Правила iptables.

[triangel]

Доброго времени суток, форумчане! Возникла следующая проблема. Достался древний шлюз на RedHat (лет десять ему уже), трудятся там squid и ipchains. Все вроде бы нормально с дублированием правил, из моего Ubuntu шлюза в этого дедушку, только вот не получается перенести одно правило из iptables в ipchains. Конкретнее:

В Ubuntu работает:

# iptables -t nat -A PREROUTING -p tcp -d внешний_ip_шлюза --dport 3389 -j DNAT —to-destination внутренний_ip_терм-серв:3389
# iptables -A FORWARD -i eth1 -d внутренний_ip_терм-серв -p tcp --dport 3389 -j ACCEPT

p.s.: eth1 - внешний интерфейс. eth0 - внутренний.

В красном дедушке делаю:

-A input  -i eth1 -p tcp -d внешний_ip_шлюза:3389 -j ACCEPT

-A input  -i eth0 -p tcp -d внутренний_ip_шлюза:3389 -j ACCEPT

Не работает! Конечно я наверняка какую-то чушь написал. Но к сожалению, понять принцип работы ipchains сходу не получается...

Уважаемые опытные админы, подскажите новичку - как переформулировать работающие в ubuntu-iptables правила в redhat-ipchains правила.

С надеждой на помощь, triangel.

p.s.: в двух словах, надо просто через ipchains дать доступ из интернетов к внутреннему серверу.

[triangel]

Эх, господа форумчане, гопода форумчане... Три дня уже прошло, а совета так никто и не дал... Не ужели никто из старожил никогда не работал с ipchains? Ау! Откликнитесь!

[Mam(O)n]

Я ipchains не застал. Но смею заметить, что там также как и в его приемнике iptables, успешность настройки зависит не от факта добавления нового правила в цепочку, т.к. само правило должно работать в составе цепочки, а зависит от текущего положения дел в таблицах файрвола в общем.

Применительно к твоей проблеме, интернеты говорят, что аналога dnat в ipchains нет. Могу посоветовать разве что заюзать какой-либо портмаппер, например tcppm из проекта 3proxy

зы/офф: Интересно и много ли в мире сохранилось таких приветов из 99 года прошлого века?....

[MaratSh]

Мне кажется, было бы логичнее обратиться с этим вопросом на форум где обсуждают RedHat...

[triangel]

Спасибо Mam(0)n за дельный пост. Я тоже перерыл все интернеты и пришел к выводу, что сделать такое в ipchains не возможно. Однако я почему-то не подумал, что порт-форвардинг можно сделать и сторонней утилитой. Спасибо за наводку, теперь бы tcppm, скомпилился на этом древнем 2.4.7-10 ядре...

Всем, спасибо:-).

p.s.: а я уже думал никто и не ответит.

[Mam(O)n]

Эм. Каг бэ с самого начала 2.4 ядра уже iptables используют. Это с 2.2 ядром ipchains управляет. Спроси ка у редхатовцев, куда они iptables похерили....

[triangel]

uname -a показывает Linux Gate 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown

Да это я тоже в курсе, что в 2.4 уже должен был быть iptables, но его нет!... На форуме по редхату до сих пор молчат, да и здесь, на любимом убунтовском сказали хоть что-то и то аж на четвертый день... Есть правда партизанская мысль , найти бумажку с лицензиоными реквизитами и обратиться в тех.под. RedHat.com!!! Не знаю, правда не истекло ли лицензионное соглашение, больше 10 лет ведь прошло, как-никак....

p.s.: а загвоздка казалась такой тривиальной, сделать доступ к серваку из и-нета...

[Mam(O)n]

А диск случайно не завалялся с дистрибутивом? Возможно, что, как предположение, не установлен пакет iptables, который предоставляет более расширенный интерфейс к netfilter нежли ipchains.

[triangel]

Диск нашел (их целая куча), сине-зеленый такой RHEL 7.2. Если не получиться с переброской портов, буду пересобирать ядро с iptables. Спасибо Mam(0)n за участие .

p.s.: а шлюз этот по любому оставлю, не взирая на результаты и не смотря на приверженность к Ubuntu/Debian, из УВАЖЕНИЯ так сказать. Ведь сколько лет работает!!! (и будет наверное работать, пока железо не сдохнет)