iptables не могу открыть порт

kirillpsl	# 10 лет, 7 месяцев назад (отредактировано 10 лет, 7 месяцев назад)
Темы: 20 Сообщения: 79 Участник с: 12 октября 2009	В общем так, появилась необходимость просмотра видео с регистратора из другого города, регистратор поддерживает трансляцию по инету (через IE или через FF с ietab) так вот, настроил я регистратор, в локале (в другом городе) работает все отлично, а у меня не как не пускает на порты 67 и 68… Для работы регистратора нужно открыть 80, 67,68 порты 192.168.0.123 - ip регистратора 192.168.0.100 - локальный ip сервера (eth1) 111.111.111.111 - мой внешний ip 222.222.222.222 - внешний айпи сервера (eth0) Сеть сидит за iptables делаю проброс портов : /sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.123 т.е. теперь когда долблюсь по 80 порту в 222.222.222.222 попадаю на вебморду регистратора но не как не могу добраться до 67 и 68 портов пытался открыть всем : /sbin/iptables -A INPUT -p tcp -i eth0 --dport 67 -j ACCEPT /sbin/iptables -A INPUT -p tcp -i eth0 --dport 68 -j ACCEPT не помогло, как быт не знаю

# 10 лет, 7 месяцев назад (отредактировано 10 лет, 7 месяцев назад)

Сообщения: 79

Участник с: 12 октября 2009

В общем так, появилась необходимость просмотра видео с регистратора из другого города, регистратор поддерживает трансляцию по инету (через IE или через FF с ietab) так вот, настроил я регистратор, в локале (в другом городе) работает все отлично, а у меня не как не пускает на порты 67 и 68…
Для работы регистратора нужно открыть 80, 67,68 порты
192.168.0.123 - ip регистратора
192.168.0.100 - локальный ip сервера (eth1)
111.111.111.111 - мой внешний ip
222.222.222.222 - внешний айпи сервера (eth0)

Сеть сидит за iptables делаю проброс портов :

/sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.123

т.е. теперь когда долблюсь по 80 порту в 222.222.222.222 попадаю на вебморду регистратора но не как не могу добраться до 67 и 68 портов

пытался открыть всем :

/sbin/iptables -A INPUT -p tcp -i eth0 --dport 67 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 68 -j ACCEPT

не помогло, как быт не знаю

shaman	# 10 лет, 7 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	/sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.123:80 /sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 67 -j DNAT --to-destination 192.168.0.123:67 /sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 68 -j DNAT --to-destination 192.168.0.123:68 /sbin/iptables -A INPUT -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -i eth0 --dport 80 -j ACCEPT /sbin/iptables -A INPUT -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -i eth0 --dport 67 -j ACCEPT /sbin/iptables -A INPUT -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -i eth0 --dport 68 -j ACCEPT /sbin/iptables -A FORWARD -s 111.111.111.111 -d 192.168.0.123 -p tcp -m tcp --dport 80 -j ACCEPT /sbin/iptables -A FORWARD -s 111.111.111.111 -d 192.168.0.123 -p tcp -m tcp --dport 67 -j ACCEPT /sbin/iptables -A FORWARD -s 111.111.111.111 -d 192.168.0.123 -p tcp -m tcp --dport 68 -j ACCEPT /sbin/iptables -A FORWARD -d 111.111.111.111 -s 192.168.0.123 -p tcp -m tcp --sport 80 -j ACCEPT /sbin/iptables -A FORWARD -d 111.111.111.111 -s 192.168.0.123 -p tcp -m tcp --sport 67 -j ACCEPT /sbin/iptables -A FORWARD -d 111.111.111.111 -s 192.168.0.123 -p tcp -m tcp --sport 68 -j ACCEPT скорее всего так, если конечно не намудрил :) зы на словах так: разрешить входящие соединения, сделать dnat, разрешить форвардинг в обе стороны. ззы вот кстати хорошая картинка http://dl.nullerror.net/61/iptables.gif зззы если верить картинке, то разрешать в input необходимости нету. походу после dnat пакет в input уже не попадет, тогда /sbin/iptables -A INPUT * не надо

shaman

# 10 лет, 7 месяцев назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

/sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.123:80
/sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 67 -j DNAT --to-destination 192.168.0.123:67
/sbin/iptables -t nat -I PREROUTING 1 -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -m tcp --dport 68 -j DNAT --to-destination 192.168.0.123:68
/sbin/iptables -A INPUT -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -i eth0 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -i eth0 --dport 67 -j ACCEPT
/sbin/iptables -A INPUT -s 111.111.111.111 -d 222.222.222.222 -i eth0 -p tcp -i eth0 --dport 68 -j ACCEPT
/sbin/iptables -A FORWARD -s 111.111.111.111 -d 192.168.0.123 -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s 111.111.111.111 -d 192.168.0.123 -p tcp -m tcp --dport 67 -j ACCEPT
/sbin/iptables -A FORWARD -s 111.111.111.111 -d 192.168.0.123 -p tcp -m tcp --dport 68 -j ACCEPT
/sbin/iptables -A FORWARD -d 111.111.111.111 -s 192.168.0.123 -p tcp -m tcp --sport 80 -j ACCEPT
/sbin/iptables -A FORWARD -d 111.111.111.111 -s 192.168.0.123 -p tcp -m tcp --sport 67 -j ACCEPT
/sbin/iptables -A FORWARD -d 111.111.111.111 -s 192.168.0.123 -p tcp -m tcp --sport 68 -j ACCEPT

