Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Проброс ВСЕХ портов в локальную сеть iptables.  (Прочитано 1424 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн TuzelKO

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Ubuntu Server 12.04 LTS
    • Просмотр профиля
Привет господа форумочане) Вопрос которого здесь наверное никогда не звучало... Как пробросить все порты в Ubuntu server 12.04? То есть чтобы порт с первого по последний были проброшены на локальный ip... В моем случае это 10.0.0.2... (Внешний 92.***.***.***)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
Если вы это сделаете, шлюз просто рухнет.
Подумайте ещё раз, что на самом деле вам нужно, и действуте исходя из реальных нужд, а не бредовых хотелок.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн TuzelKO

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Ubuntu Server 12.04 LTS
    • Просмотр профиля
Шлюз выполняет роль фильтра... за ним находится еще один роутер... который и отвечает за пробросы... ему нужны все порты...

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
А вам не кажется, что вы через одно место сеть настраиваете? В нормальных сетях маршрутизатор занимается фильтрацией. Исключение, если клиентов у шлюза больше нескольких тысяч.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн TuzelKO

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Ubuntu Server 12.04 LTS
    • Просмотр профиля
1)Несколько тысяч...
2)нашел выриант... просто поставил при пробросе промежуток 1:65535...

Следующий вопрос... как сделать чтобы при перезагрузке сие дело не сбрасывалось... Перезагрузил шлюз и все правила проброса в помойку...


Пользователь решил продолжить мысль 15 Июль 2014, 18:44:47:
Народ, а как сделать чтобы отображались все подключения через этот шлюз в netstat?
« Последнее редактирование: 15 Июль 2014, 18:44:47 от TuzelKO »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
1)Несколько тысяч...
Тогда вызывает вопрос достаточность вашей квалификации для администрирования сети такого объёма.

Цитировать
2)нашел выриант... просто поставил при пробросе промежуток 1:65535...
Это не вариант, это убожество. Бридж и ebtables.

Цитировать
Следующий вопрос... как сделать чтобы при перезагрузке сие дело не сбрасывалось...
Это смешно. Поиск по форуму вверху справа.

Цитировать
Народ, а как сделать чтобы отображались все подключения через этот шлюз в netstat?
Какие "все подключения"? Вы же только что запретили к нему подключаться.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн TuzelKO

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Ubuntu Server 12.04 LTS
    • Просмотр профиля
Через этот шлюз, а не к этому шлюзу...

Пользователь решил продолжить мысль 15 Июль 2014, 19:04:59:
И мануал не нашел...
« Последнее редактирование: 15 Июль 2014, 19:04:59 от TuzelKO »

alexxnight

  • Гость
1. Каждый проброшенный порт отнимает ресурсы у шлюза, поэтому так лучше не делать. (И расскажите, что Вы там мутите)
2. Если Вы все порты пробросили, то подключится к шлюзу Вы можете только создав исключение для определенного ip адреса(ов), который подключается из внешней сети.

Правила покажите

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
Сорри, возможно я туплю. Но я не понял топологию данной сети. В частности, способ получения инета. К примеру, в ADSL модемах есть DMZ. Указываешь там ИПшник потенциального покойника, и туда открываются ВСЕ порты. Если в данном случае инет от провайдера приходит в роутерную железку, то способ будет похожим. Если инет приходит в шлюз на базе компа с двумя сетевухами, то там и надо рулить пробросами портов.
К примеру, в моей локалке с АДСЛ модем пробрасывает все порты на прокси-шлюз. А уже этот сервер разные порты кидает на разные машины. А тут как-то получается маршрут через задний проход. Нипанятна.
С уважением, Юрий.

Оффлайн TuzelKO

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
  • Ubuntu Server 12.04 LTS
    • Просмотр профиля
# Generated by iptables-save v1.4.12 on Tue Jul 15 19:48:49 2014
*nat
:PREROUTING ACCEPT [4507:375933]
:INPUT ACCEPT [291:23432]
:OUTPUT ACCEPT [2307:141633]
:POSTROUTING ACCEPT [127:9007]
-A PREROUTING -d 92.255.125.135/32 -p tcp -m tcp --dport 1:65535 -j DNAT --to-destination 10.0.0.2
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -d 10.0.0.2/32 -p tcp -m tcp --dport 1:65535 -j SNAT --to-source 10.0.0.1
COMMIT
# Completed on Tue Jul 15 19:48:49 2014
# Generated by iptables-save v1.4.12 on Tue Jul 15 19:48:49 2014
*filter
:INPUT ACCEPT [16918:1725861]
:FORWARD ACCEPT [583639:80477257]
:OUTPUT ACCEPT [16879:2693170]
-A FORWARD -d 10.0.0.2/32 -i eth1 -o eth0 -p tcp -m tcp --dport 1:65535 -j ACCEPT
-A FORWARD -i eth1 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Jul 15 19:48:49 2014

Топология такая... Интернет -> шлюз (который фильтрует пакеты и на котором проброшены все порты с которым я парюсь сейчас) -> роутер (раздача портов и прочее) -> сервер

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
Через этот шлюз, а не к этому шлюзу...
netstat не показывает транзитные подключения вообще.

Сорри, возможно я туплю. Но я не понял топологию данной сети. В частности, способ получения инета. К примеру, в ADSL модемах есть DMZ. Указываешь там ИПшник потенциального покойника, и туда открываются ВСЕ порты.
Не сравнивай нагрузку... Один дохлый ADSL модем и десять тысяч клиентов.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 851
    • Просмотр профиля
уберите роутер из схемы....и все будет ок

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
Интернет -> шлюз (который фильтрует пакеты и на котором проброшены все порты с которым я парюсь сейчас) -> роутер (раздача портов и прочее) -> сервер
Терзают меня смутные сомнения, что слишком сложно.

Не сравнивай нагрузку... Один дохлый ADSL модем и десять тысяч клиентов.
У меня там шлюзом стоит простой атлон двухядерный. Средняя нагрузка при 50 клиентах = 0.2%. Простая пропорция показывает, что 100% нагрузки машина достигнет при 25000 клиентах. Ну другие накладные расходы и прочая фигня. Но 10к потянет махом. На этой машине еще и АТСка стоит. А АДСЛ модем я просто указал примером. Просто пинок в нужное направление.
С уважением, Юрий.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25964
    • Просмотр профиля
Да я уже пинал. Только задница у ТС тяжеловатая... Видимо, мозги туда стекли...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.058 секунд. Запросов: 24.