правило iptables. открыть порт.

[ArcFi]

Я предлагаю менее радикальное решение, а именно привести таблицу filter к следующему виду:

Код: [Выделить]

*filter
:INPUT DROP [2610:241618]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2254:299949]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 8112,6990 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -j LOG --log-prefix "IPT-FORWARD "
COMMIT

[AnrDaemon]

ArcFi, conntrack умеет работать с DNAT уже... лет 5 - это минимум. Либо у человека такое УГ стоит, что уже никем не поддерживается, либо у него не Ubuntu вообще, и проблему надо решать не здесь.

[ArcFi]

Честно говоря, фильтр по состоянию DNAT не использую, поэтому не в курсе, что там в какой степени поддерживается.

[kolesov]

у меня ubuntu-server 12.04 взятый c yandex.mirror.ru

сохранил изменения в /etc/iptables.rules потом сделал sudo iptables-restore /etc/iptables.rules и sudo /etc/init.d/networking restart


правила применились, 2ip говорит с виндового (192.168.11.3) хоста у которого шлюзом ubuntu говорит, что 8112 открыт,
с удаленной машины telnet на 8112 цепляется, а вот из delug, который на ubuntu говорит, что 8112 закрыт, когда его во входящий порт указываешь

[ArcFi]

kolesov, если я правильно понял, вы ещё хотите открыть порт для torrent-клиента, который на машине с ubuntu, так?
Тогда вам надо добавить разрешающее правило в filter/INPUT для того порта, который указан в качестве входящего в настройках torrent-клиента.

[kolesov]

ArcFi, вы могли бы порекомендовать какой-нибудь UI работающий с iptables?
я читал, что вэбмин ругали за некорректнось, есть некий Vuurmuur...

[AnrDaemon]

Вам нужен UI для написания 10 строк?...
Определитесь уже, для кого вы открываете порт - для самого шлюза или для компьютера в локальной сети за шлюзом?

[ArcFi]

kolesov, я графическими конфигурялками для настройки iptables не пользуюсь, поэтому, к сожалению, и порекомендовать не могу.
Сам юзаю nano (текстовый редактор) с нумерацией строк подсветкой комментариев.
В общем-то, обычно там ничего особо сложного и нет.

[kolesov]

Вам нужен UI для написания 10 строк?...
Определитесь уже, для кого вы открываете порт - для самого шлюза или для компьютера в локальной сети за шлюзом?

3389 для компа-192.168.11.3 за шлюзом
8112, 6990 для самого шлюза на котором торрент-клиент.

[ArcFi]

kolesov, хорошо, давайте проверим, какова ситуация на текущий момент:

Код: [Выделить]

sudo ss -lnptu
sudo iptables-save

[kolesov]

вот

Код: [Выделить]

root@ubuntu:~# ss -lnptu
Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
udp    UNCONN     0      0           192.168.11.1:53007                 *:*      users:(("deluged",1141,25))
udp    UNCONN     0      0                      *:53                    *:*      users:(("dnsmasq",1058,6))
udp    UNCONN     0      0                      *:67                    *:*      users:(("dnsmasq",1058,5))
udp    UNCONN     0      0          192.168.11.63:137                   *:*      users:(("nmbd",554,12))
udp    UNCONN     0      0           192.168.11.1:137                   *:*      users:(("nmbd",554,11))
udp    UNCONN     0      0                      *:137                   *:*      users:(("nmbd",554,9))
udp    UNCONN     0      0          192.168.11.63:138                   *:*      users:(("nmbd",554,14))
udp    UNCONN     0      0           192.168.11.1:138                   *:*      users:(("nmbd",554,13))
udp    UNCONN     0      0                      *:138                   *:*      users:(("nmbd",554,10))
udp    UNCONN     0      0           192.168.11.1:6771                  *:*      users:(("deluged",1141,24))
udp    UNCONN     0      0              127.0.0.1:6771                  *:*      users:(("deluged",1141,22))
udp    UNCONN     0      0                      *:6771                  *:*      users:(("deluged",1141,20))
udp    UNCONN     0      0                      *:60431                 *:*      users:(("deluged",1141,21))
udp    UNCONN     0      0                      *:60611                 *:*      users:(("deluged",1141,11))
udp    UNCONN     0      0              127.0.0.1:54675                 *:*      users:(("deluged",1141,23))
udp    UNCONN     0      0                     :::53                   :::*      users:(("dnsmasq",1058,8))
tcp    LISTEN     0      50          192.168.11.1:139                   *:*      users:(("smbd",526,29))
tcp    LISTEN     0      5                     :::8112                 :::*      users:(("deluged",1141,10))
tcp    LISTEN     0      50                     *:8112                  *:*      users:(("deluge-web",2225,3))
tcp    LISTEN     0      5                     :::53                   :::*      users:(("dnsmasq",1058,9))
tcp    LISTEN     0      5                      *:53                    *:*      users:(("dnsmasq",1058,7))
tcp    LISTEN     0      128                   :::22                   :::*      users:(("sshd",1819,4))
tcp    LISTEN     0      128                    *:22                    *:*      users:(("sshd",1819,3))
tcp    LISTEN     0      50          192.168.11.1:445                   *:*      users:(("smbd",526,28))
tcp    LISTEN     0      50                     *:58846                 *:*      users:(("deluged",1141,8))
tcp    LISTEN     0      5                      *:34335                 *:*      users:(("deluged",1141,9))


