DSL + NAT + debian – se MSN, se VNC, semmi forward befelé [megoldva]

Kezdőlap Fórumok Hálózati problémák DSL + NAT + debian – se MSN, se VNC, semmi forward befelé [megoldva]

10 bejegyzés megtekintése - 41-50 / 67
1 2 3 4 5 6 7
  • Szerző
    Bejegyzés
  • 2008-02-01-13:53 #2152403
    Fiber
    Felhasználó

      Nem elegáns, nem biztonságos, de 10-15 percekre bőven elegendő nekem az alábbi (az én gépem a „router” és egyben használom is, viszont egy xp kliens néha rajtam keresztül kapcsolódik. 1 hálókártyám van (switchben van minden). ):

      Code:
      #(feltételezem, h ip_forward már be lett lőve)
      iptables -t nat -F
      iptables -F

      iptables -P INPUT DROP
      iptables -P FORWARD ACCEPT
      iptables -P OUTPUT ACCEPT

      # csak felépült kapcsolatokat eszünk, többit a policy droppolja (csak belülről lehet kezdeményezni kapcsolatot)
      iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
      # saját helyi hálónk ipitől elfogadunk bármit (nem jó megoldás, érdemes szűrni ezt is)
      iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT
      # kimenőt maszkoljuk
      iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

      NEM biztonságos és NEM jó ez a megoldás, de néhány dologgal meg szigorításokkal azzá lehet tenni. Próbáld ki, hátha.

      2008-02-01-13:53 #2152404
      Fiber
      Felhasználó

        Nem elegáns, nem biztonságos, de 10-15 percekre bőven elegendő nekem az alábbi (az én gépem a „router” és egyben használom is, viszont egy xp kliens néha rajtam keresztül kapcsolódik. 1 hálókártyám van (switchben van minden). ):

        Code:
        #(feltételezem, h ip_forward már be lett lőve)
        iptables -t nat -F
        iptables -F

        iptables -P INPUT DROP
        iptables -P FORWARD ACCEPT
        iptables -P OUTPUT ACCEPT

        # csak felépült kapcsolatokat eszünk, többit a policy droppolja (csak belülről lehet kezdeményezni kapcsolatot)
        iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
        # saját helyi hálónk ipitől elfogadunk bármit (nem jó megoldás, érdemes szűrni ezt is)
        iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT
        # kimenőt maszkoljuk
        iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

        NEM biztonságos és NEM jó ez a megoldás, de néhány dologgal meg szigorításokkal azzá lehet tenni. Próbáld ki, hátha.

        2008-02-03-20:58 #2152405
        dchard
        Felhasználó

          Na beraktam még egy hálókártyát (eth2=10.0.0.1/255.255.0.0), arra rádugtam a modemet, feltárcsáztam, létrejött a kapcsolat, minden működik, kivéve azt ami egy hálókarival sem ment: MSN, és befelé forwardolt portok.

          (a másik kártya eth0=192.168.1.1/255.255.255.0)

          Itt az iptables script:

          Code:
          #!/bin/sh

          PATH=/usr/sbin:/sbin:/bin:/usr/bin

          #
          # delete all existing rules.
          #
          iptables -F
          iptables -t nat -F
          iptables -t mangle -F
          iptables -X

          # Kimenő forgalom maszkolása
          iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

          # IP továbbítás bekapcsolása
          echo 1 > /proc/sys/net/ipv4/ip_forward

          #portok átirányítása a VNC program működéséhez
          iptables -t nat -A PREROUTING -d dchard.no-ip.org -p tcp –dport 5800 -j DNAT –to-destination 192.168.1.2:5800
          iptables -t nat -A PREROUTING -d dchard.no-ip.org -p tcp –dport 5900 -j DNAT –to-destination 192.168.1.2:5900

          #Torrent
          iptables -t nat -A PREROUTING -d dchard.no-ip.org -p tcp –dport 50625 -j DNAT –to-destination 192.168.1.2:50625
          iptables -t nat -A PREROUTING -d dchard.no-ip.org -p udp –dport 50625 -j DNAT –to-destination 192.168.1.2:50625

          #MSN

          iptables -A INPUT -i ppp0 -p tcp –dport 1863 -j ACCEPT
          iptables -A INPUT -i ppp0 -p tcp –dport 443 -j ACCEPT
          iptables -A INPUT -i ppp0 -p tcp –dport 80 -j ACCEPT

          Ha valakinek van ötlete, akkor várom, mert így sem működik a dolog.

          Dchard

          2008-02-03-20:58 #2152406
          dchard
          Felhasználó

            Na beraktam még egy hálókártyát (eth2=10.0.0.1/255.255.0.0), arra rádugtam a modemet, feltárcsáztam, létrejött a kapcsolat, minden működik, kivéve azt ami egy hálókarival sem ment: MSN, és befelé forwardolt portok.

