форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Iptables"		+/–
Сообщение от alexcandr (??) on 06-Авг-09, 19:17
Все привет, тем таких уже было полно но сильно не пинайте, ни как не могу разобраться хоть убейте, прочитав руководство http://www.opennet.ru/docs/RUS/iptables/ еще сильнее запутался, прощу разъяснить некоторые моменты, Ушел админ и все свое добро оставил мне, я с iptables вообще ноль, что меня интересует счас,, Что имеем сервак с iptables. 2 интерфейся(инет и локалка) Мне нужно открыть 20,21 порт на вход и выход для банк клиента, что нашел в сети: $ipt -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT $ipt -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT где $EXTIF смотрит в мир Я так понимаю это мы открыли порты на вход, а вот на выход я так и не понял что прописать,,, Я так подозреваю что нужно еще и с сервака как то перенаправить их на тачку на которой установлен Банк Клиент,,, Прощу помощи как это все реализовать. Заранее всем спасибо.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Iptables"		+/–
Сообщение от reader (ok) on 06-Авг-09, 20:06
>[оверквотинг удален] > >$ipt -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT >$ipt -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT >где $EXTIF смотрит в мир >Я так понимаю это мы открыли порты на вход, а вот на >выход я так и не понял что прописать,,, >Я так подозреваю что нужно еще и с сервака как то перенаправить >их на тачку на которой установлен Банк Клиент,,, >Прощу помощи как это все реализовать. >Заранее всем спасибо. читайте по DNAT и учитывайте, что после применения DNAT с изменением адреса назначения на адрес другой машины, пакет пойдет через FORWARD, а не через INPUT
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Iptables"		+/–
Сообщение от ALex_hha (ok) on 07-Авг-09, 12:02
>[оверквотинг удален] > >$ipt -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT >$ipt -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT >где $EXTIF смотрит в мир >Я так понимаю это мы открыли порты на вход, а вот на >выход я так и не понял что прописать,,, >Я так подозреваю что нужно еще и с сервака как то перенаправить >их на тачку на которой установлен Банк Клиент,,, >Прощу помощи как это все реализовать. >Заранее всем спасибо. Так ты точно узнай что надо. Так как 20/21 это порты ftp. Если надо открыть доступ клиент-банку на внешний ftp сервер это одно, а если надо открыть серверу банка доступ к этим портам на машине, где стоит клиент-банк, это совсем другое. Какая политика по умолчанию?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Iptables"		+/–
	Сообщение от alexcandr (??) on 07-Авг-09, 16:44
	>Так ты точно узнай что надо. Так как 20/21 это порты ftp. >Если надо открыть доступ клиент-банку на внешний ftp сервер это одно, >а если надо открыть серверу банка доступ к этим портам на >машине, где стоит клиент-банк, это совсем другое. > >Какая политика по умолчанию? Нужно открыть на моем сервере 20,21 порт на вход и выход, что бы прога могла коннектиться к удаленному серверу Банка, На локальном компе стоит прога наз Банк Клиент она передает данные по 20,21 порту, на нашем роутере эти порты закрыты на выход в мир,,, т.е мне нужно открыть на роутере эти порты и перебросить их на локальную тачку, что б она могла работать с прогой, так как инет у нас раздается через прокси, а программа банк клиен не поддерживает проксю,,, Вот вроде бы все, Про Dnat читал, но честно не въехал, можете парочку примеров с описанием скинуть, Всем огромное спасибо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Iptables"		+/–
	Сообщение от konst (??) on 07-Авг-09, 18:03
	>[оверквотинг удален] >20,21 порту, на нашем роутере эти порты закрыты на выход в >мир,,, т.е мне нужно открыть на роутере эти порты и перебросить >их на локальную тачку, что б она могла работать с прогой, >так как инет у нас раздается через прокси, а программа банк >клиен не поддерживает проксю,,, >Вот вроде бы все, > >Про Dnat читал, но честно не въехал, можете парочку примеров с описанием >скинуть, >Всем огромное спасибо. $ipt -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -m multiport -p tcp --dports 20,21  -j SNAT --to-source $EXT_IP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Iptables"		+/–
	Сообщение от ALex_hha (ok) on 08-Авг-09, 00:04
	>[оверквотинг удален] > >Нужно открыть на моем сервере 20,21 порт на вход и выход, что >бы прога могла коннектиться к удаленному серверу Банка, >На локальном компе стоит прога наз Банк Клиент она передает данные по >20,21 порту, на нашем роутере эти порты закрыты на выход в >мир,,, т.е мне нужно открыть на роутере эти порты и перебросить >их на локальную тачку, что б она могла работать с прогой, >так как инет у нас раздается через прокси, а программа банк >клиен не поддерживает проксю,,, >Вот вроде бы все, подгрузить модуль ip_nat_ftp добавить правило в цепочку FORWARD таблицы filter. Если все только через прокси, то сделать SNAT для этих портов/машины >Про Dnat читал, но честно не въехал, можете парочку примеров с описанием >скинуть, >Всем огромное спасибо. DNAT тебе не нужен
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Iptables"		+/–
Сообщение от tux2002 (ok) on 07-Авг-09, 18:12
/sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp $IPTABLES -A FORWARD -p tcp -d $FTP --dport 21 -j ACCEPT $IPTABLES -A FORWARD -p tcp -d $FTP -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -p tcp -s $FTP -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -t nat -A POSTROUTING -p tcp -d $FTP --dport 21 -j SNAT --to-source $OUT
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Iptables"		+/–
	Сообщение от tux2002 (ok) on 07-Авг-09, 18:13
	Это на внешний FTP.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема