Автор Тема: iptables не пускает lan на ip wan (Прочитано 1790 раз)

FoLk · « : 10 Декабря 2013, 16:27:00 »

Есть сетка 192.168.1.1-254
настроен NAT.
Из внешней сети FTP работает, порт открыт все нормльно
Но подключаясь с офиса по адресу 92.50.***.*** к порту 21 ничего не происходит...
Как разрешить доступ из локала на внешний (белый) ip?

fisher74 · « **Ответ #1 :** 10 Декабря 2013, 18:14:13 »

В туториалах iptables Ваша ситуация отдельно рассмотрена, как частный случай. Читайте.

P.S. На самом деле там про http. Но эту фразу я пишу сегодня уже второй раз, и она, как ни странно, подходит и для Вашей проблемы.

ArcFi · « **Ответ #2 :** 10 Декабря 2013, 18:16:21 »

FoLk,

Код: [Выделить]

sudo iptables-save
lsmod | grep -E '^ip|^nf' | sort

FoLk · « **Ответ #3 :** 11 Декабря 2013, 07:00:40 »

Разобрался, терь фтп ругается на пассив.
Пока не могу проверить, но думаю нужно добавить это?

Код: [Выделить]

modprobe ip_conntrack_ftp

ArcFi · « **Ответ #4 :** 11 Декабря 2013, 08:11:08 »

Цитата: FoLk от 11 Декабря 2013, 07:00:40

Код: [Выделить]
modprobe ip_conntrack_ftp

А почему не nf_conntrack_ftp?

FoLk · « **Ответ #5 :** 11 Декабря 2013, 08:27:42 »

ArcFi, хорошо так и сделаю... Мне так гугл выдал)

Пользователь решил продолжить мысль 11 Декабря 2013, 08:54:11:

Что то не получается(

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Server sent passive reply with unroutable address 192.168.1.4, using host address instead.
Transfer channel can't be opened. Reason: Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение.
Could not retrieve directory listing
Entering Passive Mode (192,168,1,4,15,208)

