Цитата:
P.S. А у хостера для вас открыты все порты? Может вы не там "рыбу ловите"?
Как это проверить, открыты они у хостера или нет?
» Firewall *nix: iptables, ipfw, pf etc...
Цитата:
Как это проверить, открыты они у хостера или нет?
Vania
Цитата:
Элементарно Ватсон! Задайте этот вопрос техподдержке хостера.
Цитата:
Как это проверить, открыты они у хостера или нет?
Элементарно Ватсон! Задайте этот вопрос техподдержке хостера.
У меня нет возможности обратится в поддержку. Какими способами можно проверить закрыты они у хостера или нет?
Отключил фаервол вот так service iptables stop
Код: [root@vpshost ~]# service iptables stop
iptables: Flushing firewall rules: [ OK ]
iptables: Setting chains to policy ACCEPT: filter mangle na[ OK ]
iptables: Unloading modules: [ OK ]
Код: [root@vpshost ~]# service iptables stop
iptables: Flushing firewall rules: [ OK ]
iptables: Setting chains to policy ACCEPT: filter mangle na[ OK ]
iptables: Unloading modules: [ OK ]
Цитата:
Результат тот же что на скриншоте выше. Порты не открылись.
Цитата:
Задайте этот вопрос техподдержке хостера.
Цитата:
У меня нет возможности обратится в поддержку.
Значит надо найти. Денежку же вы им как-то переправляете. И почитайте свой договор.
Vania
Что за скриншот непонятного сканера?
Почему сканятся TCP порты, а демоны слушают UDP порты?
Это точно тупой сканер или он проверяет всё с учётом ESP и AH протоколов, которые используются в IPSec?
Вообще для проверок стоит использовать счётчики правил в iptables/netfilter, а так же утилиты telnet. tcpdump, nmap и прочие, а не непонятные сервисы.
p.s. а вообще, я за OpenVPN.
Что за скриншот непонятного сканера?
Почему сканятся TCP порты, а демоны слушают UDP порты?
Это точно тупой сканер или он проверяет всё с учётом ESP и AH протоколов, которые используются в IPSec?
Вообще для проверок стоит использовать счётчики правил в iptables/netfilter, а так же утилиты telnet. tcpdump, nmap и прочие, а не непонятные сервисы.
p.s. а вообще, я за OpenVPN.
Сканер этот http://www.hashemian.com/tools/port-scanner.php
В руководстве по которому я устанавливаю было написано что порт 1701 TCP нужно открывать. Поэтому я начал с TCP сканера. Но в руководстве ошибка, 1701 UDP порт нужно открывать.
Я проверил nmap порт 1701, похоже что открыт.
Код:
[root@vpshost ~]# nmap -sU IP_СЕРВЕРА -p 1701
Starting Nmap 5.51 ( http://nmap.org ) at 2013-11-23 05:59 EST
Nmap scan report for vpshost (IP_СЕРВЕРА)
Host is up.
PORT STATE SERVICE
1701/udp open|filtered L2TP
Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds
В руководстве по которому я устанавливаю было написано что порт 1701 TCP нужно открывать. Поэтому я начал с TCP сканера. Но в руководстве ошибка, 1701 UDP порт нужно открывать.
Я проверил nmap порт 1701, похоже что открыт.
Код:
[root@vpshost ~]# nmap -sU IP_СЕРВЕРА -p 1701
Starting Nmap 5.51 ( http://nmap.org ) at 2013-11-23 05:59 EST
Nmap scan report for vpshost (IP_СЕРВЕРА)
Host is up.
PORT STATE SERVICE
1701/udp open|filtered L2TP
Nmap done: 1 IP address (1 host up) scanned in 2.06 seconds
Приветствую.
Суть: настроить DNAT транзитного трафика идущего на конкретный IP адрес на другой внешний IP.
Подробности: Думаю проще будет схемой...
Собственно как запрос идущий на 192.168.1.2 перенаправить на 10.10.10.1? И сделать это надо на сервере #server2, с учётом того что трафик там идёт через сетевой мост (br0) и ни один из интерфейсов виртуального коммутатора свой ip там не имеет.
Простое правило типа iptables -t nat -A PREROUTING -d 192.168.1.2/32 -j DNAT --to-destination 10.10.10.1 не помогает. Пакеты перестают доходить до #server1, но и на #server3 я их не наблюдаю. Попытка поставить SNAT на eth1, тоже не помогла. Маршрутизация в ядре разумеется включена.
