iptables DNAT

[AnrDaemon]

Поскольку я дико устал и хочу спать...

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [841556:47525319]
:POSTROUTING ACCEPT [140268:16048886]
:OUTPUT ACCEPT [351668:31674120]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:4899
-A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:23
-A POSTROUTING -o eth1 -j SNAT --to-source ext_IP
COMMIT
*filter
:INPUT DROP [16660:1579849]
:FORWARD DROP [3036:204079]
:OUTPUT ACCEPT [4975991:905444120]
:BILLING - [0:0]
:NOWAY - [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j BILLING
-A FORWARD -m conntrack --ctstate DNAT -j BILLING
-A FORWARD -s 192.168.17.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j BILLING
-A FORWARD -i eth1 -j ULOG --ulog-prefix "FORWARD-TRAP "
-A FORWARD -i ! eth1 -j LOG --log-prefix "FORWARD-TRAP "
-A BILLING -s 192.168.17.0/255.255.255.0 -o eth1 -j ULOG --ulog-prefix "FORWARD-IN "
-A BILLING -d 192.168.17.0/255.255.255.0 -i eth1 -j ULOG --ulog-prefix "FORWARD-OUT "
-A BILLING -j ACCEPT
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
COMMIT

P.S.
Если умудришься загрузить скрипт в брандмауэр как я его привёл - ССЗБ.

[komex]

Поскольку я дико устал и хочу спать...

(Нажмите, чтобы показать/скрыть)

*nat
:PREROUTING ACCEPT [841556:47525319]
:POSTROUTING ACCEPT [140268:16048886]
:OUTPUT ACCEPT [351668:31674120]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:4899
-A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:23
-A POSTROUTING -o eth1 -j SNAT --to-source ext_IP
COMMIT
*filter
:INPUT DROP [16660:1579849]
:FORWARD DROP [3036:204079]
:OUTPUT ACCEPT [4975991:905444120]
:BILLING - [0:0]
:NOWAY - [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j BILLING
-A FORWARD -m conntrack --ctstate DNAT -j BILLING
-A FORWARD -s 192.168.17.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j BILLING
-A FORWARD -i eth1 -j ULOG --ulog-prefix "FORWARD-TRAP "
-A FORWARD -i ! eth1 -j LOG --log-prefix "FORWARD-TRAP "
-A BILLING -s 192.168.17.0/255.255.255.0 -o eth1 -j ULOG --ulog-prefix "FORWARD-IN "
-A BILLING -d 192.168.17.0/255.255.255.0 -i eth1 -j ULOG --ulog-prefix "FORWARD-OUT "
-A BILLING -j ACCEPT
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
COMMIT

P.S.
Если умудришься загрузить скрипт в брандмауэр как я его привёл - ССЗБ.

Что за ССЗБ? =)
Для начала надо разобраться что там понаписано (или хотя бы поменять адреса на свои). Загрузить через iptables-restore?
Тут столько правил понаписано, нельзя обойтись более простыми? И что делают эти?

А еще решил все же пересмотреть маршрутизацию и сделать более-менее нормальную. Когда делаю так:

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source IPто инет чуть живой и странички если и загружаются, то медленно очень и не полностью. А если так:

Код: [Выделить]

iptables -t nat -A POSTROUTING -j MASQUERADEто нормально работает.  Но MASQUERADE можно использовать только для динамических адресов (как написано в man).
Так как сделать, что бы был инет без MASQUERADE?

P.S. Оставим пока вопрос о портах на попозже.

[AnrDaemon]

Ну так разберись. Возьми этот кусочек скрипта, что я привёл, и построчно на русском языке опиши, что там делается. Я не буду разжевывать тебе каждую строчку, разве что четыре последних.

Правила с назначением ULOG являются частью системы подсчёта трафика.
Правило с назначением REJECT - это вариант назначения DROP, только быстрее приводящий к успокоению клиента. Поскольку клиент, подключившись на определённый порт, не ждёт ответа до истечения таймаута, а сразу получает ответ "тут ловить нечего" и идёт лесом.

