Банальный проброс портов

[fisher74]

Модем не умеет DynDNS

А при чём тут тупость мопедороутера, если мы говорили про проброс портов.

С айпишником я промахнулся, конечно не 10,10,10,10, просто не писать же мне реальный внешний айпишник

Конечно Вы промахнулись. Причём дважды. Во-первых, мы поняли, что 10.10.10.10 - это подменный внешний IP-адрес.А во-вторых, до ubuntu-шлюза НИКОГДА не притопают пакеты с destination-address 10.10.10.10 (даже если на этом месте будет "белый" адрес)

[Rimsky]

fisher74,
указывал я вместо 10,10,10,10 192,168,2,250 и ничего

[fisher74]

вообще-то нужно смотреть настройки всех участвующих элементов сети, а не выборку.
Покажите все правила шлюза?
И сетевые настройки 192.168.1.254 (особенно интересует таблица маршрутизации)

[Rimsky]

fisher74,
порброс портов модема

Код: [Выделить]

Current Virtual Server Forwarding Table:
ServerName    Protocol    Local IP Address    Local Port    WAN IP Address    WAN Port    State    Action
MSTSC    tcp    192.168.2.250    50000-50000    pppoe1    50000-50000    Enable   
MSTSC    tcp    192.168.2.240    3389-3389      pppoe1    60000-60000    Enable
конфа

Код: [Выделить]

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X

    iptables -A INPUT -i eth2 -j ACCEPT
    iptables -A INPUT -i eth3 -j ACCEPT

    iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth2 -j MASQUERADE

    iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,443,587,3389,8095,8000,80 -j ACCEPT
    #iptables -I FORWARD -i eth3 -p tcp -m multiport --dport 1026,1029,1045,1053,1076,1095,1097,1098,1102,1723,3389,5938 -j ACCEPT
    iptables -A FORWARD -i eth3 -p udp -m multiport --dport 123,500,137,138,445,1701,1900 -j ACCEPT

    iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 5938 -j ACCEPT
    iptables -A FORWARD -i eth3 -p udp -m multiport --dport 5938 -j ACCEPT

    iptables -A FORWARD -i eth3 -p tcp --dport 3389 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 192.168.2.250 --dport 50000 -j DNAT --to-destination 192.168.1.254:3389

    iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

    iptables -A FORWARD -s 192.168.1.18 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT
    iptables -P FORWARD DROP

Код: [Выделить]

C:\Downloads\Новая папка>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : MBUZDP1-400174
   Основной DNS-суффикс  . . . . . . : MBUZDP1.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : MBUZDP1.local

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . : MBUZDP1.local
   Описание. . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet Con
troller (NDIS 6.20)
   Физический адрес. . . . . . . . . : 6C-F0-49-EF-EB-24
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::283c:4f24:fa91:56ad%20(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.254(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 9 апреля 2012 г. 18:08:45
   Срок аренды истекает. . . . . . . . . . : 11 мая 2012 г. 18:08:51
   Основной шлюз. . . . . . . . . : 192.168.1.250
   DHCP-сервер. . . . . . . . . . . : 192.168.1.240
   IAID DHCPv6 . . . . . . . . . . . : 409792585
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-14-D0-C5-B4-6C-F0-49-EF-EB-24

   DNS-серверы. . . . . . . . . . . : 192.168.1.240
   NetBios через TCP/IP. . . . . . . . : Включен

C:\Downloads\Новая папка>route  print
===========================================================================
Список интерфейсов
 20...6c f0 49 ef eb 24 ......Atheros AR8131 PCI-E Gigabit Ethernet Controller (
NDIS 6.20)
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 18...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.1.250    192.168.1.254     20
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link     192.168.1.254    276
    192.168.1.254  255.255.255.255         On-link     192.168.1.254    276
    192.168.1.255  255.255.255.255         On-link     192.168.1.254    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.254    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.254    276
===========================================================================
Постоянные маршруты:
  Отсутствует


[fisher74]

iptables -A FORWARD -i eth3 -p tcp --dport 3389 -j ACCEPT

Вообще-то входящий интерфейс для соединения по RDP из fullNET будет другим

P.S. То что принято показывать работающие правила командой iptables-save, а не скрипт их загружающий я не буду акцентировать. Но на будущее...