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

 iptables-save
# Generated by iptables-save v1.4.14 on Wed Dec 11 08:51:38 2013
*mangle
:PREROUTING ACCEPT [54497:27792266]
:INPUT ACCEPT [2274:224772]
:FORWARD ACCEPT [51562:27518557]
:OUTPUT ACCEPT [1533:158931]
:POSTROUTING ACCEPT [53084:27676624]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o eth0 -j TTL --ttl-set 64
COMMIT
# Completed on Wed Dec 11 08:51:38 2013
# Generated by iptables-save v1.4.14 on Wed Dec 11 08:51:38 2013
*nat
:PREROUTING ACCEPT [3464:241434]
:INPUT ACCEPT [1082:84821]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [7:348]
-A PREROUTING -d 92.50.**.**/32 -p udp -m multiport --dports 1194 -j DNAT --to-destination 192.168.1.10:1194
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 21 -j DNAT --to-destination 192.168.1.4:21
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 20 -j DNAT --to-destination 192.168.1.4:20
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 433 -j DNAT --to-destination 192.168.1.4:433
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 80 -j DNAT --to-destination 192.168.1.3:80
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 7778 -j DNAT --to-destination 192.168.1.103:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 6363 -j DNAT --to-destination 192.168.1.46:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 7776 -j DNAT --to-destination 192.168.1.36:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 3355 -j DNAT --to-destination 192.168.1.4:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 5566 -j DNAT --to-destination 192.168.1.2:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 3472 -j DNAT --to-destination 192.168.1.5:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 3131 -j DNAT --to-destination 192.168.1.223:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 3366 -j DNAT --to-destination 192.168.1.32:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 9966 -j DNAT --to-destination 192.168.1.112:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 4455 -j DNAT --to-destination 192.168.1.3:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 4242 -j DNAT --to-destination 192.168.1.42:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 5444 -j DNAT --to-destination 192.168.1.129:3389
-A PREROUTING -d 92.50.**.**/32 -p tcp -m multiport --dports 3488 -j DNAT --to-destination 192.168.1.125:22
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.4/32 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -o eth0 -j SNAT --to-source 92.50.**.**
COMMIT
# Completed on Wed Dec 11 08:51:38 2013
# Generated by iptables-save v1.4.14 on Wed Dec 11 08:51:38 2013
*filter
:INPUT ACCEPT [1770:158932]
:FORWARD ACCEPT [2641:159890]
:OUTPUT ACCEPT [1556:164325]
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -j ACCEPT
-A INPUT -s 92.50.**.**/32 -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s 92.50.**.**/32 -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.21 -j DROP
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.22-192.168.1.22 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.23-192.168.1.23 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.24-192.168.1.31 -j DROP
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.32-192.168.1.32 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.33-192.168.1.128 -j DROP
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.129-192.168.1.129 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.130-192.168.1.208 -j DROP
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.209-192.168.1.209 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.210-192.168.1.210 -j DROP
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.211-192.168.1.211 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.212-192.168.1.229 -j DROP
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.230-192.168.1.230 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vkontakte.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.231-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.21 -j DROP
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.22-192.168.1.22 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.23-192.168.1.23 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.24-192.168.1.31 -j DROP
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.32-192.168.1.32 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.33-192.168.1.128 -j DROP
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.129-192.168.1.129 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.130-192.168.1.208 -j DROP
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.209-192.168.1.209 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.210-192.168.1.210 -j DROP
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.211-192.168.1.211 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.212-192.168.1.229 -j DROP
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.230-192.168.1.230 -j ACCEPT
-A FORWARD -i eth1 -m string --string "vk.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.231-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.21 -j DROP
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.22-192.168.1.22 -j ACCEPT
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.23-192.168.1.23 -j ACCEPT
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.24-192.168.1.31 -j DROP
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.32-192.168.1.32 -j ACCEPT
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.33-192.168.1.128 -j DROP
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.129-192.168.1.129 -j ACCEPT
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.130-192.168.1.208 -j DROP
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.209-192.168.1.209 -j ACCEPT
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.210-192.168.1.229 -j DROP
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.230-192.168.1.230 -j ACCEPT
-A FORWARD -i eth1 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.231-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.21 -j DROP
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.22-192.168.1.22 -j ACCEPT
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.23-192.168.1.23 -j ACCEPT
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.24-192.168.1.31 -j DROP
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.32-192.168.1.32 -j ACCEPT
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.33-192.168.1.128 -j DROP
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.129-192.168.1.129 -j ACCEPT
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.130-192.168.1.208 -j DROP
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.209-192.168.1.209 -j ACCEPT
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.210-192.168.1.229 -j DROP
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.230-192.168.1.230 -j ACCEPT
-A FORWARD -i eth1 -m string --string "youtube.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.231-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.21 -j DROP
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.22-192.168.1.22 -j ACCEPT
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.23-192.168.1.23 -j ACCEPT
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.24-192.168.1.31 -j DROP
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.32-192.168.1.32 -j ACCEPT
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.33-192.168.1.128 -j DROP
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.129-192.168.1.129 -j ACCEPT
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.130-192.168.1.208 -j DROP
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.209-192.168.1.209 -j ACCEPT
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.210-192.168.1.229 -j DROP
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.230-192.168.1.230 -j ACCEPT
-A FORWARD -i eth1 -m string --string "video.yandex.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.231-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "cameleo.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "otmashi.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "dostupest.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "anonim.pro" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "hideme.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "anonymouse.org" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "2ip.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "WebMasta.org" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "kalarupa.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "freeproxy.ru" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.25 -j DROP
-A FORWARD -i eth1 -m string --string "spoolls.com" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
-A FORWARD -i eth1 -m string --string "anonymouse.org" --algo kmp --to 65535 -m iprange --src-range 192.168.1.1-192.168.1.255 -j DROP
COMMIT
# Completed on Wed Dec 11 08:51:38 2013

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

lsmod | grep -E '^ip|^nf' | sort
iptable_filter         12488  1
iptable_mangle         12488  1
iptable_nat            12800  1
ip_tables              17079  3 iptable_filter,iptable_nat,iptable_mangle
nf_conntrack           43121  5 nf_conntrack_ftp,nf_conntrack_ipv4,nf_nat,iptable_nat,xt_state
nf_conntrack_ftp       12533  0
nf_conntrack_ipv4      13726  7 nf_nat,iptable_nat
nf_defrag_ipv4         12443  1 nf_conntrack_ipv4
nf_nat                 17924  1 iptable_nat
nfs                   265921  0
nfs_acl                12463  2 nfs,nfsd
nfsd                  173890  2

Так же RDP не хочет подключатся внутри локальной сети на белый ип по порту 4455

Код: [Выделить]

iptables -A INPUT -i eth1 -p tcp -s 92.50.154.66 -d 0/0 --dport 4455 -j ACCEPT
#Если пытаемся подключиться из локальной сети к внешнему IP с пробрасываемым портом, то делаем это от лица роутера
iptables -t nat -A POSTROUTING -d 192.168.1.3 -s 192.168.1.0/24 -p tcp --dport 4455 -j SNAT --to-source 192.168.1.1

Не помогает

ArcFi · « **Ответ #6 :** 11 Декабря 2013, 09:54:00 »

nf_nat_ftp
?