Если говорить о том, почему у тебя через зад работает SNAT, обрати внимание, у тебя проверяется только адрес осточника. С таким же успехом ты мог вообще пропустить проверку.
Хотя бы проверяй, что адрес назначения НЕ принадлежит к нашей сети, если не хочешь писать имя исходящего интерфейса.
MASQUERADE можно использовать со статическим IP, но это менее эффективно, при условии, что правильно написано само правило трансляции.

[komex]

Ну так разберись. Возьми этот кусочек скрипта, что я привёл, и построчно на русском языке опиши, что там делается. Я не буду разжевывать тебе каждую строчку, разве что четыре последних.

Правила с назначением ULOG являются частью системы подсчёта трафика.
Правило с назначением REJECT - это вариант назначения DROP, только быстрее приводящий к успокоению клиента. Поскольку клиент, подключившись на определённый порт, не ждёт ответа до истечения таймаута, а сразу получает ответ "тут ловить нечего" и идёт лесом.

Если говорить о том, почему у тебя через зад работает SNAT, обрати внимание, у тебя проверяется только адрес осточника. С таким же успехом ты мог вообще пропустить проверку.
Хотя бы проверяй, что адрес назначения НЕ принадлежит к нашей сети, если не хочешь писать имя исходящего интерфейса.
MASQUERADE можно использовать со статическим IP, но это менее эффективно, при условии, что правильно написано само правило трансляции.

Спасибо, с MASQUERADE и SNAT разобрался и настроил - все норм работает. А вот с портами нет:

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Wed Jan 26 23:06:56 2011
*filter
:INPUT ACCEPT [1654:200776]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1314:166418]
:BILLING - [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j BILLING
-A FORWARD -m conntrack --ctstate DNAT -j BILLING
-A FORWARD -s 192.168.0.0/24 ! -i eth0 -m conntrack --ctstate NEW -j BILLING
-A FORWARD -i eth0 -j ULOG --ulog-prefix "FORWARD-TRAP "
-A FORWARD ! -i eth0 -j LOG --log-prefix "FORWARD-TRAP "
-A BILLING -s 192.168.0.0/24 -o eth0 -j ULOG --ulog-prefix "FORWARD-IN "
-A BILLING -d 192.168.0.0/24 -i eth0 -j ULOG --ulog-prefix "FORWARD-OUT "
-A BILLING -j ACCEPT
COMMIT
# Completed on Wed Jan 26 23:06:56 2011
# Generated by iptables-save v1.4.4 on Wed Jan 26 23:06:56 2011
*nat
:PREROUTING ACCEPT [20108:1943642]
:OUTPUT ACCEPT [18821:1519163]
:POSTROUTING ACCEPT [8552:711106]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 49160 -j DNAT --to-destination 192.168.0.1:49160
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 58559 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.0.2:58559
-A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/8 -o eth0 -j SNAT --to-source LOCAL_IP
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eth0 -j SNAT --to-source IP
COMMIT
# Completed on Wed Jan 26 23:06:56 2011
При этом http://www.yougetsignal.com/tools/open-ports/ говорит, что порт открыт, а telnet выдает

Код: [Выделить]

Unable to connect to remote host: Connection refused

[AnrDaemon]

Телнет на какой адрес проверяешь? Изнутри сети?
(-j ULOG можешь выбросить, как и всю цепочку BILLING. Вместо -j BILLING написать -j ACCEPT)

[komex]

Телнет на какой адрес проверяешь? Изнутри сети?
(-j ULOG можешь выбросить, как и всю цепочку BILLING. Вместо -j BILLING написать -j ACCEPT)

Блин, я ступил. Из сетки и не получилось бы подключиться. =)
Все, настроил и работает, спасибо.
Только вот еще какая проблемка: есть пиринг с сетью другого провайдера. Для этого нужно добавить маршрутизацию:

Код: [Выделить]

route add -net 178.130.0.0 netmask 255.255.128.0 gw 10.2.5.1 eth0На сервере это сделал и могу подключаться к их хабу. Сделал тоже и на своей машине, но подключиться не могу. Вот маршрутизация моего компа:

Код: [Выделить]

Destination Gateway Genmask Flags Metric Ref Use Iface
10.2.5.1        0.0.0.0         255.255.255.255 UH    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
178.130.0.0     10.2.5.1        255.255.128.0   UG    0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0Как можно настроить? =)

[censor]

Блин, я ступил. Из сетки и не получилось бы подключиться. =)

можно, почитайте доку что я приводил касательно DNAT

[komex]

Блин, я ступил. Из сетки и не получилось бы подключиться. =)

можно, почитайте доку что я приводил касательно DNAT

Хм. Похоже я запутался. А ведь и правда, почему нельзя? Когда я писал, меня смутило, что подключиться с локальной машины у меня не получилось, и что в правиле было написано

Код: [Выделить]

-i ppp0Тогда почему же не получается подключиться из локалки?

