- This topic has 10 hozzászólás, 6 résztvevő, and was last updated 19 years, 4 months telt el by
.
-
Bejegyzés
-
Igen. Ezt szeretném, de nem tudom mit kell a scriptbe illeszteni. Meg amit nem értek: ha kiadom neki a szerveren a
Code:iptables -A INPUT -p tcp -m tcp –dport 27960 -j ACCEPTparancsot legalább a szerverre meg kellene nyitia a portot 🙁
Segítséget elõre is köszönöm!
Az iptables-t úgy alkalmazzuk, hogy elõbb töröljük az összes szabályt meg mindent az iptables -F iptables -X parancsokkal. Ezután megadjuk, hogy mit szereténk engedni, majd ezek után minden más csomagot dobunk.
Port forward, ha jól gondolom:
Code:iptables -t nat -A PREROUTING -p tcp -i eth0 -d 192.168.0.1 –dport 27960 -j DNAT –to 192.168.0.5:27960
iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.5 –dport 27960 -j ACCEPTUgyanezt a bittorrent portjára is. A desktopon pedig egyzserûen iptables -A INPUT -p tcp -i eth0 -dport 27960 -j ACCEPT.
Figyelj a sorrendre! Elõbb engeded azt, ami szükséges, azután mindent eldobsz.
Olvasgattam, nézegettem, kérdezõsködtem…
Odáig jutottam, hogy:iptables -A INPUT -i eth0 -m state –state NEW,INVALID -j DROP
iptables -A FORWARD -i eth0 -m state –state NEW,INVALID -j DROPEzt a két sort kéne kivenni a scriptbõl, de akkor ugye nem véd semmi….
iptables -P INPUT DROP
Ha helyette ezt alakalmazom kizár a rendszer.
Gondoltam be paste-zom az iptables-save kimenetét, hátha valaki mégis tud segíteni.
Code:szerver:/etc/init.d# iptables-save
# Generated by iptables-save v1.2.11 on Mon Jul 4 21:40:15 2005
*nat
:PREROUTING ACCEPT [49690:5534892]
:POSTROUTING ACCEPT [698:55708]
:OUTPUT ACCEPT [1148:80672]
-A PREROUTING -i eth1 -p tcp -m tcp –dport 6991 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p udp -m udp –dport 6991 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -p tcp -m tcp –dport 6991 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -p udp -m udp –dport 6991 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -p tcp -m tcp –dport 6991 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -p udp -m udp –dport 6991 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -i eth1 -p tcp -m tcp –dport 442 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p udp -m udp –dport 412 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p tcp -m tcp –dport 442 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p udp -m udp –dport 412 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p tcp -m tcp –dport 442 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p udp -m udp –dport 412 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p tcp -m tcp –dport 442 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p udp -m udp –dport 412 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -p tcp -m tcp –dport 6991 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -p udp -m udp –dport 6991 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -i eth1 -p tcp -m tcp –dport 442 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p udp -m udp –dport 412 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -p tcp -m tcp –dport 442 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -p udp -m udp –dport 412 -j DNAT –to-destination 192.168.0.4:6991
-A PREROUTING -i eth1 -p tcp -m tcp –dport 442 -j DNAT –to-destination 192.168.0.4
-A PREROUTING -i eth1 -p udp -m udp –dport 412 -j DNAT –to-destination 192.168.0.4
-A POSTROUTING -s 192.168.0.1 -p tcp -m tcp –dport 6991 -j SNAT –to-source 192.168.0.4
-A POSTROUTING -s 192.168.0.1 -p udp -m udp –dport 6991 -j SNAT –to-source 192.168.0.4
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.1 -p tcp -m tcp –dport 442 -j SNAT –to-source 192.168.0.4
-A POSTROUTING -s 192.168.0.1 -p udp -m udp –dport 412 -j SNAT –to-source 192.168.0.4
-A POSTROUTING -s 192.168.0.1 -p tcp -m tcp –dport 442 -j SNAT –to-source 192.168.0.4
-A POSTROUTING -s 192.168.0.1 -p udp -m udp –dport 412 -j SNAT –to-source 192.168.0.4
-A POSTROUTING -s 192.168.0.4 -p tcp -m tcp –dport 442 -j SNAT –to-source 82.79.108.144
-A POSTROUTING -s 192.168.0.4 -p udp -m udp –dport 412 -j SNAT –to-source 82.79.108.144
-A POSTROUTING -s 192.168.0.4 -p tcp -m tcp –dport 442 -j MASQUERADE
-A POSTROUTING -s 192.168.0.4 -p udp -m udp –dport 412 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.4 -p tcp -m tcp –dport 442 -j MASQUERADE
-A POSTROUTING -s 192.168.0.4 -p udp -m udp –dport 412 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.4 -p tcp -m tcp –dport 442 -j MASQUERADE
-A POSTROUTING -s 192.168.0.4 -p udp -m udp –dport 412 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jul 4 21:40:15 2005
# Generated by iptables-save v1.2.11 on Mon Jul 4 21:40:15 2005
*filter
:INPUT ACCEPT [75191:21600868]
:FORWARD ACCEPT [2873129:1888975950]
:OUTPUT ACCEPT [96030:31127712]
-A INPUT -p udp -m udp –dport 6991 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 6991 -j ACCEPT
-A INPUT -s 81.182.243.47 -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -s 195.199.244.194 -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -s 195.199.244.198 -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 -j DROP
-A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 25 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp –dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 21 -j DROP
-A INPUT -i eth0 -m state –state INVALID,NEW -j DROP
-A FORWARD -i eth0 -m state –state INVALID,NEW -j DROP
COMMIT
# Completed on Mon Jul 4 21:40:15 2005Fáradozásaitokat elõre is köszönöm!
Nevetni fogsz: Fenn van. HWSW, Majomparade… Nem szoktam ilyet csinálni, de most nincs más választásom… IRC-n is ezzel fárasztom az usereket.
Nekem is valami hasonló problémám van most, vagyis passzív módban vagyok, amennyiben az INPUT policy-ja drop-on van. Ha a policy accept, akkor nincsen gond, teljes gázzal megy az adatforgalom. Az iptables-save a következõ:
# Generated by iptables-save v1.2.11 on Thu Jan 26 03:18:20 2006
*filter
:INPUT DROP [292:30086]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15315278:4530581586]
-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 13532 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 35000:35600 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
-A INPUT -p udp -m udp –sport 53 –dport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 5900 -j ACCEPT
-A INPUT -p udp -m udp –dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 5901 -j ACCEPT
-A INPUT -p tcp -m tcp –sport 21 –dport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp –sport 20 –dport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp –sport 80 –dport 1024:65535 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp –dport 6881:6889 -j ACCEPTCOMMIT
# Completed on Thu Jan 26 03:18:20 2006Ha minden igaz, akkor az utolsó sor a lényeges, az nyitná ki a torrenthez szükséges portokat. Persze itt most a tûzfal nem külön gépen fut, így elvileg nem kellene a routolással törõdnöm, ami különbség az elõzõ esethez képest. Viszont ennek ellenére, ahogy drop-ra rakom a policy-t az input táblában, rögtön esik a sebesség, szakadoznak a kapcsolatok, esetleg teljesen le is áll az egész. Tudtommal a torrent nem használ más portot a port range-ében megadottakon kívül, és azon belül is egy letöltéshez csak egyet. Szóval nem igazán értem a helyzetet, valaki esetleg tudna segíteni?
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz