Hello! Gondoltam indítok én is egy ''nagy'' topicot. Azt szeretném, ha mindenki aki használja ezt a programot írjon róla valamit, amit ért, pl. írjon le egy szabályt és, hogy az mit csinál. Meg persze lehet kérdezni is, mint ahogy én is kérdezek egyet így elsőre: Hogy lehet azt megcsinálni, ha meglehet egyáltalán, hogy egy maszkolt gépen (amit a linuxos gép maszkol iptables segítségével) fusson valamilyen szerver amire az internetről rá lehet csatlakozni. pl, ftp, web, ssh....
Egyelőre ennyi! Remélem nem hal be hamar ez a fórum

be kell forwardolni azt a portot amin a belső gépen a szolgáltatás fut. de ezt a dc++ kapcsán egy másik topikban már megbeszéltük

http://flashy.blog.hu

nem baj, nem arra gondoltam... hanem, ha én mondjuk ftp-n akarom elérni a belső háló egyik gépét, ami maszkolva van, az lehetséges-e és hogyan? A megoldást ide kérem

dede, ugyanaz.

iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 21 -j DNAT --to 10.0.0.2:21

ugyanaz a lényege mindkettőnél: a maszkoló gép adott portján a belső gép valamelyik portja látszódjon.

http://flashy.blog.hu

de a gyakorlatban hogyan müködik? tehát az interneten akárhol vagyok, és haza akarok ftp-zni a maszkolt gépemre(192.168.0.10), ezt hogy adom be az ftp programnak, hogy ne aszerveren keressen ftpszervert hanem az egyik maszkolt gépen?

az internetről csak a maszkoló géped látszik az ő publikus IP címével. a fenti sor annyit csinál, hogy ami a maszkoló géped adott portjára érkezik, azt egy az egyben átküldi a belső gép adott portjára. kintről te a maszkoló gépre ftpzel, de a port forwardon keresztül ez igazából a benti elrejtett gépre megy.

http://flashy.blog.hu

ha a port nincs beforwardolva akkor a szervereden/routereden futó ftpszerverhez tudsz kapcsolódni, ha be van forwardolva akkor ez a port egy az egyben át van irányítva bentre, tehát ekkor a benti gép fog válaszolni, a kinti gépen hiába fut ftpszerver. nemtom mennyire érthető, próbálok máshogy fogalmazni

http://flashy.blog.hu

érthető, nem is gondoltam volna, hogy ilyen egyszerű...

érdekes, hogy a port amit beállítottam a dc-re (1413) a wigwam.sztaki.hu tüzfaltesztje szerint láthatatlan az internet felől...pedig ez nyitva van nem?

akkor van nyitva egy port, ha ül rajta egy program, ami az adott porton válaszol. ha fut a dc++ akkor nyitva van, ha nem fut akkor nincs.

http://flashy.blog.hu

fut a dc! az 1413-as porton, mégis láthatatlan kivülről...

na meg az érdekel, hogy ha mondjuk csinálok a maszkolt gépen egy ftpszervert a szabványos 21-es porttal akkor ezt kell forwardolni iptablessel? és mi van ha fut azon is ftpszerver ugyanezen porton, vagy a kliens(maszkolt) gépen futó ftpszerverben be lehet állítani, hogy melyik portot figyelje?

ha a maszkoló gépen is van ftp szerver, akkor forwardold be pl egy másik portját a belső gép 21-es portjára. pl a 2121-et. a lényeg hogy legyen 1024 fölött. kintről ilyenkor a maszkoló gép 2121-es portjára ftpzel, ami ugye össze lesz drótozva a belső gép 21-es portjával és így menni fog.
amúgy ftp szerverben be lehet állítani hogy hol figyeljen, de mivel nem csak a belső gép azonos portjára lehet beküldeni, mindegy hogy a benti hol figyel.

http://flashy.blog.hu

nemhogy nyitva nincs, de még láthatatlan is, pedig fut a dc...

melyik tesztet futtattad? a sima gyors teszt nem is teszteli azt a portot.

http://flashy.blog.hu

önmegtámadás, és én adtam meg a portot, nem vagyok gyerek, meg ''hülye'' sem... emberszámba vehetsz

.

[Szerkesztve]

nemazér kérdeztem, el is nézhetted a számokat.
kipróbáltam én is az önmegtámadást és minden portra azt mondja hogy láthatatlan, még arra is amin van szolgáltatás, úgyhogy asszem ez még nem működik.
de van erre gyalogmódszer is. kimész egy kinti szerverre, aztán telnettel jössz befele a maszkoló géped adott portjára. próbáld ki, mást fogsz látni láthatatlan, mást zárt és mást nyitott portra. ugyanezt csinálja a tűzfalteszt is amúgy csak avtomatán.

http://flashy.blog.hu

Kérdés: Azt, hogyan kell beállítani, hogy kivülről ssh-n elérhető legyen a linux szerverem?

up!