[censor]

Тогда почему же не получается подключиться из локалки?

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
и вообще, давайте перестанем оперировать сферическими конями в вакууме и прямо напишете какой порт куда требуется переназначить и на какой порт откуда цепляетесь и с каким результатом.

[komex]

Тогда почему же не получается подключиться из локалки?

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
и вообще, давайте перестанем оперировать сферическими конями в вакууме и прямо напишете какой порт куда требуется переназначить и на какой порт откуда цепляетесь и с каким результатом.

Редирект на 3128 работает. Не получается следующее: на 192.168.0.2 стоит скайп. У него в настройках указан порт 58559. Если с этой же машины через телнет попытаться подключиться через инет:

Код: [Выделить]

telnet IP 58559то выдает

Код: [Выделить]

Unable to connect to remote host: Connection refusedА если подключаться напрямую:

Код: [Выделить]

telnet 192.168.0.2 58559то подключается нормально.
Настройка iptables в данный момент такая:

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Thu Jan 27 16:37:08 2011
*filter
:INPUT ACCEPT [1071525:182861249]
:FORWARD ACCEPT [298838:282937374]
:OUTPUT ACCEPT [1373489:1541895010]
COMMIT
# Completed on Thu Jan 27 16:37:08 2011
# Generated by iptables-save v1.4.4 on Thu Jan 27 16:37:08 2011
*nat
:PREROUTING ACCEPT [34247:3339830]
:OUTPUT ACCEPT [44994:4154186]
:POSTROUTING ACCEPT [30834:3004228]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 49160 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 58559 -j DNAT --to-destination 192.168.0.2
-A PREROUTING ! -i eth1 -p tcp -m tcp --dport 9177:9778 -j DNAT --to-destination 192.168.0.2
-A PREROUTING ! -i eth1 -p udp -m udp --dport 9179 -j DNAT --to-destination 192.168.0.2
-A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/8 -o eth0 -j SNAT --to-source 10.2.5.24
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o ppp0 -j SNAT --to-source 92.61.66.248
COMMIT
# Completed on Thu Jan 27 16:37:08 2011
Так же вопрос по маршрутизации есть (второй вопрос). Моя сеть - 192.168.0.0/24, сеть провайдера - 10.0.0.0/8 и еще пиринг с другим провайдером - 178.130.0.0/255.255.128.0
192.168.0.1 - это мой сервер. на нем прописал в маршрутах как указано на сайте провайдера

Код: [Выделить]

route add -net 178.130.0.0 netmask 255.255.128.0 gw 10.2.5.1 eth0После этого, с сервера я могу подключаться в хабам другого провайдера. На своем компе (192.168.0.2) так же сделал  такую маршрутизацию, но подключаться не могу почему-то. Как настроить в данном случае?

[AnrDaemon]

Это не проблема. У тебя соединение с внешним IP идёт через внутренний нетранслированный адрес.
Соответственно, машина со скайпом видит адрес отправителя и пытается отправить пакеты с ответами напрямую... но там их ждут от сервера...
В общем, если только нет ОЧЕНЬ серьёзной причины звонить на скайп изнутри сети, проще с этим не заморачиваться.

P.S.
Куда ты в -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT подевал? Должно быть первой строчкой, как и в -t filter -A FORWARD.

[censor]

Так же вопрос по маршрутизации есть (второй вопрос). Моя сеть - 192.168.0.0/24, сеть провайдера - 10.0.0.0/8 и еще пиринг с другим провайдером - 178.130.0.0/255.255.128.0
192.168.0.1 - это мой сервер. на нем прописал в маршрутах как указано на сайте провайдера

Код: [Выделить]

route add -net 178.130.0.0 netmask 255.255.128.0 gw 10.2.5.1 eth0После этого, с сервера я могу подключаться в хабам другого провайдера. На своем компе (192.168.0.2) так же сделал  такую маршрутизацию, но подключаться не могу почему-то. Как настроить в данном случае?

