iptables + ssh + перенаправление порта

[ArcFi]

Совсем я запутался где что менять и что добавлять в какую секцию.

Используйте iptables-save/iptables-restore для сохранения/загрузки правил.

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Это убирайте.

[junior10]

Вам намекали про --mss 1400:65495
Хотя возможно это и не ответ на заданный вопрос.

какие цифры поставить вместо 65495?


Пользователь решил продолжить мысль 26 Июля 2013, 15:18:11:    -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Это убирайте.

убрал. а изначально все порты открыты для клиентов которые хотят ходить в инет, например 443,110,25 порт, или все нужно открывать вручную?

[ArcFi]

а изначально все порты открыты для клиентов которые хотят ходить в инет...

Насколько мне известно, по дефолту в убyнтах все политики ACCEPT и таблицы пустые, однако net.ipv4.ip_forward = 0, т.е. форвардинг выключен.

[junior10]

а что нужно добавить чтобы порт был доступен таким образом:

клиент(192.168.0.100) для которого прописано правило
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 8008 -j DNAT --to-destination 192.168.0.100, хочет приконнектиться к себе таким образом: telnet <внешний статический ип> 8008?
Пользователь решил продолжить мысль 26 Июля 2013, 16:45:02:

а изначально все порты открыты для клиентов которые хотят ходить в инет...

Насколько мне известно, по дефолту в убyнтах все политики ACCEPT и таблицы пустые, однако net.ipv4.ip_forward = 0, т.е. форвардинг выключен.

у меня echo 1 > /proc/sys/net/ipv4/ip_forward

получается все порты открыты?

[ArcFi]

Код: [Выделить]

--to-destination IP:PORTНе?

у меня echo 1 > /proc/sys/net/ipv4/ip_forward

Это правильнее записывать в /etc/sysctl.conf:

Код: [Выделить]

sudo sysctl -w "net.ipv4.ip_forward = 1" /etc/sysctl.conf

получается все порты открыты?

Ну, если никаких правил не добавили и политики дефолтные, то типа того.
Впрочем, порт считается закрытым, пока на нём не висит сервис.

***
Короче, ловите:

Код: (bash) [Выделить]

*mangle
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth+ -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -i ppp+ -p udp -m udp --dport 1723 -j DNAT --to-destination 192.168.0.6
-A PREROUTING -i ppp+ -p tcp -m tcp --dport 8008 -j DNAT --to-destination 192.168.0.100
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o ppp+ -j MASQUERADE
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth+ -p tcp -m conntrack --ctstate NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth+ -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth+ -o ppp+ -j ACCEPT
-A FORWARD -d 192.168.0.6 -i ppp+ -o eth+ -p udp -m udp --dport 1723 -j ACCEPT
-A FORWARD -d 192.168.0.100 -i ppp+ -o eth+ -p tcp -m tcp --dport 8008 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

[junior10]

благодарю, а
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8008 -j DNAT --to-destination 192.168.0.100:22  <-- сдесь 22, не 8008?

и

-A FORWARD -d 192.168.0.100 -i ppp0 -o eth0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT - 22 порт пробрасываем на этого клиента?

[ArcFi]

Менять порт сервиса внутри локалки бессмысленно и неудобно.
Снаружи будет доступ по 8008/tcp, а внутри по стандартному порту — 22/tcp.

[junior10]

22 порт с наружи я открыл вот так:
iptables -I INPUT 5 -p tcp --dport 22 -j ACCEPT
все замечательно работает.

а пользователю 192.168.0.100 нужно извне приконектиться к себе на порт 8008, причем также должно быть доступно если из любой локальной машины в сети мы наберем telnet <внещний ип> 8008 мы попадаем на 192.168.0.6:8008

и вопрос по поводу проброса udp порта на сервер там где mdp(впн-сервер) (192.168.0.6 порт 1723), вот такое правило почему то не срабатывает:
iptables -t nat-A PREROUTING -i ppp+ -p udp --dport 1723 -j DNAT --to-destination 192.168.0.6

[ArcFi]

Повторюсь, что не вижу смысла менять стандартные порты внутри локалки.
Так только самого себя запутывать.

[junior10]

так 22 порт никто и не меняет,

пользователь запускает у себя на 192.168.0.100 сервер (программист он) который слушает порт 8008 у него и хочет попасть к себе...

[ArcFi]

junior10, а, ясно, я просто сперва неправильно понял.
Внёс коррективы в правила здесь:
https://forum.ubuntu.ru/index.php?topic=225833.msg1753124#msg1753124

[junior10]

премного благодарен, а как быть насчет udp 1723?

[ArcFi]

а как быть насчет udp 1723?

Добавил там же в nat/PREROUTING и filter/FORWARD.

По идее, там ещё надо GRE пропустить.
Мне с этим иметь дело не приходилось, нагуглил тут:
http://interface31.ru/tech_it/2012/02/ubuntu-server-forvarding-pptp-sredstvami-iptables.html

[junior10]

там же не появились изменения, или это только я их не вижу? , простите за настойчивость

[ArcFi]

Правила сохраняете в файл /etc/iptables.rules, загружаете этот файл через

Код: [Выделить]

iptables-restore /etc/iptables.rulesпроверяете через

Код: [Выделить]

iptables-save

там же не появились изменения, или это только я их не вижу? , простите за настойчивость

Попробуйте сейчас обновить страницу.