Toon posts:

[iptables] portmapping; tcp en udp

Pagina: 1
Acties:

donderdag 17 oktober 2002 02:38

Acties:
  • Zynth
  • Registratie: September 2001
  • Laatst online: 17:51

Zynth

Topicstarter
Om een programma te kunnen draaien (een connectie kan van buitenaf worden aangevraagd) , moet ik volgens de handleiding het volgende doen:
* If your computer is behind a Proxy or Router (LAN users) use your NAT (Network Address Translation) service and do port mapping for TCP/UDP 9084. All UDP packets coming to port 9084 at your Proxy should be forwarded to your local PC in order to have a connection with the remote party.
* If your computer is behind a Firewall, ask your network administrator to open the ports TCP/UDP 9084 in/out to allow making Intranet-Internet connections.
nou heb ik in mijn firewall de volgende regels opgenomen:
code:
1
2

$IPTABLES -t nat -A PREROUTING -p tcp --dport 9084 -i eth0 -j DNAT --to 192.168.0.20
$IPTABLES -t nat -A PREROUTING -p udp --dport 9084 -i eth0 -j DNAT --to 192.168.0.20


maar toch werkt hiet niet :?
wat doe ik fout? (als je de rest v/d firewall nodig hebt, dan post ik hem wel ff)

donderdag 17 oktober 2002 10:36

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 16:26

Equator

Crew Council

🦺#Rodekruis #whisky #barista

code:
1
2

$IPTABLES -t nat -A PREROUTING -p tcp --dport 9084 -i eth0 -j DNAT --to 192.168.0.20:9084
$IPTABLES -t nat -A PREROUTING -p udp --dport 9084 -i eth0 -j DNAT --to 192.168.0.20:9084

Zou moeten werken mits eth0 inderdaad je externe interface is.
verder heb je het volgens mij prima gedaan..

donderdag 17 oktober 2002 10:49

Acties:
  • Zynth
  • Registratie: September 2001
  • Laatst online: 17:51

Zynth

Topicstarter
hmz... toch vaag dan :|
Het programma werkt namelijk echt niet...

donderdag 17 oktober 2002 11:00

Acties:
  • Zynth
  • Registratie: September 2001
  • Laatst online: 17:51

Zynth

Topicstarter
nog maar even een stukje tekst uit de handleiding:
If your computer is behind a Firewall, ask your Intranet administrator to release (open) the port 9084 for TCP and UDP (both incoming and outgoing directions) from the Firewall to allow making Intranet-Internet connections. This can be done at your Proxy or NAT (Network Address Translation) service.
mijn huige firewall is:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

IPTABLES="/usr/sbin/iptables"

#Blocked ALLE Traffic naar de server
$IPTABLES -F
$IPTABLES -N block
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A block -m state --state NEW -i ! eth0 -j ACCEPT

#Allowed ALLEEN de opgegeven poorten: 22 80
$IPTABLES -A block -p tcp --destination-port 22 --syn -j ACCEPT
$IPTABLES -A block -p tcp --destination-port 80 --syn -j ACCEPT

$IPTABLES -t nat -A PREROUTING -p tcp --dport 9084 -i eth0 -j DNAT --to 192.168.0.10:9084
$IPTABLES -t nat -A PREROUTING -p udp --dport 9084 -i eth0 -j DNAT --to 192.168.0.10:9084

#$IPTABLES -A block -j LOG
$IPTABLES -A block -j DROP
$IPTABLES -A INPUT -j block
$IPTABLES -A FORWARD -j block

#--------------------------------------------
#Zet deze server in als gateway
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE

donderdag 17 oktober 2002 11:09

Acties:

Verwijderd

Je syntax is inderdaad goed. Ik denk dat er iets anders aan de hand is.

donderdag 17 oktober 2002 11:24

Acties:

Verwijderd

tsja...

je zegt al zelf :
#Allowed ALLEEN de opgegeven poorten: 22 80

misschien wil je die poort 9084 ook toelaten voor inkomend verkeer?
code:
1

$IPTABLES -A block -p tcp --destination-port 9084 --syn -j ACCEPT


of wellicht zit het in je forward chain, je blockt namelijk alles
code:
1

$IPTABLES -A FORWARD -p tcp --dport 9084 -i $EXTIF -d 192.168.0.10 -j ACCEPT

donderdag 17 oktober 2002 11:31

Acties:
  • MikeN
  • Registratie: April 2001
  • Laatst online: 17:04

MikeN

Het probleem is dat je momenteel alle nieuwe connecties naar je FORWARD chain blokt.
code:
1