Код: [Выделить]

root@ubuntu:~# iptables-save
# Generated by iptables-save v1.4.12 on Mon Apr 22 11:23:04 2013
*mangle
:PREROUTING ACCEPT [18313:9103759]
:INPUT ACCEPT [4665:644555]
:FORWARD ACCEPT [13606:8445656]
:OUTPUT ACCEPT [3525:1275078]
:POSTROUTING ACCEPT [17133:9721204]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65 495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Apr 22 11:23:04 2013
# Generated by iptables-save v1.4.12 on Mon Apr 22 11:23:04 2013
*nat
:PREROUTING ACCEPT [1817:164333]
:INPUT ACCEPT [87:4903]
:OUTPUT ACCEPT [1508:159832]
:POSTROUTING ACCEPT [27:2899]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.16 8.11.3:3389
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Apr 22 11:23:04 2013
# Generated by iptables-save v1.4.12 on Mon Apr 22 11:23:04 2013
*filter
:INPUT DROP [1382:140291]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3540:1277194]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 8112,6990 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -j LOG --log-prefix "IPT-FORWARD "
COMMIT
# Completed on Mon Apr 22 11:23:04 2013
на 3389 и 8112 telnet цепляется, на 6990 нет.
8112 вэб интерфейс торрент-клиента, 6990 порт для отдачи торрент-клиента (это на роутере с Ubuntu), 3389 проброс до 192.168.11.3.
все остальное должно быть закрыто.
и роутер должен пинговаться, а он сейчас не пингуется.

[ArcFi]

на 3389 и 8112 telnet цепляется, на 6990 нет.

Правильно.
Смотрите выхлоп ss: deluged не слушает порта 6990/tcp.
Дальше вам надо разбираться с конфигурацией torrent-клиента.

и роутер должен пинговаться, а он сейчас не пингуется.

Добавьте:

Код: [Выделить]

-A INPUT -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT

[kolesov]

ArcFi, спасибо Вам за Ваше терпение и отзывчивость.
ну да после перезапуска демона deluge, порт стал активным, icmp тоже заработал.
еще пара моментов:
в принципе, 8112 мне нужен только tcp, а 6990 и tcp и udp, значит правило:
-A INPUT -p tcp -m multiport --dports 8112,6990 -j ACCEPT
нужно изменить на:
-A INPUT -p tcp -p udp -m --dport 6990 -j ACCEPT
и добавить отдельное правило для 8112 tcp:
-A INPUT -p tcp -m --dport 6990 -j ACCEPT
я правильно понимаю?
 

[ArcFi]

в принципе, 8112 мне нужен только tcp, а 6990 и tcp и udp

Тогда я бы сделал двумя такими правилами:

Код: [Выделить]

-A INPUT -p tcp -m multiport --dports 8112,6990 -j ACCEPT
-A INPUT -p udp -m udp --dport 6990 -j ACCEPT