Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Как открыть udp port  (Прочитано 12067 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Leeke

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Как открыть udp port
« : 14 Февраля 2011, 15:30:10 »
Добрый день.  У меня настроена локальная сеть (eth1 смотрит в локалку и eth0 в интерент через dsl) и раздача интернета через squid.  Все хорошо и работает.
Но нужно на Win машине настроить выход клиенту одной программы в интернет. Выходит в инет она через vpn соединение и просит открыть для этого port 1701.
Я так понял что настроить нужно iptables, чем я раньше не занимался (собсно с линуксом работаю только месяц).
Создаю файл где будут хранится настройки iptables.conf, в файле /etc/rc.local пишу iptables-restore < /etc/iptables.conf (прочитал где-то в соседней статье)(запуск настроек iptables из моего файла)
Далее настраиваю iptables и сохраняю правила. Но клиент все равно не может выйти в инет (говорит что port 1701 закрыт).

Вот iptables-save

# Generated by iptables-save v1.4.4 on Mon Feb 14 19:26:32 2011
*filter
:INPUT ACCEPT [31032:19428345]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [31630:18996113]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 1701 -j ACCEPT
COMMIT
# Completed on Mon Feb 14 19:26:32 2011
# Generated by iptables-save v1.4.4 on Mon Feb 14 19:26:32 2011
*nat
:PREROUTING ACCEPT [1472:389569]
:OUTPUT ACCEPT [1175:71121]
:POSTROUTING ACCEPT [1173:70866]
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.2
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Feb 14 19:26:32 2011
# Generated by iptables-save v1.4.4 on Mon Feb 14 19:26:32 2011
*mangle
:PREROUTING ACCEPT [32176:19791257]
:INPUT ACCEPT [31032:19428345]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [31630:18996113]
:POSTROUTING ACCEPT [31633:18996779]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Feb 14 19:26:32 2011


 У меня скоро крыша поедет от этого iptables  :)   :idiot2:

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Как открыть udp port
« Ответ #1 : 14 Февраля 2011, 16:57:36 »
cat /etc/resolv.conf
cat /etc/network/interfaces
sudo netstat -lpan --inet
ip r
netstat -rn
ip a
/sbin/ifconfig

на самом деле как то так должно быть

sudo modprobe nf_conntrack_proto_gre

(Нажмите, чтобы показать/скрыть)

Пользователь решил продолжить мысль 14 Февраля 2011, 16:57:54:
навсидку
« Последнее редактирование: 14 Февраля 2011, 17:28:19 от Unreg »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #2 : 14 Февраля 2011, 17:02:28 »
у вас какая-то чепуха в iptables, зачем вам squid вообще? раздаваййте инет средствами нат.

Пользователь решил продолжить мысль 14 Февраля 2011, 17:13:45:
и поясните назначение этих правил при политиках ACCEPT в цепочках, чего вы пытались этим добиться ?
Цитировать
FORWARD ACCEPT [0:0]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m udp --dport 1701 -j ACCEPT
у вас вообще форвардинг включен ? потому что из того что видно по  цепочке FORWARD пакеты не проходят вообще
Цитировать
FORWARD ACCEPT [0:0]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
из этих 2 правил уже выберетите какое-то одно
Цитировать
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.2
а вот назначение этого?
Цитировать
-A POSTROUTING -o eth1 -j MASQUERADE
« Последнее редактирование: 14 Февраля 2011, 17:15:09 от xeon_greg »

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Как открыть udp port
« Ответ #3 : 14 Февраля 2011, 17:16:49 »
да и /sbin/sysctl net.ipv4.ip_forward

Оффлайн Leeke

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #4 : 15 Февраля 2011, 06:32:51 »
сам понимаю что все как-то не правильно (иначе бы все работало).

squid нужен для фильтрации.
правила вводил только через консоль.  :-\
(цетирую wikipediю)
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Разрешаем проходить пакетам по уже установленным соединениям

iptables -A FORWARD -p udp -m udp --dport 1701 -j ACCEPT    - ну а это уже пытался открыть порт 1701

Как включить форвардинг??