скорее всего так, если конечно не намудрил :)
зы на словах так: разрешить входящие соединения, сделать dnat, разрешить форвардинг в обе стороны.
ззы вот кстати хорошая картинка http://dl.nullerror.net/61/iptables.gif
зззы если верить картинке, то разрешать в input необходимости нету. походу после dnat пакет в input уже не попадет, тогда

/sbin/iptables -A INPUT *

не надо

kirillpsl	# 10 лет, 7 месяцев назад
Темы: 20 Сообщения: 79 Участник с: 12 октября 2009	так тоже не пускает…. уже начал сомневаться что в iptables проблема, как можно проверить открыт ли мне порт ?

shaman	# 10 лет, 7 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	да просто телнетом. кстати, неплохо было бы параллельно смотреть tcpdump`ом что куда идет ;)

kirillpsl	# 10 лет, 7 месяцев назад
Темы: 20 Сообщения: 79 Участник с: 12 октября 2009	[[email protected] ~]# /usr/sbin/tcpdump -i eth0 -n -nn -ttt 'host 222.222.222.222 and port 67' tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 000000 IP 333.333.333.333.4802 > 222.222.222.222.67: S 3244833598:3244833598(0) win 65535 <mss 1460,nop,nop,sackOK> 000424 IP 222.222.222.222.67 > 333.333.333.333.4802: R 0:0(0) ack 3244833599 win 0 552921 IP 333.333.333.333.4802 > 222.222.222.222.67: S 3244833598:3244833598(0) win 65535 <mss 1460,nop,nop,sackOK> 000403 IP 222.222.222.222.67 > 333.333.333.333.4802: R 0:0(0) ack 1 win 0 503528 IP 333.333.333.333.4802 > 222.222.222.222.67: S 3244833598:3244833598(0) win 65535 <mss 1460,nop,nop,sackOK> 000469 IP 222.222.222.222.67 > 333.333.333.333.4802: R 0:0(0) ack 1 win 0 вот оно как, 333.333.333.333 - это шлюз мой, я через IE из Windows сижу по прокси 222.222.222.222, откуда появился 333.333.333.333? да и телнет говорит что порт закрыт все похоже понял в чем дело, по прокси не хочет проходить, идет по шлюзу от сюда и проблемы! сейчас уберу проксю проверю что получиться

kirillpsl

# 10 лет, 7 месяцев назад

Темы: 20

Сообщения: 79

Участник с: 12 октября 2009

[[email protected] ~]# /usr/sbin/tcpdump -i eth0 -n -nn -ttt 'host 222.222.222.222 and port 67'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 333.333.333.333.4802 > 222.222.222.222.67: S 3244833598:3244833598(0) win 65535 <mss 1460,nop,nop,sackOK>
000424 IP 222.222.222.222.67 > 333.333.333.333.4802: R 0:0(0) ack 3244833599 win 0
552921 IP 333.333.333.333.4802 > 222.222.222.222.67: S 3244833598:3244833598(0) win 65535 <mss 1460,nop,nop,sackOK>
000403 IP 222.222.222.222.67 > 333.333.333.333.4802: R 0:0(0) ack 1 win 0
503528 IP 333.333.333.333.4802 > 222.222.222.222.67: S 3244833598:3244833598(0) win 65535 <mss 1460,nop,nop,sackOK>
000469 IP 222.222.222.222.67 > 333.333.333.333.4802: R 0:0(0) ack 1 win 0

вот оно как, 333.333.333.333 - это шлюз мой, я через IE из Windows сижу по прокси 222.222.222.222, откуда появился 333.333.333.333?

да и телнет говорит что порт закрыт

все похоже понял в чем дело, по прокси не хочет проходить, идет по шлюзу от сюда и проблемы!
сейчас уберу проксю проверю что получиться

sleepycat	# 10 лет, 7 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	угу, скорее всего прокся, с iptables не знаком а с pf , было чтото похожее правда там команд вводить меньше :-p . Проблема была в проксе, пошел на прямую все заработало, и руки оказались прямыми ;) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 7 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

угу, скорее всего прокся, с iptables не знаком а с pf , было чтото похожее правда там команд вводить меньше :-p . Проблема была в проксе, пошел на прямую все заработало, и руки оказались прямыми ;)

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)