ОС Debian/Linux, в наличии почти всё что попросите. Устроит и способ с использованием доп утилит, а не чистый iptables, хотя и не желательно.
Суть: настроить DNAT транзитного трафика идущего на конкретный IP адрес на другой внешний IP.
Подробности: Думаю проще будет схемой...
Собственно как запрос идущий на 192.168.1.2 перенаправить на 10.10.10.1? И сделать это надо на сервере #server2, с учётом того что трафик там идёт через сетевой мост (br0) и ни один из интерфейсов виртуального коммутатора свой ip там не имеет.
Простое правило типа iptables -t nat -A PREROUTING -d 192.168.1.2/32 -j DNAT --to-destination 10.10.10.1 не помогает. Пакеты перестают доходить до #server1, но и на #server3 я их не наблюдаю. Попытка поставить SNAT на eth1, тоже не помогла. Маршрутизация в ядре разумеется включена.
ОС Debian/Linux, в наличии почти всё что попросите. Устроит и способ с использованием доп утилит, а не чистый iptables, хотя и не желательно.
Подскажите как в iptables запретить устройству с определенным MAC ходить в интернет?
Mosl
Не смотря на то, что это не забота iptables у него есть параметр --mac-source.
А ещё есть ebtables или arptables, что-то я разницы между ними не уловил, сам пользовал ebtables.
Не смотря на то, что это не забота iptables у него есть параметр --mac-source.
А ещё есть ebtables или arptables, что-то я разницы между ними не уловил, сам пользовал ebtables.
Добрался я, наконец, до настройки iptables. 
Уважаемый Alukardd, по этому вопросу мы с вами некоторое время назад общались.
Вводная: есть Fedora Linux 20 с виртуалками на основе KVM. Вместо NetworkManager.service настроен network.service (физический интерфейс - em1, мост - br0).
Задача: настроить вместо штатного firewalld кошерный iptables. Причём важно, чтобы до виртуалок "доходил" протокол IGMP. Если немного перефразировать: до хоста траффик жёстко контролировать (как входящие, так и исходящие), а до гостевых - запрещать только самое "злое", типа NetBIOS/smb и прочие вендовозные сетевизмы.
С iptables практически не сталкивался. Прошу помочь с настройкой.
P.S. Только что при ковыряниях заметил интересное:
[more=systemctl status firewalld]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since Вс 2014-04-13 21:24:12 VOLT; 2h 10min ago
Main PID: 11667 (firewalld)
CGroup: /system.slice/firewalld.service
└─11667 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
апр 13 21:24:13 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:13 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --destination 192.168.122.0/...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --source 192.168.122.0/24 --...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --in-interface virbr0 --out-...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --out-interface virbr0 --jum... that name.
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --in-interface virbr0 --jump... that name.
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
апр 13 21:24:15 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:15 ERROR: COMMAND_FAILED: '/sbin/iptables --table mangle --delete POSTROUTING --out-interface virbr0 -... that name.
апр 13 21:24:15 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:15 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
апр 13 21:24:15 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:15 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
Hint: Some lines were ellipsized, use -l to show in full.[/more]
Неужели firewalld является всего лишь бэкэндом для кастрированного управления iptables?
Уважаемый Alukardd, по этому вопросу мы с вами некоторое время назад общались.
Вводная: есть Fedora Linux 20 с виртуалками на основе KVM. Вместо NetworkManager.service настроен network.service (физический интерфейс - em1, мост - br0).
Задача: настроить вместо штатного firewalld кошерный iptables.
Причём важно, чтобы до виртуалок "доходил" протокол IGMP. Если немного перефразировать: до хоста траффик жёстко контролировать (как входящие, так и исходящие), а до гостевых - запрещать только самое "злое", типа NetBIOS/smb и прочие вендовозные сетевизмы. С iptables практически не сталкивался. Прошу помочь с настройкой.
P.S. Только что при ковыряниях
заметил интересное: [more=systemctl status firewalld]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since Вс 2014-04-13 21:24:12 VOLT; 2h 10min ago
Main PID: 11667 (firewalld)
CGroup: /system.slice/firewalld.service
└─11667 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
апр 13 21:24:13 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:13 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --destination 192.168.122.0/...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --source 192.168.122.0/24 --...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --in-interface virbr0 --out-...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --out-interface virbr0 --jum... that name.