            (a másik kártya eth0=192.168.1.1/255.255.255.0)

            Itt az iptables script:

            Code:
            #!/bin/sh

            PATH=/usr/sbin:/sbin:/bin:/usr/bin

            #
            # delete all existing rules.
            #
            iptables -F
            iptables -t nat -F
            iptables -t mangle -F
            iptables -X

            # Kimenő forgalom maszkolása
            iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

            # IP továbbítás bekapcsolása
            echo 1 > /proc/sys/net/ipv4/ip_forward

            #portok átirányítása a VNC program működéséhez
            iptables -t nat -A PREROUTING -d dchard.no-ip.org -p tcp –dport 5800 -j DNAT –to-destination 192.168.1.2:5800
            iptables -t nat -A PREROUTING -d dchard.no-ip.org -p tcp –dport 5900 -j DNAT –to-destination 192.168.1.2:5900

            #Torrent
            iptables -t nat -A PREROUTING -d dchard.no-ip.org -p tcp –dport 50625 -j DNAT –to-destination 192.168.1.2:50625
            iptables -t nat -A PREROUTING -d dchard.no-ip.org -p udp –dport 50625 -j DNAT –to-destination 192.168.1.2:50625

            #MSN

            iptables -A INPUT -i ppp0 -p tcp –dport 1863 -j ACCEPT
            iptables -A INPUT -i ppp0 -p tcp –dport 443 -j ACCEPT
            iptables -A INPUT -i ppp0 -p tcp –dport 80 -j ACCEPT

            Ha valakinek van ötlete, akkor várom, mert így sem működik a dolog.

            Dchard

            2008-02-03-21:54 #2152407
            gendelider
            Felhasználó

              Én bekapcsolnám a LOG opciót a tűzfalban, akkor látszik, hogy mi történik…

              Egy hálókártyával már csak azért sem csinálnám, mert alapszabály, hogy a két hálózatot sohase keverjem össze ezen a layeren! (=Ne drótozd össze!) Rendesebb úri kaszinókból ennél kevebbért is kitiltanak! 😀

              2008-02-03-21:54 #2152408
              gendelider
              Felhasználó

                Én bekapcsolnám a LOG opciót a tűzfalban, akkor látszik, hogy mi történik…

                Egy hálókártyával már csak azért sem csinálnám, mert alapszabály, hogy a két hálózatot sohase keverjem össze ezen a layeren! (=Ne drótozd össze!) Rendesebb úri kaszinókból ennél kevebbért is kitiltanak! 😀

                2008-02-03-22:09 #2152409
                dchard
                Felhasználó
                  gendelider wrote:
                  Én bekapcsolnám a LOG opciót a tűzfalban, akkor látszik, hogy mi történik…

                  És ezt hol tehetem meg?

                  Egyáltalán: azon a hálókarin, amelyre csak a DSL modem kapcsolódik, milyen IP-t/alhálót etc. kéne beállítani?

                  Dchard

                  2008-02-03-22:09 #2152410
                  dchard
                  Felhasználó
                    gendelider wrote:
                    Én bekapcsolnám a LOG opciót a tűzfalban, akkor látszik, hogy mi történik…

                    És ezt hol tehetem meg?

                    Egyáltalán: azon a hálókarin, amelyre csak a DSL modem kapcsolódik, milyen IP-t/alhálót etc. kéne beállítani?

                    Dchard

                    2008-02-03-22:14 #2152411
                    lada2105
                    Felhasználó

                      Azon a hálókártyán semmit nem kell piszkálni, amibe a modem kapcsolódik.

                      az „iptables….. -j LOG –log-level info” szabállyal tudod megadni a logolást az tüzfalnak.

                      Egyébként próbáld ki az én régebben már írt ajánlatomat, hátha már megy.
                      Egyébként ezekután már mennie kell.
                      Az MSN sem/nem egy olyan „állatfaj” amire külön kellene állítgatni a szabályokat.
                      Ha megvan osztva a net rendesen, akkor megy.

                      Az egy dolog, hogy a kliens b@szakodik idönként. Windows esetére is ajánlom a pidgint akár próba céljából is.

                      Sok sikert!

                      2008-02-03-22:14 #2152412
                      lada2105
                      Felhasználó

                        Azon a hálókártyán semmit nem kell piszkálni, amibe a modem kapcsolódik.

                        az „iptables….. -j LOG –log-level info” szabállyal tudod megadni a logolást az tüzfalnak.

                        Egyébként próbáld ki az én régebben már írt ajánlatomat, hátha már megy.
                        Egyébként ezekután már mennie kell.
                        Az MSN sem/nem egy olyan „állatfaj” amire külön kellene állítgatni a szabályokat.
                        Ha megvan osztva a net rendesen, akkor megy.

                        Az egy dolog, hogy a kliens b@szakodik idönként. Windows esetére is ajánlom a pidgint akár próba céljából is.

                        Sok sikert!

                      • Szerző
                        Bejegyzés
                      10 bejegyzés megtekintése - 41-50 / 67
                      1 2 3 4 5 6 7
                      • Be kell jelentkezni a hozzászóláshoz.