HOWTO: Iptables для новичков

[Der]

Всем привет! 
Возникла следующая задача, есть локальный сервер IP-телефонии (Windows Server 2008, Oktell). И есть IP-телефон, находящийся в другом офисе. Подскажите как сделать проброс портов на файрволле, чтобы телефон мог подключаться к серверу по внешнему IP. Сервер слушает порт 5060
Моя запись
-A PREROUTING  -i eth1 -p tcp -d ВнешнийIP --dport 5060 -j DNAT --to-destination 192.168.0.8:5060
-A PREROUTING  -i eth1 -p udp -d ВнешнийIP --dport 5060 -j DNAT --to-destination 192.168.0.8:5060
Телефон не коннектится

iptables.save прилагаю. Таблица достаточно большая, досталась по наследству от предыдущего админа, вообще б неплохо ее переделать в будущем

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.8 on Wed May 30 12:29:44 2012
*filter
:INPUT ACCEPT [578:64089]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#-A INPUT -i eth0 -s 95.211.181.153 -j DROP
-A OUTPUT -p tcp -d 85.17.124.181 -j DROP
-A INPUT -p udp --dport 5228 -j ACCEPT
-A INPUT -p tcp --dport 5228 -j ACCEPT
-A INPUT -p udp --dport 5060 -j ACCEPT
-A INPUT -p tcp --dport 5060 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A INPUT -s 192.168.101.0/24 -j ACCEPT
-A INPUT -s 192.168.15.0/24 -j ACCEPT
-A INPUT -i eth1 -p icmp -j ACCEPT
-A INPUT -i eth1 -p gre -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.101.0/24 -j ACCEPT
-A FORWARD -d 192.168.101.0/24 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.0/24 -j ACCEPT
-A FORWARD -d 192.168.15.0/24 -j ACCEPT
-A FORWARD -s 192.168.16.0/24 -j ACCEPT
-A FORWARD -d 192.168.16.0/24 -j ACCEPT
-A FORWARD -d 192.168.0.191  -p tcp --dport 2121 -j ACCEPT
#-A FORWARD -p tcp -m multiport --dport 49150:49170 -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING  -i eth1 -p tcp -d xxx.xxx.xxx.34 --dport 5060 -j DNAT --to-destination 192.168.0.8:5060
-A PREROUTING  -i eth1 -p udp -d xxx.xxx.xxx.34 --dport 5060 -j DNAT --to-destination 192.168.0.8:5060
-A PREROUTING -i eth1 -d xxx.xxx.xxx.34 -p tcp -m tcp --dport 5060 -j DNAT --to-destination 192.168.0.8
-A PREROUTING -i eth1 -d xxx.xxx.xxx.34 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.0.8
#-A POSTROUTING -o eth1 -s 192.168.0.8 -d 192.168.0.217 -j SNAT --to-source xxx.xxx.xxx.34
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.99
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.0.99
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.99
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.99
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 3310 -j DNAT --to-destination 192.168.0.99:3306
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.8
-A PREROUTING -i eht2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 667  -j DNAT --to-destination xxx.xxx.xxx.35:667
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 31337 -j DNAT --to-destination 192.168.0.212:21
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p tcp -m tcp --dport 45623:45643 -j DNAT --to-destination 192.168.0.99
-A PREROUTING -i eth2 -d xxx.xxx.xxx.35 -p icmp -j DNAT --to-destination 192.168.0.99

