Port forward Ubuntu 12.04 Server-en

3r1c

Hello Mindenkinek Van egy intel atom-os ubuntu 12.04-es home szerverem amit most telepítettem frissibe. Létrehoztam rajta: NAT-olt dhcp servert az az egy routert. Szeretnék portokat megnyitni mivel a szerveren fut egy ftp szerver is. A belső hálózat felé ki is tudom nyitni a portot de a nagyvilág irányába nem. Mi lehet a baj? Hogy tudom orvosloni?

pinget

Az lehet a baj, hogy nem jól csinálsz valamit. Úgy lehetne orvosolni, hogy kijavítod a hibát. Esetleg ha több információt osztanál meg velünk, akkor könnyebb lenne segíteni, ilyesmikre gondolok, hogy iptables -nvL, iptables -nvL -t nat.

3r1c

pingetChain INPUT (policy ACCEPT 104K packets, 60M bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 3002K packets, 2126M bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 82052 packets, 8072K bytes) pkts bytes target prot opt in out source destination

pinget

3r1cEz ha jól gondolom, akkor az iptables -nvL kimenete. Itt azt láthatod, hogy nincs zárva semmi. A szervered külső lába publikus fix ip cím? Vagy mire csatlakozik a szerver?

3r1c

pingetA szerver egy publikus fix ip cimre csatlakozik. A probléma az hogy ha bezárok valamilyen portot pl.: sudo ufw deny 21 akkor a dhcp behal Szóval hogy tudnám úgy bezárni a portot hogy csak eth0-án zárja be és ezh1-en meg még nyitva legyen. Előre is köszsönöm

vadonka

a nagyvilág felé kinyitás alatt mit értesz? egy a nat-olt hálózatból jövő kérés nem megy ki a net felé vagy a net felől szeretnéd ha elérhető lenne egy porton a nat-olt hálózat egyik ip-jén egy szolgáltatás? egyik esetben csak a forward rule-ok érdekesek a másik esetben meg kell a nat rész is a forward mellé. kezdetnek javaslom, hogy állítsd át a forward policy-t acceptre (ha nem azon van) és flush-olj belőle mindent. iptables -P FORWARD ACCEPT iptables -F FORWARD aztán meg kellene az iptables -L -t nat kimenete.

3r1c

vadonkaKöszi Szépen Igen a problém az hogy: eth0-én WAN eth1-en LAN DHCP Ha valamely portot tiltottam eth0-án akkor nem volt net a hálózaton de ha újra engedélyeztem a portot akkor meg volt internet a hálózaton. Érdekes egyszer csak összejön.

vadonka

3r1cne if alapján tilts, sokal egyszerűbb ha azzal kezded az INPUT láncot, miután a policyt DROP-ra tetted a LAN felől mindent engedsz tcp/udp-n, majd elkezded felsorolni azokat a portokat amiket kívülről el kell, hogy érjenek a net felől. az OUTPUT láncot hagyd ACCEPT-en ha nem akarod magad szívatni. itt egy egyszerűsített de működő példa: a szerver gépen a 22-es tcp portra lehet csatlakozni a net felől, netet ad az eth0-n érkező net felől a LAN-os hálózatnak, valamint forwardolja a 8000-es portot a LAN oldal 192.168.1.10-es IP-je felé. (A net forward-ot be kell kapcsolni előtte sysctl-el) iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -A INPUT -s 127.0.0.1 -j ACCEPT iptables -A INPUT -d 127.0.0.1 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to-destination 192.168.1.10:8000 Ha egyszerű módon megy akkor utána rakhatod a FORWARD-ot is DROP-ra aztán lehet szabályokat csinálni oda is, úgy lehet korlátozni a LAN felől melyik gép mit érhet el a neten és ne tudjunk mindent, pl tilthatod a torrentet vagy azt, hogy csak a saját smtp-d tudják használni, stb.