Нужно открыть определенные порты для локального пользователя

[aitee]

Есть программа континет-ап что бы ее подключить нужно что бы были открыты порты 7500 и 4433.
вопрос как их открыть? интернет пользователю раздаю через сквид.

[fisher74]

использовать NAT

[aitee]

Вот что нашел и собрал скрипт похожа на правду?

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
iptables -F // сброс всех настроек
iptables -t nat -F // сброс настроек NAT
sysctl -w net.ipv4.ip_forward="1" // переброска пакетов между сетевыми интерфейсами разрешена
 
Маскарад
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE // Куда перебрасывать пакеты из локальной сети
 
Закрытие/открытие портов
iptables -t filter -A INPUT -i eth0 -p tcp --dport 7500 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp --dport 4433 -j ACCEPT
// Открытие входящего порта 7500 и 4433 на eth0
// Так же есть DROP
// Возможно использование без интерфейса
 
Проброс портов
iptables -t nat -A PREROUTING -p tcp --dport 7500 -i eth0 -j DNAT --to 10.16.45.54
iptables -t nat -A PREROUTING -p tcp --dport 4433 -i eth0 -j DNAT --to 10.16.45.54
// Переброс порта 7500 и 4433 с интерфейса eth0 на IP в локальной сети 10.16.45.54

[fisher74]

iptables -t filter -A INPUTFORWARD -i eth0 -p tcp --dport 7500 -j ACCEPT
iptables -t filter -A INPUTFORWARD -i eth0 -p tcp --dport 4433 -j ACCEPT
// Открытие входящего Разрешение транзитного порта 7500 и 4433 на eth0
// Так же есть DROP - Вот без него предыдущие 2 правила не нужны
// Возможно использование без интерфейса

Кое-что поправил, остальное правильно

[aitee]

iptables -t filter -A INPUTFORWARD -i eth0 -p tcp --dport 7500 -j ACCEPT
iptables -t filter -A INPUTFORWARD -i eth0 -p tcp --dport 4433 -j ACCEPT
// Открытие входящего Разрешение транзитного порта 7500 и 4433 на eth0
// Так же есть DROP - Вот без него предыдущие 2 правила не нужны
// Возможно использование без интерфейса

Кое-что поправил, остальное правильно

теперь просто я его запускаю как скрипт и больше нечего настраивать не нужно?

[fisher74]

грубо говоря - нет.
Но безопасность в глубокой-глубокой .......

[aitee]

грубо говоря - нет.
Но безопасность в глубокой-глубокой .......

а не подскажет как безопасность вытащить из глубокой....)?
Пользователь решил продолжить мысль 05 Марта 2014, 14:28:56:что я делаю не так?
запускаю скрипт и 0 эффекта(

[fisher74]

Зависит от параноидальности
Самое просто для защиты локалки (не самого собственно шлюза)

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -d 10.16.45.54 -p tcp --dport 7500 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -d 10.16.45.54 -p tcp --dport 4433 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp --dport 7500 -i eth0 -j DNAT --to 10.16.45.54
sudo iptables -t nat -A PREROUTING -p tcp --dport 4433 -i eth0 -j DNAT --to 10.16.45.54
Как-то так....

[aitee]

Зависит от параноидальности
Самое просто для защиты локалки (не самого собственно шлюза)

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -p tcp FORWARD -i eth0 -d 10.16.45.54 -p tcp --dport 7500 -j ACCEPT
sudo iptables -A FORWARD -p tcp FORWARD -i eth0 -d 10.16.45.54 -p tcp --dport 4433 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp --dport 7500 -i eth0 -j DNAT --to 10.16.45.54
sudo iptables -t nat -A PREROUTING -p tcp --dport 4433 -i eth0 -j DNAT --to 10.16.45.54
Как-то так....

это ввести в терминале?

[fisher74]

Эмммм... видимо, да.
Но при перезагрузке, если не предпринять никаких действий, эти правила исчезнут.

[aitee]

Эмммм... видимо, да.
Но при перезагрузке, если не предпринять никаких действий, эти правила исчезнут.

что то не выходит(

[fisher74]

А Вы какой ответ на эту фразу ждёте?

[aitee]

Эмммм... видимо, да.
Но при перезагрузке, если не предпринять никаких действий, эти правила исчезнут.

при вводе этих двух команд терминал ругается

(Нажмите, чтобы показать/скрыть)

iptables -A FORWARD -p tcp FORWARD -i eth0 -d 10.16.45.54 -p tcp --dport 7500 -j ACCEPT
iptables -A FORWARD -p tcp FORWARD -i eth0 -d 10.16.45.54 -p tcp --dport 4433 -j ACCEPT

Bad argument `FORWARD'
Try `iptables -h' or 'iptables --help' for more information.

[fisher74]

)) очепятко...
И на старуху....
Исправил

[aitee]

делаю все как тут на соседнем компе не какой реакции( видно я дурак
Я сперва в нетворк открыл одну строчку
потом открыл терминал и ввел код
вроде все как надо сделал....
а до ввода кода? там что нибудь еще настраивать надо?