-A POSTROUTING -o eth2 -s 192.168.0.99 ! -d 192.168.0.1 -j SNAT --to-source xxx.xxx.xxx.35
#-A POSTROUTING  -s  192.168.0.191  -dport 31337 -j SNAT --to-source xxx.xxx.xxx.35
-A PREROUTING -i eth5 -d xxx.xxx.xxx.40 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.96
-A PREROUTING -i eth5 -d xxx.xxx.xxx.40 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.96
-A PREROUTING -i eth5 -d xxx.xxx.xxx.40 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.96
-A PREROUTING -i eth5 -d xxx.xxx.xxx.40 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.0.96
-A POSTROUTING -o eth5 -s 192.168.0.96 ! -d 192.168.0.1 -j SNAT --to-source xxx.xxx.xxx.40
-A PREROUTING -i eth3 -d xxx.xxx.xxx.36 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.195
-A PREROUTING -i eth3 -d xxx.xxx.xxx.36 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.195
-A PREROUTING -i eth3 -d xxx.xxx.xxx.36 -p tcp -m tcp --dport 42222 -j DNAT --to-destination 192.168.0.195:22
#-A POSTROUTING -o eth5 -s 192.168.0.191 ! -d 192.168.0.1 -j SNAT --to-source xxx.xxx.xxx.40
-A PREROUTING -i eth3 -d xxx.xxx.xxx.36 -p icmp -j DNAT --to-destination 192.168.0.195
-A POSTROUTING -o eth3 -s 192.168.0.195 ! -d 192.168.0.1 -j SNAT --to-source xxx.xxx.xxx.36
-A PREROUTING -i eth4 -d xxx.xxx.xxx.37 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.50
-A PREROUTING -i eth4 -d xxx.xxx.xxx.37 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.50
-A PREROUTING -i eth4 -d xxx.xxx.xxx.37 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.50
-A PREROUTING -i eth4 -d xxx.xxx.xxx.37 -p tcp -m tcp --dport 42222 -j DNAT --to-destination 192.168.0.50:22
-A PREROUTING -i eth4 -d xxx.xxx.xxx.37 -p icmp -j DNAT --to-destination 192.168.0.50
-A POSTROUTING -o eth4 -s 192.168.0.50 ! -d 192.168.0.1 -j SNAT --to-source xxx.xxx.xxx.37
-A POSTROUTING -o eth6 -s 192.168.0.191 ! -d 192.168.0.1 -j SNAT --to-source xxx.xxx.xxx.41
-A POSTROUTING -o eth1 -s 192.168.0.0/24 ! -d 192.168.0.1 -j SNAT --to-source xxx.xxx.xxx.34
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p icmp -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 32843 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 32844 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 32845 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 5725 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 389 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p udp -m udp --dport 389 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 88 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p udp -m udp --dport 88 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.191
-A PREROUTING -i eth6 -d xxx.xxx.xxx.41 -p udp -m udp --dport 464 -j DNAT --to-destination 192.168.0.191
#-A PREROUTING -i eth7 -d xxx.xxx.xxx.39 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.194
#-A PREROUTING -i eth7 -d xxx.xxx.xxx.39 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.194
#-A PREROUTING -i eth7 -d xxx.xxx.xxx.39 -p tcp -m tcp --dport 3690 -j DNAT --to-destination 192.168.0.194
#-A PREROUTING -i eth7 -d xxx.xxx.xxx.39 -p tcp -m tcp --dport 30000:30127 -j DNAT --to-destination 192.168.0.194
#-A PREROUTING -i eth7 -d xxx.xxx.xxx.39 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.194
#-A PREROUTING -i eth7 -d xxx.xxx.xxx.39 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.194
#-A PREROUTING -i eth6 -d xxx.xxx.xxx.22 -p tcp -m tcp --dport 45623:45633 -j DNAT --to-destination 192.168.0.194
#-A POSTROUTING -o eth6 -s 192.168.0.96 ! -d 192.168.0.1 -j SNAT --to-source 92.241.104.22
#---RDP---
#-A PREROUTING -s 192.168.15.0/24 -d 192.168.15.1 -p tcp -m tcp --dport 55350 -j DNAT --to-destination 192.168.0.250:3389
#---RDP---
COMMIT

[AnrDaemon]

И вам не болеть.
Не следует решать конкретные проблемы в обучающих топиках, посвященных общим моментам работы какой-то системы.
В вашем случае, сервер телефонии должен иметь шлюзом по умолчанию машину, которую вы пытаетесь настроить - раз, и два - всё, что у вас там написано в таблице фильтров, имеет мало смысла ввиду

*filter
:INPUT ACCEPT [578:64089]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

На третье, судя по счётчикам, у вас со всей очевидностью не включена пересылка пакетов. Т.е. машина не является шлюзом.
Читайте https://forum.ubuntu.ru/index.php?topic=107492.0 , думайте, ищите отличия.

И да, правила надо бы переписать, пока голову не свернули, их читая.

[Der]

Спасибо, да, надо садиться и переписывать как будет время. Просто сейчас необходимо настроить все быстро.
У машины на которой телефония, в качестве шлюза по умолчанию как раз роутер  и прописан(его локальный адрес, висит на интерфейсе eth0).
на eth1 висит ВнешнийIP.
Телефон не может достучаться до сервера телефонии, если я правлю iptables, будет ли этих правил достаточно?
-A PREROUTING  -i eth1 -p tcp -d ВнешнийIP --dport 5060 -j DNAT --to-destination 192.168.0.8:5060
-A PREROUTING  -i eth1 -p udp -d ВнешнийIP --dport 5060 -j DNAT --to-destination 192.168.0.8:5060

PS уж извините, что тут написал, наоборот не хотел отдельной темы плодить, хотелось как лучше...

[AnrDaemon]

Должно быть достаточно.
Проверьте на каком-нибудь другом протоколе.
Например, 135/tcp
И не забывайте смотреть в логи (в данном случае - логи SIP сервера), что вообще происходит.

