HOWTO: Iptables для новичков

[fisher74]

Угу. Только, если включить параною поболе, то добавить ещё port-destination

[chikatillo]

Угу. Только, если включить параною поболе, то добавить ещё port-destination

не получается(
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 -d 192.168.100.1 --dport 3389 -j ACCEPT
iptables v1.4.0: Unknown arg `--dport'

[fisher74]

-p tcp --dport 3389

[chikatillo]

-p tcp --dport 3389

точно!

[AlistaM]

Добрый день, помогите пожалуйста решить проблему, есть внешний ip адрес 100.100.100.100, и есть локальная сеть с настроенным внутри нее ftp сервером, подскажите как правильно организовать проброс через iptables из интернета к локальному ftp серверу. может ли это повлиять на внутрилокальные ftp соединения к внешним ftp серверам? (аналогично с почтой)
iptables-save

Код: [Выделить]

[sopiler]
# Generated by iptables-save v1.4.4 on Tue Aug 30 14:35:34 2011
*filter
:INPUT DROP [261:41770]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [265140:161180555]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 5222,5223,5269 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1020:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 3389 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
# Completed on Tue Aug 30 14:35:34 2011
# Generated by iptables-save v1.4.4 on Tue Aug 30 14:35:34 2011
*nat
:PREROUTING ACCEPT [9001:538034]
:OUTPUT ACCEPT [3164:222309]
:POSTROUTING ACCEPT [728:66959]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.74:21
-A PREROUTING -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.74:110
-A PREROUTING -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.74:25
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j SNAT --to-source 83.83.83.83.
COMMIT
# Completed on Tue Aug 30 14:35:34 2011

[/spoiler]
спойлер забыл кажется как делать

[fisher74]

Пробросьте порты ftp.

[AlistaM]

так пробросил:
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.74:21
а все равно не работает... вот и спрашиваю может я что то не так делаю?
eth1 смотрит в интернет

[fisher74]

а у Вас в интернет какой всё-таки интерфейс смотрит? Мне показалось eth0. К тому же протокол ftpнесёт в себе не один 21 порт

[AlistaM]

eth1 в инет, проброс к терминальному серверу нормально работает. а какой еще порт необходимо указать? думал для проброса 21 достаточно...

[fisher74]

Здесь можно для общего обзора посмотреть.

[AlistaM]

и 20 и 21 разрешил и проброс поставил... так и не заработало =(

[ivsatel]

и 20 и 21 разрешил и проброс поставил... так и не заработало =(

Здесь более подробно про FTP http://www.opennet.ru/docs/RUS/iptables/
4.8. Трассировка комплексных протоколов

[AnrDaemon]

К тому же протокол ftpнесёт в себе не один 21 порт

Входящий - один. 21-й.
@AlistaM, переходите на SFTP уже.

[fisher74]

А здесь как рах входящий траффик и не рассматривается. INPUT цепочка не используется

[AnrDaemon]

Входящий порт - один.
Его и надо натить, но это - по идее... Без идеи FTP за натом без дополнительных бубнов работает через очень большую жопу.
И, да, таки при чём тут трафик?