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete FORWARD --in-interface virbr0 --jump... that name.
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
апр 13 21:24:14 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:14 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
апр 13 21:24:15 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:15 ERROR: COMMAND_FAILED: '/sbin/iptables --table mangle --delete POSTROUTING --out-interface virbr0 -... that name.
апр 13 21:24:15 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:15 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
апр 13 21:24:15 fmhstar.homed.local firewalld[11667]: 2014-04-13 21:24:15 ERROR: COMMAND_FAILED: '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protoc...at chain?).
Hint: Some lines were ellipsized, use -l to show in full.[/more]
Неужели firewalld является всего лишь бэкэндом для кастрированного управления iptables?
Подскажите как правильно раскрыть наружу доступ к SMTP 25 порт почтового сервера Exchange?
Написал 2 правила:
Цитата:
2 POP снаружи работает, а SMTP нет
В чем может быть проблема
Написал 2 правила:
Цитата:
-A PREROUTING -d [реал айпи] -p tcp --dport 25 -j DNAT --to-destination [Exchange IP]
-A PREROUTING -d [реал айпи] -p tcp --dport 995 -j DNAT --to-destination [Exchange IP]
2 POP снаружи работает, а SMTP нет
В чем может быть проблема
Цитата:
POP снаружи работает, а SMTP нет
а на самом шлюзе почтовый сервис не запущем???
как вы определили что POP работает, просто телнетом или клиент снаружи получил почту.
вот это вам скорее поможет
xttp://www.it-simple.ru/?p=2250
OOD Вы показали правила мапинга портов в локаль, а где разрешающие правила на вход и выход?
# Email Server (SMTP)
-A INPUT -p TCP -s 0/0 --destination-port 25 -j ACCEPT
еще и на выход нужно правило, или NAT или MASQ с forward для локального хоста [Exchange IP] , хотя это у вас возможно включено.
Вот тут смотри пример http://habrahabr.ru/post/99898/
# Email Server (SMTP)
-A INPUT -p TCP -s 0/0 --destination-port 25 -j ACCEPT
еще и на выход нужно правило, или NAT или MASQ с forward для локального хоста [Exchange IP] , хотя это у вас возможно включено.
Вот тут смотри пример http://habrahabr.ru/post/99898/
sldaac
Цитата:
В локалке с почтовиком все работает POP:995+SMTP:25, а наружу нет.
Добавил правило на POP, снаружи работает, SMTP нет
Правило для локальных хостов на использование 25 порта не подходит для Exchange я так понял:
Цитата:
Пробовал открыть все на выход, не получилось
Цитата:
Цитата:
а на самом шлюзе почтовый сервис не запущем???
В локалке с почтовиком все работает POP:995+SMTP:25, а наружу нет.
Добавил правило на POP, снаружи работает, SMTP нет
Правило для локальных хостов на использование 25 порта не подходит для Exchange я так понял:
Цитата:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
Пробовал открыть все на выход, не получилось
Цитата:
:RH-Firewall-1-INPUT -[0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-I FORWARD -s [Exchange IP] -p tcp --dport 0:65536 -j ACCEPT
OOD дал же урлу с примером - читай
или воспользуйся генератором правил онлайн http://easyfwgen.morizot.net/gen/
заполняй постепенно данные, в конце получишь готовый текстовик правил
или воспользуйся генератором правил онлайн http://easyfwgen.morizot.net/gen/
заполняй постепенно данные, в конце получишь готовый текстовик правил
Подскажите как настроить возможность пользователям подключатся к VPN Serverу Win 2008R2 из вне?
Код:
-A PREROUTING -D [РЕАЛ АЙПИ] -p tcp -dport 1723 -j DNAT --to-destination [VPN_SERVER_WIN2008R2:1723]
-I FORWART -s [VPN_SERVER_WIN2008R2] -p tcp --dport 0:65535 -j ACCEPT
-I FORWART -s [VPN_SERVER_WIN2008R2] -p udp --dport 0:65535 -j ACCEPT
Код:
-A PREROUTING -D [РЕАЛ АЙПИ] -p tcp -dport 1723 -j DNAT --to-destination [VPN_SERVER_WIN2008R2:1723]
-I FORWART -s [VPN_SERVER_WIN2008R2] -p tcp --dport 0:65535 -j ACCEPT
-I FORWART -s [VPN_SERVER_WIN2008R2] -p udp --dport 0:65535 -j ACCEPT
OOD
-A FORWARD -p gre -j ACCEPT
-A FORWARD -p gre -j ACCEPT
slime555А модуль подключить, устанавливать нужно?
