Re: Debian - port forward

To "Debian CZ/SK project discussion list" <czdebian-l zavinac debian bod cz>
From "Zemek - Centrum" <zdenek bod zemek zavinac centrum bod cz>
Date Tue, 7 Nov 2006 20:15:43 +0100 
tak to bylo přesně ono! Ten DROP tam dělal problém, už to chodí jak má.
Děkuju za pomoc a za trpělivost :-).
Ještě se chci zeptat, kde vypnu služby jako např. mail a pod. nepotřebuji
aby běželi, tím méně aby byli otevřené jejich porty :-).

----- Original Message -----
From: "d.petr" <d bod petr zavinac post bod cz>
To: "Debian CZ/SK project discussion list" <czdebian-l zavinac debian bod cz>
Sent: Monday, November 06, 2006 9:35 PM
Subject: Re: Debian - port forward


Zemek - Centrum wrote:
> takře teď mám vše snad správně a stejně to nejde. Čeho se pokouším
dosáhnout
> jsem popsal výše a nastavení poslední je následující:
>
> iptables -t nat  -L -v
> --------------
> Chain PREROUTING (policy ACCEPT 161K packets, 14M bytes)
> pkts bytes target     prot opt in     out     source
> destination
>   82  4272 DNAT       tcp  --  eth0   any     anywhere
anywhere
> tcp dpt:ssh to:10.0.0.3:22
>   647 32592 DNAT       tcp  --  eth0   any     anywhere
anywhere
> tcp dpt:5899 to:192.168.1.43:5899
> 42125 7680K DNAT       udp  --  eth0   any     anywhere
anywhere
> udp dpt:5899 to:192.168.1.43:5899
> --------------------
>
> iptables --list
> ------------------
> Chain FORWARD (policy DROP)
> target     prot opt source               destination
> ACCEPT     all  --  localnet/24          anywhere
> ACCEPT     all  --  anywhere             anywhere            state
> RELATED,ESTABLISHED
> LOG        all  --  anywhere             localnet/24         LOG level
> warning
> DROP       all  --  anywhere             localnet/24

A tady bych si tipnul příčinu.
Jestli *nové* pakety pro port 5899 dostanou v PREROUTING nový cíl a
procházejí FORWARDem, tak tady je pro ně 1. i 2. podmínka (řádek)
nesplněná, 3. už asi splněná je (jestli 192.168.1.43 spadá do
localnet/24), takže by měly být zalogovány (jsou??), a 4. podmínka je
taky splněná a zlikviduje je. :-(
A kdyby to přece přežily, tak je zaloguje a zikviduje následující dvojice.

> LOG        all  --  anywhere             anywhere            LOG level
> warning
> DROP       all  --  anywhere             anywhere


Stručně: tyhle ACCEPTy musejí být vyhodnoceny (tzn. zapsány) ještě před
těmi DROPy.
> ACCEPT     tcp  --  anywhere             192.168.1.43        state NEW tcp
> dpt:5899
> ACCEPT     udp  --  anywhere             192.168.1.43        state NEW udp
> dpt:5899

Petr
________________________________________________
CZdebian-l maillist  -  CZdebian-l zavinac debian bod cz
http://www.debian.cz/mailman/listinfo/czdebian-l
E-mail (un)subscriptions: czdebian-l-request zavinac debian bod cz
Partial thread listing: