Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: iptables нестандартные протоколы  (Прочитано 1860 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн BuryCommoner

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
iptables нестандартные протоколы
« : 19 Августа 2010, 16:00:43 »
Здравствуйте. В линуксах новичок.
Есть локальная сеть с выходом в инет через adsl. Модем настроен в режиме моста. Маршрутизатор - Ubuntu 10.04 LTS. В локалке есть веб-сервер. Содержимое rc.local:
iptables -t nat -A POSTROUTING -p all -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -d 90.x.x.x --dport 80 -j DNAT --to-destination 192.168.1.x:80
Все нормально работало, пока не установили файрвольный комплекс ФПСУ-IP, который втыкается между локалкой и маршрутизатором. Трафик он через себя пропускает, но защищенный ФПСУ-туннель с удаленным ФПСУ-IP не поднимает. Для этого нужно пробросить один из протоколов IP: 53, 110, 111, 112, 113, 114, 115, 116, 117. Команда
iptables -t nat -A PREROUTING -p 53 -d 90.x.x.x -j DNAT --to-destination 192.168.1.z
ничего не делает. Похоже, что это из-за того, что iptables не умеет NAT-ить нестандартные протоколы. Вопрос: возможно ли с помощью iptables пробросить эти протоколы и как? Если нельзя, то есть ли другие пути решения проблемы?

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: iptables нестандартные протоколы
« Ответ #1 : 19 Августа 2010, 18:55:07 »
Для этого нужно пробросить один из протоколов IP: 53, 110, 111, 112, 113, 114, 115, 116, 117. Команда
iptables -t nat -A PREROUTING -p 53 -d 90.x.x.x -j DNAT --to-destination 192.168.1.z
ничего не делает. Похоже, что это из-за того, что iptables не умеет NAT-ить нестандартные протоколы. Вопрос: возможно ли с помощью iptables пробросить эти протоколы и как? Если нельзя, то есть ли другие пути решения проблемы?
Для начала изучите матчасть... Это не протоколы - это порты....
Совет: Читать man iptables в части проброса портов до прояснения...

Оффлайн BuryCommoner

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: iptables нестандартные протоколы
« Ответ #2 : 19 Августа 2010, 19:27:58 »
Как вы определили, что это порты? И какую матчасть надо изучать, чтобы определять порты это или протоколы?

Нужно из вне пробросить на локальный адрес хотя бы один из протоколов IP:
53     SWIPE       IP with Encryption
110     Compaq-Peer Compaq Peer Protocol               
111     IPX-in-IP   IPX in IP               
112     VRRP        Virtual Router Redundancy Protocol
113     PGM         PGM Reliable Transport Protocol 
114
115     L2TP        Layer Two Tunneling Protocol       
116     DDX         D-II Data Exchange (DDX)           
117     IATP        Interactive Agent Transfer Protocol

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28474
    • Просмотр профиля
Re: iptables нестандартные протоколы
« Ответ #3 : 19 Августа 2010, 20:09:26 »
iptables-save покажи.
Должно работать (нетфильтру похрен на протоколы), если всё правильно настроено.
А этот FPSU - это то ещё извращение. У вас он именно как отдельный Ethernet девайс?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн BuryCommoner

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: iptables нестандартные протоколы
« Ответ #4 : 19 Августа 2010, 20:33:29 »
iptables-save завтра покажу с работы.
ФПСУ поставили уже 8 месяцев назад. Два стоечных системника с горячим резервом.
Сберовские спецы много раз приезжали и пытались настроить, но так и не смогли. После этого мы решили сами всё поднять. Собрали маршрутизатор и поставили туда Ubuntu. Разобрались в iptables. Сначала непонятно было правильно ли делаем проброс протоколов. Для проверки прокинули udp на локальную машину и зацепились к ней из вне - всё заработало. Так же сделали с остальными протоколами: 53, 110 ..., но ФПСУ-туннель так и не поднялся. Неделю спорили с банком на чьей стороне проблема. В итоге через службу поддержки у производителя взяли тестовую утилиту для проверки связи. Оказалось, что одинаковые правила iptables отлично работают с tcp и udp, а с другими протоколами - нет. Была мысль, что ядру надо подрубить модули при помощи modprobe. Только непонятно существуют ли вообще такие модули.

Пользователь решил продолжить мысль 20 Августа 2010, 07:45:32:
iptables-save:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 20 Августа 2010, 07:45:32 от BuryCommoner »

 

Страница сгенерирована за 0.066 секунд. Запросов: 23.