нет вроде, ну у меня на центосе и федорке итак робит
slime555
а если так, заработает?
-A FORWARD -p 47 -j ACCEPT
а если так, заработает?
-A FORWARD -p 47 -j ACCEPT
OOD
Цитата:
Цитата:
а если так, заработает?GRE вполне может рубиться еще на стороне провайдера.
vlary
С провайдером все ок ! GRE я понял это протокол, а не порт...
С провайдером все ок ! GRE я понял это протокол, а не порт...
[more] Господа форумчане, великие гуру! Требуется Ваша помощь:
Есть виртуальная машина Ubuntu, два интерфейса, внешний и наружний, получаются по динамике, но зарезервированы на dhcp. Не получается настроить как SNAT, так и DNAT. net.ipv4.ip_forward=1 включен. Настройки iptables делались строго в соответствии с источниками в интернете. Ниже код:
#! /bin/sh
iptables -F
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.11.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -d 192.168.11.0/24 -j ACCEPT
iptables -A POSTROUTING -s 192.168.11.0/24 -o eth1 -j SNAT --to-source 192.168.12.148
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.11.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.12.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
в данном случае SNAT не работает. Доступ извне только по 80 порту на web ресурс. Но форвард почему-то не работает, в чем проблема, хелп!!!
P.s. 11-ая подсетка - лан, 12-ая - внешка, адрес внешнего интерфейса 192.168.12.148 [/more]
Есть виртуальная машина Ubuntu, два интерфейса, внешний и наружний, получаются по динамике, но зарезервированы на dhcp. Не получается настроить как SNAT, так и DNAT. net.ipv4.ip_forward=1 включен. Настройки iptables делались строго в соответствии с источниками в интернете. Ниже код:
#! /bin/sh
iptables -F
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.11.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -d 192.168.11.0/24 -j ACCEPT
iptables -A POSTROUTING -s 192.168.11.0/24 -o eth1 -j SNAT --to-source 192.168.12.148
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.11.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.12.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
в данном случае SNAT не работает. Доступ извне только по 80 порту на web ресурс. Но форвард почему-то не работает, в чем проблема, хелп!!!
P.s. 11-ая подсетка - лан, 12-ая - внешка, адрес внешнего интерфейса 192.168.12.148 [/more]
nivuravesta
Почему же все так любят настраивать iptables скриптом, а не использовать ipatables-save/iptables-restore утилиты...
Ну DNAT'а я у Вас вообще не вижу, так что поговорим про SNAT.
Просто правило со SNAT надо всё-таки в таблицу nat записывать...
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o eth1 -j SNAT --to-source 192.168.12.148
Неужто скрипт у Вас ошибку не выдаёт?
Почему же все так любят настраивать iptables скриптом, а не использовать ipatables-save/iptables-restore утилиты...
Ну DNAT'а я у Вас вообще не вижу, так что поговорим про SNAT.
Просто правило со SNAT надо всё-таки в таблицу nat записывать...
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o eth1 -j SNAT --to-source 192.168.12.148
Неужто скрипт у Вас ошибку не выдаёт?
Спасибо, попробую
C NAT'ом получилось, спасибо!
Что делать с DNAT'ом:
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.11.59
Заранее благодарен!
Что делать с DNAT'ом:
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.11.59
Заранее благодарен!
nivuravesta
А в чём проблема-то? Вот Вы написали правило и да, оно выглядит верным.
А в чём проблема-то? Вот Вы написали правило и да, оно выглядит верным.
А проблема в том, что данное правило не хочет работать.
nivuravesta
А должно бы работать...
1. iptables -z
2. iptables -t nat -z
3. Пробуем подключить по RDP снаружи что бы сработало по Вашему мнению Ваше правило DNAT
4. Показываем сюда вывод iptable -t nat -vnL и iptables -vnL
А должно бы работать...
1. iptables -z
2. iptables -t nat -z
3. Пробуем подключить по RDP снаружи что бы сработало по Вашему мнению Ваше правило DNAT
4. Показываем сюда вывод iptable -t nat -vnL и iptables -vnL
Страницы: 123456789101112131415
Предыдущая тема: Как подключиться по RDP к 2000 серверу - к локальной сессии?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.