 -A POSTROUTING -o eth1 -j MASQUERADE   это  -A POSTROUTING -o eth0 -j MASQUERADE только написанный с ошибкой.. забыл поправить видимо  :(


Unreg, я знаю все это не очень хорошо ( я бы сказал даже очень плохо), прокоментируйте пожалуйста свои записи:
cat /etc/resolv.conf
cat /etc/network/interfaces
sudo netstat -lpan --inet
ip r
netstat -rn
ip a
/sbin/ifconfig

ввожу в консоль
sysctl net.ipv4.ip_forward
получаю ответ
net.ipv4.ip_forward = 1
насколько я понимаю forward включен
« Последнее редактирование: 15 Февраля 2011, 07:22:37 от Leeke »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #5 : 15 Февраля 2011, 07:25:40 »
ввожу в консоль
sysctl net.ipv4.ip_forward
получаю ответ
net.ipv4.ip_forward = 1
насколько я понимаю forward включен
Не гадай. Копируй сюда результаты всех команд.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Leeke

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #6 : 15 Февраля 2011, 08:16:09 »
Ну я не гадаю. (смотрю в гоогл ) Все что ввел и получил я написал.  :)
Вообщем читаю http://ru.wikipedia.org/wiki/Iptables#.D0.A2.D0.B0.D0.B1.D0.BB.D0.B8.D1.86.D0.B0_nat
« Последнее редактирование: 15 Февраля 2011, 09:51:43 от Leeke »

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Как открыть udp port
« Ответ #7 : 15 Февраля 2011, 11:07:08 »
 resolv.conf - resolver configuration file
 /etc/network/interfaces  - network interface configuration for ifup and ifdown
 ip - show / manipulate routing, devices, policy routing and tunnels
 netstat  - Print network connections, routing tables, interface statistics, masquerade connections, and multicast memberships
 ifconfig - configure a network interface

Оффлайн Leeke

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #8 : 15 Февраля 2011, 13:16:22 »
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT     объясните мне пожалуйста эту строку  :)

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #9 : 15 Февраля 2011, 13:24:07 »
все что ломится через интерфейс eth0 с порта 67 на порт 68 -  пропустить. дак доступно ? :)

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Как открыть udp port
« Ответ #10 : 15 Февраля 2011, 13:24:29 »
разрешить работу DHCP клиента на интерфейсе eth0

Оффлайн Leeke

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #11 : 15 Февраля 2011, 14:58:48 »
спс за пояснения..
становися немного понятнее)))

поставил себе все настройки которые дал Unreg, но все равно клиент не соединяется

cat /etc/resolv.conf
nameserver 195.112.224.126
nameserver 195.112.224.75

cat /etc/network/interfaces
auto lo
iface lo inet loopback

#сетка
auto eth1
iface eth1 inet static
address 192.168.0.2
netmask 255.255.255.0
broadcast 192.168.0.255

#интернет
auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

auto eth0
iface eth0 inet manual

netstat -lpan --inet
(Нажмите, чтобы показать/скрыть)

ip r
213.228.116.39 dev ppp0  proto kernel  scope link  src 95.188.84.95
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.2
169.254.0.0/16 dev eth1  scope link  metric 1000
default dev ppp0  scope link

netstat -rn
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
213.228.116.39  0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0

ip a
(Нажмите, чтобы показать/скрыть)

ifconfig
(Нажмите, чтобы показать/скрыть)


Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Как открыть udp port
« Ответ #12 : 15 Февраля 2011, 15:24:01 »
тип VPN?

Оффлайн Leeke

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Как открыть udp port
« Ответ #13 : 16 Февраля 2011, 07:07:11 »
клиент соединяется по "минипорт wan (pptp)"

Пользователь решил продолжить мысль 16 Февраля 2011, 14:25:13:
Появилась такая мысль.. если я поставлю все цепочки на ACCEPT, то и нужный мне порт тоже будет открыт???
« Последнее редактирование: 16 Февраля 2011, 14:25:13 от Leeke »

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Как открыть udp port
« Ответ #14 : 16 Февраля 2011, 19:48:26 »
Цитировать
# Generated by iptables-save v1.4.4 on Mon Feb 14 19:26:32 2011
*filter
:INPUT DROP [31032:19428345]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [31630:18996113]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -i ! lo -m addrtype --src-type LOCAL -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.0/24 -p udp -m multiport --dports 1701,53 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp -m multiport --dports 443,1701,1723 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.0/24 -p gre -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
COMMIT
# Completed on Mon Feb 14 19:26:32 2011
# Generated by iptables-save v1.4.4 on Mon Feb 14 19:26:32 2011
*nat
:PREROUTING ACCEPT [1472:389569]
:OUTPUT ACCEPT [1175:71121]
:POSTROUTING ACCEPT [1173:70866]
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Feb 14 19:26:32 2011
# Generated by iptables-save v1.4.4 on Mon Feb 14 19:26:32 2011
*mangle
:PREROUTING ACCEPT [32176:19791257]
:INPUT ACCEPT [31032:19428345]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [31630:18996113]
:POSTROUTING ACCEPT [31633:18996779]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Feb 14 19:26:32 2011

пробуйте

потом sudo iptables -vnL ; sudo iptables -vnL -t nat
под спойлер после попытки соединения pptp клиента
« Последнее редактирование: 16 Февраля 2011, 19:52:03 от Unreg »

 

Страница сгенерирована за 0.034 секунд. Запросов: 25.