[Rimsky]

fisher74,
точно! сработало!
но странно что сработало прописывание
iptables -A FORWARD -i eth2 -p tcp --dport 3389 -j ACCEPT
а не 50000, ведь на eth2 приходит порт50000

собезьянничал проброс веб-порта80
на модеме 10.10.10.10:80->192.168.2.250:8000 (чтобы не перепутался со сквидом)
и сайт не открывается
iptables-save

Код: [Выделить]

root@fuckingu1-gw:/home/fuckingu1# iptables-save
# Generated by iptables-save v1.4.4 on Thu May  3 21:02:12 2012
*mangle
:PREROUTING ACCEPT [4183459:3038527174]
:INPUT ACCEPT [2414099:1814824061]
:FORWARD ACCEPT [1707569:1218940172]
:OUTPUT ACCEPT [2669441:1970110587]
:POSTROUTING ACCEPT [4298491:3182874845]
COMMIT
# Completed on Thu May  3 21:02:12 2012
# Generated by iptables-save v1.4.4 on Thu May  3 21:02:12 2012
*nat
:PREROUTING ACCEPT [116631:9936238]
:POSTROUTING ACCEPT [47719:2868310]
:OUTPUT ACCEPT [47689:2866638]
-A PREROUTING -d 192.168.2.250/32 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.1.240:80
-A PREROUTING -d 192.168.2.250/32 -p tcp -m tcp --dport 50000 -j DNAT --to-destination 192.168.1.240:3389
-A PREROUTING -d 192.168.2.250/32 -p tcp -m tcp --dport 50001 -j DNAT --to-destination 192.168.1.254:3389
-A PREROUTING -i eth3 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Thu May  3 21:02:12 2012
# Generated by iptables-save v1.4.4 on Thu May  3 21:02:12 2012
*filter
:INPUT ACCEPT [87858:5539165]
:FORWARD DROP [3:915]
:OUTPUT ACCEPT [62732:3483621]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth3 -p tcp -m multiport --dports 20,21,22,25,110,123,135,139,143,443,587,3389,8095,8000,80 -j ACCEPT
-A FORWARD -i eth3 -p udp -m multiport --dports 123,500,137,138,445,1701,1900 -j ACCEPT
-A FORWARD -i eth3 -p tcp -m multiport --dports 5938 -j ACCEPT
-A FORWARD -i eth3 -p tcp -m multiport --dports 80,3389,8000,50000,50001 -j ACCEPT
-A FORWARD -i eth2 -p tcp -m multiport --dports 80,3389,8000,50000,50001 -j ACCEPT
-A FORWARD -s 192.168.1.18/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

[fisher74]

но странно что сработало прописывание
iptables -A FORWARD -i eth2 -p tcp --dport 3389 -j ACCEPT
а не 50000, ведь на eth2 приходит порт50000

Приходит-то 5000, но цепочка PREROUTING таблицы nat уже пройдена

собезьянничал проброс веб-порта80
на модеме 10.10.10.10:80->192.168.2.250:8000 (чтобы не перепутался со сквидом)
и сайт не открывается

А как проверяете? С 192.168.2.240 попробуйте пробить http://192.168.2.250:8000

[Rimsky]

Набрал в броузере http://192.168.2.250:8000 - невозможно отобразить страницу
при этом http://192.168.1.240 работает

Понятно, значит как айпитейблс-сейв показывает так и обрабатывает
Есть какой-нить фокус чтобы на несколько внутренних компов пробросить RDP
Я могу конечно сделать один центровым и с него коннектится ко всем остальным, но если он отвалиться я отанусь без "шпиена"

[fisher74]

Есть какой-нить фокус чтобы на несколько внутренних компов пробросить RDP

Конечно. Каждой машине выделяется свой порт.
Правда если хоть чуточку гложет параноя - не рекомендую. Тем более если хотите мопеду максимально сохранить "девственность"

Я могу конечно сделать один центровым и с него коннектится ко всем остальным

Я бы предложил пробросить на модеме один порт и поднять на ubuntu-шлюзе сервер VPN: секьюрность прекрасная, доступ к любому хосту локальной сети на полных правах члена этой сети.