[Illusion]

[удалено модератором]

На форуме ЗАПРЕЩЕНО
2.3. Флудить и заниматься флеймом, а так же оставлять сообщения, не относящиеся к теме обсуждения.

--andrew_bye

[zitttz]

Добрый день, опять двадцатьпять, пропустить bittorrent sync через ubuntu server
bittorrent sync настроен на порт 12169, установление на windows где основной шлюз ubuntu server
eth0 - в интернет (192.168.32.36)
eth1 - в сеть (192.168.1.101)
клиент - 192.168.1.100

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Tue Feb 25 12:30:19 2014
*mangle
:PREROUTING ACCEPT [73791:38351660]
:INPUT ACCEPT [58681:35138831]
:FORWARD ACCEPT [14217:3089492]
:OUTPUT ACCEPT [54946:36957791]
:POSTROUTING ACCEPT [69163:40047283]
COMMIT
# Completed on Tue Feb 25 12:30:19 2014
# Generated by iptables-save v1.4.12 on Tue Feb 25 12:30:19 2014
*nat
:PREROUTING ACCEPT [2606:274265]
:INPUT ACCEPT [730:39407]
:OUTPUT ACCEPT [449:27057]
:POSTROUTING ACCEPT [7:434]
-A PREROUTING -d 192.168.32.36/32 -p tcp -m tcp --dport 12169 -j DNAT --to-destination 192.168.1.100:12169
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.1.100/32 -p tcp -m tcp --dport 12169 -j SNAT --to-source 192.168.32.36
COMMIT
# Completed on Tue Feb 25 12:30:19 2014
# Generated by iptables-save v1.4.12 on Tue Feb 25 12:30:19 2014
*filter
:INPUT DROP [312:32408]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [54791:36979884]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 25,110,143,465,587,993,995,2525 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m tcp --dport 12169 -j ACCEPT
-A OUTPUT -d 192.168.1.0/24 -o eth1 -p tcp -m tcp --sport 22 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Feb 25 12:30:19 2014
не могу понять что не так почему не работают правила

Код: [Выделить]

#Перенаправление для BittorrentSync
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -p tcp -m tcp --dport 12169 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m tcp -d 192.168.32.36 --dport 12169 -j DNAT --to-destination 192.168.1.100:12169
# Это правило обратно подменяет IP отправителя на внешний
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.100 --dport 12169 -j SNAT --to-source 192.168.32.36
спасибо за помощь, форум лопатил, гугл тоже...

[fisher74]

-A POSTROUTING -d 192.168.1.100/32 -p tcp -m tcp --dport 12169 -j SNAT --to-source 192.168.32.36
это вообще зачем? У клиента же дефолтный маршрут через шлюз.

-A FORWARD -i eth1 -p tcp -m conntrack --ctstate NEW -m tcp --dport 12169 -j ACCEPT
потому что выше есть
-A FORWARD -i eth1 -o eth0 -m conntrack --ctstate NEW -j ACCEPT

[zitttz]

тогда получается что

Код: [Выделить]

-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
тоже не нужны для работы https?

убрал FORWARD и POSTROUTING для bittorrentsync

Код: [Выделить]

-t nat -A PREROUTING -p tcp -m tcp -d 192.168.32.36 --dport 12169 -j DNAT --to-destination 192.168.1.100:12169

не качает торрент(
может потому что 12169 это порт моего торрента, а принимает он на других портах?
или для него нужно udp?
Пользователь решил продолжить мысль 25 Февраля 2014, 14:31:01:попробовал пропустить utorrent 3.3.2, загрузка пошла без всяких доп.правил, а bittorrentsync не в какую.

[fisher74]

тоже не нужны для работы https?

Угу... и ещё одно правило перед ним

Почем "не качает" не могу сказать. По идее Ваш клиент должен без проброса портов качать, а вот с отдачей могут быть проблемы, хотя вроде и это возможно, но далеко не со всеми пирами.
Я протокол торрентов знаю весьма поверхостно.

[ArcFi]

попробовал пропустить utorrent 3.3.2, загрузка пошла без всяких доп.правил, а bittorrentsync не в какую.

Если разрешить форвард исходящих на порты 1025:65535 по TCP/UDP, то по идее, должно заработать.
Более точный диапазон (зависит от клиента и его настроек) можно определить, используя логирование.

[ketchyp]

Заблокировать сайт VK.com для сети и при запросе vk.com пробрасывать на локальну (сервер).
Помогите пожалуйста.
Спасибо.

[AnrDaemon]

Вы не по адресу обратились.

[ketchyp]

на этом форуме мне не помогут? Скажите куда можно обратиться?

[AnrDaemon]

netfilter для не предназначен для фильтрации протоколов прикладного уровня.

[ketchyp]

а что посоветуете для решения данной задачи ?