$IPTABLES -A block -m state --state NEW -i ! eth0 -j ACCEPT

donderdag 17 oktober 2002 11:37

Acties:
  • Zynth
  • Registratie: September 2001
  • Laatst online: 17:51

Zynth

Topicstarter
hmz...
ik heb het allebei geprobeerd, maar nog niks werkt tot nu toe.
Ik kan wel een connectie naar buiten maken, maar ontvang dan niks terug...
Mijn firewall nu:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

IPTABLES="/usr/sbin/iptables"

#Blocked ALLE Traffic naar de server
$IPTABLES -F
$IPTABLES -N block
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A block -m state --state NEW -i ! eth0 -j ACCEPT

#Allowed ALLEEN de opgegeven poorten: 22 80
$IPTABLES -A block -p tcp --destination-port 22 --syn -j ACCEPT
$IPTABLES -A block -p tcp --destination-port 80 --syn -j ACCEPT
$IPTABLES -A block -p tcp --destination-port 998 --syn -j ACCEPT
$IPTABLES -A block -p tcp --destination-port 9084 --syn -j ACCEPT

$IPTABLES -t nat -A PREROUTING -p tcp --dport 9084 -i eth0 -j DNAT --to 192.168.0.10:9084
$IPTABLES -t nat -A PREROUTING -p udp --dport 9084 -i eth0 -j DNAT --to 192.168.0.10:9084

#$IPTABLES -A block -j LOG
$IPTABLES -A block -j DROP
$IPTABLES -A INPUT -j block
#$IPTABLES -A FORWARD -j block
$IPTABLES -A FORWARD -p tcp --dport 9084 -i eth0 -d 192.168.0.10 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 9084 -i eth0 -d 192.168.0.10 -j ACCEPT

#--------------------------------------------
#Zet deze server in als gateway
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE

donderdag 17 oktober 2002 13:33

Acties:
  • Zynth
  • Registratie: September 2001
  • Laatst online: 17:51

Zynth

Topicstarter
Ik heb het met bovenstaande firewall nu zo,
dat als IK een connectie aanmaak naar buiten, zij MIJ wél kunnen ontvangen, maar ik kan niks terugontvangen.
Als buiten echter een connectie aanmaakt met mij (wil goed), dan kan ik HEN wél ontvangen, maar ontvangen zij niks terug van mij.

Ik weet zeker dat het aan de firewall ligt, want het werkt op het internet netwerk (zonder tussenkomende firewalls) wel goed.

(even op MikeN terugkomend; wat zou ik daar dan aan moeten veranderen?)

donderdag 17 oktober 2002 13:40

Acties:
  • RdeTuinman
  • Registratie: Mei 2001
  • Laatst online: 13-05 06:29

RdeTuinman

Kijk ook eens in je log.

Mooiste is 'tail /var/log/messages -f' tijdens het connecten. dan zie je meteen of er meldingen worden aangemaakt.

donderdag 17 oktober 2002 14:20

Acties:

Verwijderd

RdeTuinman schreef op 17 oktober 2002 @ 13:40:
Kijk ook eens in je log.

Mooiste is 'tail /var/log/messages -f' tijdens het connecten. dan zie je meteen of er meldingen worden aangemaakt.
Iptables logs worden naar kern.log weg geschreven iirc.

donderdag 17 oktober 2002 14:24

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

En zijn huidige firewall script logt niks :)

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

donderdag 17 oktober 2002 15:45

Acties:
  • RdeTuinman
  • Registratie: Mei 2001
  • Laatst online: 13-05 06:29

RdeTuinman

Verwijderd schreef op 17 oktober 2002 @ 14:20:
[...]

Iptables logs worden naar kern.log weg geschreven iirc.
Bij mij iig niet ;) (RedHat he?)

donderdag 17 oktober 2002 17:38

Acties:
  • Zynth
  • Registratie: September 2001
  • Laatst online: 17:51

Zynth

Topicstarter
eh.. welke log moet ik nou bekijken? :P
kern.log bestaat niet, en messages blijft leeg (komt iig niks van de firewall bij).
moet ik dan trouwens #$IPTABLES -A block -j LOG
ook weer aanzetten?
ik draai trouwens slack8.0
Pagina: 1
Reageer