[Rimsky]

fisher74,
Спасибо и на этом!
Попробую поэкспериментирова c сервером VPN

еще можно вопросики?
1. как видно из конфы iptables заворачивает на сквид

Код: [Выделить]

iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,443,587,3389,8095,8000,80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128Сквид заруливает всякие фейсбуки и твиттеры, все хорошо кроме одного: фейсбук работает на 443 порту тоже, вот пример, и его не завернешь на сквид
Можно как-то тут выкрутиться?

2.на модеме настроен проброс 10,10,10,10:80 на 192,168,2,250:8000 (8000 чтобы не путался с 80 портом сквида)
но сайты снаружи не открываются
sudo tcpdump -i eth2 -n tcp dst port 8000

Код: [Выделить]

root@fuckingu1-gw:/home/fuckingu1# sudo tcpdump -i eth2 -n tcp dst port 8000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
08:33:57.937826 IP 209.85.224.81.60895 > 192.168.2.250.8000: Flags [S], seq 4013031667, win 14300, options [mss 1430,sackOK,TS val 2888268403 ecr 0,nop,wscale 6], length 0
08:33:58.169954 IP 209.85.224.81.60895 > 192.168.2.250.8000: Flags [P.], seq 4013031668:4013031809, ack 2413919456, win 14300, options [nop,nop,TS val 2888268621 ecr 318047582], length 141
08:33:58.386255 IP 209.85.224.85.60963 > 192.168.2.250.8000: Flags [S], seq 793931142, win 14300, options [mss 1430,sackOK,TS val 59867393 ecr 0,nop,wscale 6], length 0
08:33:58.610052 IP 209.85.224.85.60963 > 192.168.2.250.8000: Flags [P.], seq 793931143:793931284, ack 1069252795, win 14300, options [nop,nop,TS val 59867612 ecr 318047627], length 141
08:34:19.532147 IP 192.168.2.220.1062 > 192.168.2.250.8000: Flags [S], seq 2363163094, win 64240, options [mss 1460,nop,nop,sackOK], length 0
08:34:22.383042 IP 192.168.2.220.1062 > 192.168.2.250.8000: Flags [S], seq 2363163094, win 64240, options [mss 1460,nop,nop,sackOK], length 0
08:34:28.418063 IP 192.168.2.220.1062 > 192.168.2.250.8000: Flags [S], seq 2363163094, win 64240, options [mss 1460,nop,nop,sackOK], length 0
^C
7 packets captured
7 packets received by filter
0 packets dropped by kerneltcpdump -i eth3 ip host 192.168.1.240 and dst port 80 -n

Код: [Выделить]

