezci se kontroluje, zda prichozi pakety nemaji nesmyslnou IP adresu
$IPTABLES -N IN_FW
$IPTABLES -A IN_FW -s 192.168.0.0/16 -j logdrop # rezervovano podle RFC1918
$IPTABLES -A IN_FW -s 10.0.0.0/8 -j logdrop # ---- dtto ----
$IPTABLES -A IN_FW -s 172.16.0.0/12 -j logdrop # ---- dtto ----
$IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop # rezervovano podle IANA
# ... dalsi rezervovane adresy mozno doplnit podle
# http://www.iana.com/assignments/ipv4-address-space


# TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A PREROUTING -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput

#
# Retezec FORWARD
#

# Navazovani spojeni ala Microsoft -
# Paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A FORWARD -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
$IPTABLES -A FORWARD -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j DROP

# Nechceme rezervovane adresy na internetovem rozhrani
$IPTABLES -A FORWARD -i $INET_IFACE -j IN_FW

# Umoznit presmerovani portu na stanici dovnitr site
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -p TCP --dport 113 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -p tcp -d 10.0.0.56 --dport 256 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


# Routing zevnitr site ven neomezujeme
$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT

# Routing zvenku dovnitr pouze pro navazana spojeni (stavovy firewall)
#$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ostatni pakety budou zahozeny, tak je budeme logovat (12 x 5 pkt/hod)
$IPTABLES -A FORWARD -m limit --limit 12/h -j LOG --log-prefix "forward drop: "


#
# Retezec INPUT
#

# Navazovani spojeni ala Microsoft -
# Paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Portscan s nastavenym SYN,FIN
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
$IPTABLES -A INPUT -p tcp -i $INET_IFACE --tcp-flags SYN,FIN SYN,FIN -j DROP

# Nejprve se zbavime nezadoucich adres
$IPTABLES -A INPUT -i $INET_IFACE -j IN_FW

# Pravidla pro povolene sluzby

$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 21 -j ACCEPT #FTP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 22 -j ACCEPT #SSH server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 25 -j ACCEPT #SMTP server
$IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 53 -j ACCEPT #DNS server UDP
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 53 -j ACCEPT #DNS server TCP
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 80 -j ACCEPT #WWW server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 110 -j ACCEPT #POP3 server
$IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 123 -j ACCEPT #NTP server UDP
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 143 -j ACCEPT #IMAP server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 443 -j ACCEPT #HTTPS server
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 873 -j ACCEPT #rsync server
$IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 5060 -j ACCEPT #SIP server UDP
$IPTABLES -A INPUT -i $INET_IFACE -p UDP --dport 10000:20000 -j ACCEPT #RTP server UDP

# Sluzbu AUTH neni dobre filtrovat pomoci DROP, protoze to muze
# vest k prodlevam pri navazovani nekterych spojeni. Proto jej
# sice zamitneme, ale tak, aby nedoslo k nezadoucim prodlevam.
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -m limit --limit 12/h -j LOG
$IPTABLES -A INPUT -i $INET_IFACE -p TCP --dport 113 -j REJECT --reject-with tcp-reset #AUTH server

# Propoustime pouze ICMP ping
$IPTABLES -A INPUT -i $INET_IFACE -p ICMP --icmp-type echo-request -j ACCEPT

# Loopback neni radno omezovat
$IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT

# Stejne jako pakety z lokalni site, jsou-li urceny pro nas
$IPTABLES -A INPUT -i $LAN1_IFACE -d $LAN1_IP -j ACCEPT
$IPTABLES -A INPUT -i $LAN1_IFACE -d $INET_IP -j ACCEPT

# Broadcasty na lokalnim rozhrani jsou take nase
$IPTABLES -A INPUT -i $LAN1_IFACE -d $LAN1_BCAST -j ACCEPT

# MS klienti maji chybu v implementaci DHCP
$IPTABLES -A INPUT -i $LAN1_IFACE -p udp --dport 67 -j ACCEPT

# Pakety od navazanych spojeni jsou v poradku
$IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

# Vsechno ostatni je zakazano - tedy logujeme, maxim. 12x5 pkt/hod
$IPTABLES -A INPUT -m limit --limit 12/h -j LOG --log-prefix "INPUT drop: "

#
# Retezec OUTPUT
#

# TOS flagy slouzi k optimalizaci datovych cest. Pro ssh, ftp a telnet
# pozadujeme minimalni zpozdeni. Pro ftp-data zase maximalni propostnost
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport ftp -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $INET_IFACE -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput

# Povolime odchozi pakety, ktere maji nase IP adresy
$IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $LAN1_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT

# Povolime DHCP broadcasty na LAN rozhrani
$IPTABLES -A OUTPUT -o $LAN1_IFACE -p UDP --dport 68 --sport 67 -j ACCEPT

# Ostatni pakety logujeme (nemely by byt zadne takove)
$IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT drop: "

dmnc_net avatar 4.2.2010 11:12 dmnc_net | skóre: 12 | blog: dmnc
Rozbalit Rozbalit vše Re: iptable zpristupneni PC z internetu
kdo by referoval ke skriptu firewallu, tak POZOR, obrovsky pool 96.0.0.0/4 uz nejakou dobu neni rezervovany (http://www.iana.com/assignments/ipv4-address-space) a nektere rozsahy jsou dokonce pouzity na uzemi CR.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.