Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Как разрешить telnet для сквозного соединения  (Прочитано 257 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dimvas

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Добрый день, изучил тему по iptables, пока новичок в этом деле.

На сервере 2 сетевые карты: lan (192.168.7.11/24) и kazna (10.240.22.4/25). Сервер работает в качестве маршрутизатора по умолчанию для пользовательских машин, то есть телнетиться нужно будет не с сервера.

Необходимо с машины из сети 192.168.7.0.24 подключиться по телнету к серверу 10.2.2.1 по порту 2598, который известен интерфейсу kazna. NAT настроен. Если в цепочке FORWARD поставить политику по умолчанию ACCEPT, то все работает нормально. Мне нужно поставить политику по умолчанию DROP и пропускать только разрешенные соединения.

Пишу следующее правило:
iptables -A FORWARD -p tcp --sport 23 --dport 2598 -i lan -o kazna -j ACCEPT

Ну и не работает telnet соответственно.

Пробовал еще так:
iptables -A FORWARD -p tcp --dport 2598 -o kazna -j ACCEPT

В статистике пакеты по правилу бегают, но телнет не подключается все равно. Если в цепочке FORWARD поставить политику по умолчанию ACCEPT, то само собой всё начинает работать. Где я ошибся?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26055
    • Просмотр профиля
У вас порты перепутаны.
Плюс нет правила на обратку. (--ctstate ESTABLISHED)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн dimvas

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Создал правило

iptables -A FORWARD -p tcp --sport 2598 --dport 23 -o kazna -m conntrack --ctstate ESTABLISHED -j ACCEPT

Не помогло!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26055
    • Просмотр профиля
А должно было?…
iptables-save показывайте.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн dimvas

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
# Generated by iptables-save v1.6.0 on Tue Aug  2 17:45:43 2016
*nat
:PREROUTING ACCEPT [364187:30741992]
:INPUT ACCEPT [8455:907494]
:OUTPUT ACCEPT [38912:2334844]
:POSTROUTING ACCEPT [38912:2334844]
-A POSTROUTING -o kazna -j MASQUERADE
COMMIT
# Completed on Tue Aug  2 17:45:43 2016
# Generated by iptables-save v1.6.0 on Tue Aug  2 17:45:43 2016
*filter
:INPUT ACCEPT [85804:6635483]
:FORWARD DROP [3:152]
:OUTPUT ACCEPT [34173:2539443]
-A FORWARD -o kazna -p tcp -m tcp --sport 2598 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -o kazna -p tcp -m tcp --sport 2598 --dport 23 -m conntrack --ctstate ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Aug  2 17:45:43 2016

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26055
    • Просмотр профиля
Ну неверно же.

sudo iptables-restore <<<"*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i lan -o kazna -p tcp -m tcp --dport 2598 -m conntrack --ctstate NEW -j ACCEPT
COMMIT"
« Последнее редактирование: 02 Август 2016, 13:59:35 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн dimvas

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Спасибо большое, теперь стал лучше понимать, как работает фильтр, сделал, получилось!

 

Страница сгенерирована за 0.064 секунд. Запросов: 24.