root@fuckingu1-gw:/home/fuckingu1# sudo tcpdump -i eth3 ip host 192.168.1.240 and dst port 80 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth3, link-type EN10MB (Ethernet), capture size 96 bytes
08:33:57.937885 IP 209.85.224.81.60895 > 192.168.1.240.80: Flags [S], seq 4013031667, win 14300, options [mss 1430,sackOK,TS val 2888268403 ecr 0,nop,wscale 6], length 0
08:33:58.386315 IP 209.85.224.85.60963 > 192.168.1.240.80: Flags [S], seq 793931142, win 14300, options [mss 1430,sackOK,TS val 59867393 ecr 0,nop,wscale 6], length 0
08:34:19.532209 IP 192.168.2.220.1062 > 192.168.1.240.80: Flags [S], seq 2363163094, win 64240, options [mss 1460,nop,nop,sackOK], length 0
08:34:19.533568 IP 192.168.2.220.1062 > 192.168.1.240.80: Flags [R], seq 2363163095, win 0, length 0
08:34:22.383087 IP 192.168.2.220.1062 > 192.168.1.240.80: Flags [S], seq 2363163094, win 64240, options [mss 1460,nop,nop,sackOK], length 0
08:34:22.384286 IP 192.168.2.220.1062 > 192.168.1.240.80: Flags [R], seq 2363163095, win 0, length 0
08:34:28.418110 IP 192.168.2.220.1062 > 192.168.1.240.80: Flags [S], seq 2363163094, win 64240, options [mss 1460,nop,nop,sackOK], length 0
08:34:28.419005 IP 192.168.2.220.1062 > 192.168.1.240.80: Flags [R], seq 2363163095, win 0, length 0
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel
т.е. проброс верный, но обратно пакеты теряются, видимо на том же сквиде, ведь возврат идет по 80 порту который он перехватывает

[fisher74]

еще можно вопросики?

Конечно. Вель форум для этого и создан.

фейсбук работает на 443, и его не завернешь на сквид
Можно как-то тут выкрутиться?

Вот меня ща тапками закидают, но я спокойно заворачиваю.

видимо на том же сквиде, ведь возврат идет по 80 порту который он перехватывает

Неправильное предположение. У Вас в правиле перехвата 80-ый порт указан как destination-port, а от сервере http они идёт как source-port
Пользователь решил продолжить мысль 04 Мая 2012, 10:45:13:

2.на модеме настроен проброс 10,10,10,10:80 на 192,168,2,250:8000 (8000 чтобы не путался с 80 портом сквида)

Кстати, как они должны запутаться? Вы же перехватываете на eth3 пакеты, а предназначенные для http-сервера будут заходить через eth2

[Rimsky]

Вот меня ща тапками закидают, но я спокойно заворачиваю.
Я тоже завернул, на сквиде второй порт не траспарент и в мозилле для SSL указать его
443 из форварда убрать
Так? или еще можно как-то?

Неправильное предположение. У Вас в правиле перехвата 80-ый порт указан как destination-port, а от сервере http они идёт как source-port
значи так?
-A FORWARD -i eth3 -p tcp -m multiport --sports 80 -j ACCEPT ?

[fisher74]

Про не транспарент не понял.

А про http вроде как у Вас есть

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

[Rimsky]

fisher74,
как тут цитировать кусок сообщения? кнопку цитировать вижу - но она цитирует весь текст, не то

А про http вроде как у Вас есть
есть то оно есть, да не работает

я конечно могу поставить вируталку Ubuntu с адресом 192,168,2,50 к примеру и пробросить на нее 80 порт, но хотелось бы разобраться, да и вин2008 сервер таки использовать по назначению
Про не транспарент не понял.

Код: [Выделить]

конфиг сквида
...
http_port 3128 transparent
http_port 3129
...

порты
#443 порта нет
iptables -A FORWARD -i eth3 -p tcp -m multiport --dport 20,21,22,25,110,123,135,139,143,587,3389,8095,8000,80 -j ACCEPT
#заворачиваем браузеры на 3128 прозрачный порт сквида
iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

[fisher74]

(Нажмите, чтобы показать/скрыть)

Это нормально - движок такой. Цитируете всё, вырезаете нужное, оставив ограничение тегами [quоte][/quоte]
Смахивает на веб-программирование блокнотным методом, хотя я и не совсем уверен в правильности сравнения, потому как не программер

Зачем второй порт? В режиме transparent кальмар и стандартные запросы на прокси обрабатывает.

А вообще, попробуйте правило расширить и убрать в настройках браузера всё лишнее

iptables -t nat -A PREROUTING -i eth3 -p tcp -m multiport --dport 80,443,8080 -j REDIRECT --to-port 3128