т.к. в домашней сети всего 1 шлюз, достаточно прописать маршруты только на нем. клиенты отправляя пакеты в неизвестную подсеть будут использовать шлюз по умолчанию.

[komex]

Куда ты в -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT подевал? Должно быть первой строчкой, как и в -t filter -A FORWARD.

Хм. Забыл добавить. Когда эксперементировал с настройками убрал, а потом, когда заработало, забыл добавить? Это очень важно?

т.к. в домашней сети всего 1 шлюз, достаточно прописать маршруты только на нем. клиенты отправляя пакеты в неизвестную подсеть будут использовать шлюз по умолчанию.

В том-то и дело, что на нем прописаны. Все равно не соединяется. С 192.168.0.1 есть соединение, а с других машин нет.

[censor]

user@host:~$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 60 byte packets
 1  router.domain.ru (192.168.1.1)  3.767 ms  3.718 ms  3.681 ms
 2  10.0.0.1 (10.0.0.1)  6.562 ms  6.907 ms  7.133 ms
user@host:~$ netstat -rn
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0     0.0.0.0         255.255.255.224 U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth1

[AnrDaemon]

Куда ты в -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT подевал? Должно быть первой строчкой, как и в -t filter -A FORWARD.

Хм. Забыл добавить. Когда эксперементировал с настройками убрал, а потом, когда заработало, забыл добавить? Это очень важно?

Это не столько важно, сколько полезно.
Простой пример:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

$ iptables -vL
Chain INPUT (policy DROP 207K packets, 40M bytes)
 pkts bytes target     prot opt in     out     source               destination
  18M 6187M ACCEPT     all  --  any    any     anywhere             anywhere            ctstate RELATED,ESTABLISHED
 205K   16M ACCEPT     all  --  lo     any     anywhere             anywhere            ctstate NEW
    4   228 ACCEPT     gre  --  any    any     anywhere             anywhere
 1079 65390 ACCEPT     icmp --  any    any     anywhere             anywhere
 404K   56M ACCEPT     all  --  !eth1  any     192.168.35.0/24      anywhere            ctstate NEW
46527 2329K SSH_CHECK  tcp  --  any    any     anywhere             anywhere            multiport dports discard,ssh,smtp,pop3 ctstate NEW
38322 1839K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:discard ctstate NEW
  652 36848 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh ctstate NEW
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:smtp ctstate NEW reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www ctstate NEW reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:pop3 ctstate NEW reject-with icmp-port-unreachable
   12   584 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:1723 ctstate NEW
 207K   40M LOG        all  --  !eth1  any     anywhere             anywhere            LOG level warning

Chain FORWARD (policy DROP 46734 packets, 1931K bytes)
 pkts bytes target     prot opt in     out     source               destination
  19M   14G ACCEPT     all  --  any    any     anywhere             anywhere            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            ctstate DNAT
 416K   25M ACCEPT     all  --  !eth1  any     192.168.35.0/24      anywhere            ctstate NEW
46734 1931K LOG        all  --  !eth1  any     anywhere             anywhere            LOG level warning

Chain OUTPUT (policy ACCEPT 26M packets, 26G bytes)
 pkts bytes target     prot opt in     out     source               destination
  462 27720 ACCEPT     tcp  --  any    lo      anywhere             anywhere            tcp dpt:smtp ctstate NEW

Chain SSH_CHECK (1 references)
 pkts bytes target     prot opt in     out     source               destination
46527 2329K            all  --  any    any     anywhere             anywhere            ctstate NEW recent: SET name: SSH side: source
 7553  452K REJECT     all  --  any    any     anywhere             anywhere            ctstate NEW recent: UPDATE seconds: 90 hit_count: 4 name: SSH side: source reject-with icmp-port-unreachable

Посмотри на количество пакетов, прошедших через каждое правило.

Но в некоторых ситуациях настройки это бывает и важно тоже. Портфорвард - одна из них.