FoLk · « **Ответ #7 :** 25 Декабря 2013, 18:54:13 »

ArcFi, заработало! спасибо большое.
Но с локала так и не получается входить на внешний ип (RDP)
порты открываю так:

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -m multiport --dst 92.50.154.66 --dport 4455 -j DNAT --to-destination 192.168.1.3:3389 # RDP TERMINAL 1.3

fisher74 · « **Ответ #8 :** 25 Декабря 2013, 19:46:08 »

Если Вы читали параграф, на который я Вам указал, то должны понимать, что в этом процессе участвует не одно правило.
Так что показывайте весь набор.

FoLk · « **Ответ #9 :** 25 Декабря 2013, 20:31:37 »

Цитата: fisher74 от 25 Декабря 2013, 19:46:08

Если Вы читали параграф, на который я Вам указал, то должны понимать, что в этом процессе участвует не одно правило.
Так что показывайте весь набор.

Прочитал, суть ясна... Но у меня не получилось

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin

#FTP
modprobe nf_conntrack_ftp
modprobe nf_nat_ftp

echo "1" > /proc/sys/net/ipv4/ip_forward


#Первым делом очистим существующую таблицу правил:

# delete all existing rules.
#
iptables -F
iptables -F -t nat
iptables -t mangle -F
iptables -X

# Добавляем первое правило которое позволит нам не потерять удаленный контроль над сервером
iptables -A INPUT -p tcp -i eth0 --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT

# Пропускаем обратную петлю
iptables -A INPUT -d 127.0.0.1 -j ACCEPT

#Разрешить входящие пакеты из локальной сети
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT

iptables -A FORWARD -i eth0 -p tcp --dport 4455  -j ACCEPT

#Если пытаемся подключиться из локальной сети к внешнему IP с пробрасываемым портом, то делаем это от лица роутера
iptables -t nat -A POSTROUTING -d 192.168.1.4 -s 192.168.1.0/24 -p tcp --dport 21 -j SNAT --to-source 192.168.1.1
iptables -t nat -A POSTROUTING -d 192.168.1.4 -s 192.168.1.0/24 -p tcp --dport 20 -j SNAT --to-source 192.168.1.1

#iptables -t nat -A POSTROUTING -d 192.168.1.3 -s 192.168.1.0/24 -p tcp --dport 4455 -j SNAT --to-source 192.168.1.1


#Разрешаем форвардинг уже инициализированных соединений
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# Пропускаем пакеты уже установленных соединений
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Пускаем локалку
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 92.**.**.** -d 0/0 --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s 92.**.**.** -d 0/0 --dport 20 -j ACCEPT

# Allow UDP, DNS and Passive FTP
#iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED  -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED  -j ACCEPT


#Разрешаем пинг(DROP - запретить)
iptables -A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT

# NAT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 92.**.**.**

# MTU
iptables -t mangle -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -t mangle -I POSTROUTING -o eth0 -j TTL --ttl-set 64

#Port Mapping (( ! ))
# ======================================

iptables -t nat -A PREROUTING -p tcp -m multiport --dst 92.**.**.** --dport 4455 -j DNAT --to-destination 192.168.1.3:3389 # RDP TERMINAL 1.3

# ======================================
# ======================================
# LAN
#
#iptables -t nat -A POSTROUTING -p tcp --dst 92.**.**.**--dport 4455 -j SNAT --to-source 192.168.1.3:3389




/server/scripts/block/sites.sh
echo 'ALL SITES BLOCKED!!!'
sleep 4

AnrDaemon · « **Ответ #10 :** 25 Декабря 2013, 20:38:30 »

FoLk, разговор сдвинется с мёртвой точки не раньше, чем вы начнёте читать то, что вам пишут, и выполнять то, что просят.
А не то, что вам в голову взбрело.

Форум русскоязычного сообщества Ubuntu

Автор Тема: iptables не пускает lan на ip wan (Прочитано 1790 раз)

FoLk

iptables не пускает lan на ip wan

fisher74

Re: iptables не пускает lan на ip wan

ArcFi

Re: iptables не пускает lan на ip wan

FoLk

Re: iptables не пускает lan на ip wan

ArcFi

Re: iptables не пускает lan на ip wan

FoLk

Re: iptables не пускает lan на ip wan

ArcFi

Re: iptables не пускает lan на ip wan

FoLk

Re: iptables не пускает lan на ip wan

fisher74

Re: iptables не пускает lan на ip wan

FoLk

Re: iptables не пускает lan на ip wan

AnrDaemon

Re: iptables не пускает lan на ip wan