URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86207
[ Назад ]

Исходное сообщение
"Iptables"
Отправлено alexcandr , 06-Авг-09 19:17

Все привет, тем таких уже было полно но сильно не пинайте, ни как не могу разобраться хоть убейте, прочитав руководство http://www.opennet.me/docs/RUS/iptables/ еще сильнее запутался, прощу разъяснить некоторые моменты,
Ушел админ и все свое добро оставил мне, я с iptables вообще ноль, что меня интересует счас,,
Что имеем сервак с iptables. 2 интерфейся(инет и локалка)
Мне нужно открыть 20,21 порт на вход и выход для банк клиента, что нашел в сети:
$ipt -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT
где $EXTIF смотрит в мир
Я так понимаю это мы открыли порты на вход, а вот на выход я так и не понял что прописать,,,
Я так подозреваю что нужно еще и с сервака как то перенаправить их на тачку на которой установлен Банк Клиент,,,
Прощу помощи как это все реализовать.
Заранее всем спасибо.

Содержание

Iptables,reader, 20:06 , 06-Авг-09
Iptables,ALex_hha, 12:02 , 07-Авг-09
- Iptables,alexcandr, 16:44 , 07-Авг-09
  - Iptables,konst, 18:03 , 07-Авг-09
  - Iptables,ALex_hha, 00:04 , 08-Авг-09
Iptables,tux2002, 18:12 , 07-Авг-09
- Iptables,tux2002, 18:13 , 07-Авг-09

Сообщения в этом обсуждении

"Iptables"
Отправлено reader , 06-Авг-09 20:06

>[оверквотинг удален]
>
>$ipt -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
>$ipt -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT
>где $EXTIF смотрит в мир
>Я так понимаю это мы открыли порты на вход, а вот на
>выход я так и не понял что прописать,,,
>Я так подозреваю что нужно еще и с сервака как то перенаправить
>их на тачку на которой установлен Банк Клиент,,,
>Прощу помощи как это все реализовать.
>Заранее всем спасибо.
читайте по DNAT и учитывайте, что после применения DNAT с изменением адреса назначения на адрес другой машины, пакет пойдет через FORWARD, а не через INPUT

"Iptables"
Отправлено ALex_hha , 07-Авг-09 12:02

>[оверквотинг удален]
>
>$ipt -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT
>$ipt -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT
>где $EXTIF смотрит в мир
>Я так понимаю это мы открыли порты на вход, а вот на
>выход я так и не понял что прописать,,,
>Я так подозреваю что нужно еще и с сервака как то перенаправить
>их на тачку на которой установлен Банк Клиент,,,
>Прощу помощи как это все реализовать.
>Заранее всем спасибо.
Так ты точно узнай что надо. Так как 20/21 это порты ftp. Если надо открыть доступ клиент-банку на внешний ftp сервер это одно, а если надо открыть серверу банка доступ к этим портам на машине, где стоит клиент-банк, это совсем другое.
Какая политика по умолчанию?

"Iptables"
Отправлено alexcandr , 07-Авг-09 16:44

>Так ты точно узнай что надо. Так как 20/21 это порты ftp.
>Если надо открыть доступ клиент-банку на внешний ftp сервер это одно,
>а если надо открыть серверу банка доступ к этим портам на
>машине, где стоит клиент-банк, это совсем другое.
>
>Какая политика по умолчанию?
Нужно открыть на моем сервере 20,21 порт на вход и выход, что бы прога могла коннектиться к удаленному серверу Банка,
На локальном компе стоит прога наз Банк Клиент она передает данные по 20,21 порту, на нашем роутере эти порты закрыты на выход в мир,,, т.е мне нужно открыть на роутере эти порты и перебросить их на локальную тачку, что б она могла работать с прогой, так как инет у нас раздается через прокси, а программа банк клиен не поддерживает проксю,,,
Вот вроде бы все,
Про Dnat читал, но честно не въехал, можете парочку примеров с описанием скинуть,
Всем огромное спасибо.

"Iptables"
Отправлено konst , 07-Авг-09 18:03

>[оверквотинг удален]
>20,21 порту, на нашем роутере эти порты закрыты на выход в
>мир,,, т.е мне нужно открыть на роутере эти порты и перебросить
>их на локальную тачку, что б она могла работать с прогой,
>так как инет у нас раздается через прокси, а программа банк
>клиен не поддерживает проксю,,,
>Вот вроде бы все,
>
>Про Dnat читал, но честно не въехал, можете парочку примеров с описанием
>скинуть,
>Всем огромное спасибо.
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -m multiport -p tcp --dports 20,21 -j SNAT --to-source $EXT_IP

"Iptables"
Отправлено ALex_hha , 08-Авг-09 00:04

>[оверквотинг удален]
>
>Нужно открыть на моем сервере 20,21 порт на вход и выход, что
>бы прога могла коннектиться к удаленному серверу Банка,
>На локальном компе стоит прога наз Банк Клиент она передает данные по
>20,21 порту, на нашем роутере эти порты закрыты на выход в
>мир,,, т.е мне нужно открыть на роутере эти порты и перебросить
>их на локальную тачку, что б она могла работать с прогой,
>так как инет у нас раздается через прокси, а программа банк
>клиен не поддерживает проксю,,,
>Вот вроде бы все,
подгрузить модуль ip_nat_ftp добавить правило в цепочку FORWARD таблицы filter. Если все только через прокси, то сделать SNAT для этих портов/машины
>Про Dnat читал, но честно не въехал, можете парочку примеров с описанием
>скинуть,
>Всем огромное спасибо.
DNAT тебе не нужен

"Iptables"
Отправлено tux2002 , 07-Авг-09 18:12

/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

$IPTABLES -A FORWARD -p tcp -d $FTP --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $FTP -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $FTP -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -p tcp -d $FTP --dport 21 -j SNAT --to-source $OUT

"Iptables"
Отправлено tux2002 , 07-Авг-09 18:13

Это на внешний FTP.