Hello! Érdekelne még valami! A kis helyi hálómon a linuxos szerveren kívül van még 2 wines gép is. A 2 gép között ftp-n csak 100-200 kbyte/sec-es sebességgel tudunk másolni? Mi miatt lehet ez? Más! Ha az iptables inditoscriptjeben kikommmentezem ezt:
iptables -I FORWARD -p tcp -d 192.168.0.10 --dport 1413 -j ACCEPT
iptables -I FORWARD -p udp -d 192.168.0.10 --dport 1413 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 1413 -j DNAT --to 192.168.0.10:1413
iptables -A PREROUTING -t nat -p udp -i ppp0 --dport 1413 -j DNAT --to 192.168.0.10:1413

ez teszi aktívvá a dc-met akkor gyorsan müködik a 2 win-es gép között a VNC, az FTP-re nincs hatással...ez mi miatt lehet? Mi a megoldás mindkét problémára? egyáltalán mihez van köze?

hello, az ssh-hoz engedelyezd a 22-es portra valo kapcsolodast (azon a gepen, amire kapcsolodni szeretnel, ha nem routeren keresztől megy a dolog: IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT, ezt kiegeszitheted mondjuk source IP-vel, ha mindig ugyanonnan akarsz kapcsolodni).

a masik problemarol (ftp) fogalmam sincs...

Üdv

a szerverre kapcsolódó 2 helyi hálós kliensnek nem kell engedélyezni portokat, ha egymással akarnak kommunikálni? nem kell semmit állítani e témában az iptablessel?

up!

a a két kliens a gw-n megy át, nem külön switchen vannak akkor kell
echo 1 > /proc/.../ipv4_forward vagy vmi iesmi(tabtabtab).
és a FORWARD policy legyen accept. ennyi.
Üdv.: steveetm

ok, köszi, csak ennyi? mert ez benne van nálam... kellett a netosztáshoz...

Hello! A linuxos gépemen forwardolva van 2 port... az egyik a dc-nek a másik pedig a Bitcomet-nek (torrentkliens).. na ha Bitcomet fut akkor nagyon gáz lesz a dc upload szinte semmi, vagyis mindig lenullázódik, letölteni is sz@rul tölt olyankor, szinte olyan mintha nem is lennék aktiv, és még lassú is... Ez mi miatt lehet? Ennyit eszik a Bitcomet? (azon közben jönnek jól a cuccok) De miért van ez így, miért élvez nagyobb prioritást a Bitcomet? Nem lehet linux alatt megoldani, hogy az a port ahova a DC van forwardolva az nagyobb prioritást élvezzen? vagy valami más mnegoldás (lehetőleg ingyenes) , nem kell, hogy iptables legyen....

ahhot , hogy ICQ-val fileokat tudjak fogadni, milyen portot kell forwardolni az icq-s gépre?

up!

Hali!
Ha esetleg valaki tudna segiteni iptables kerdesben annak orulnek.

Egy iptables alapu tuzfalat konfiguralok fel. Nem is volt semmi problemam egesz addig amig port forwarding-ra nem lett szuksegem. Hozzadtam a tablakhoz az
''iptables -t nat -A PREROUTING -d $PUB_IP -p tcp --dport 110 -j DNAT --to 192.168.100.2'' szabalyt... semmi. ($PUB_IP a publikus IP cimet adja). Aztan megprobaltam lecserelni a fentebb is irt ''iptables -t nat -p tcp -i ppp0 --dport 110 -j NAT --to 192.168.0.65:110'' szabalyra. Meg mindig semmi. Vegul az osszes szabalyt eltavolitottam a ROUTING, INPUT, es OUTPUT sorokbol, igy biztosan semmi nem blokkolhatja a port tovabbitast. Azonban meg mindig semmi.
A celgepen a szolgaltatas mukodik (ellenoriztem telnettel es levelezo programmal is) ugyhogy nem igazan tudom mi lehet a problema. Elmeletileg barmelyik szaballyal mukodne kene, hogy a 110-es portra bejelentkezve (kivulrol) hozzáferhessek a szolgaltatashoz, azonban ez megse mukodik, ''Connection Refused'' uzenetet ad.

Ha valaki tud valami okosat, kerem irjon.

Zavard össze a világot: mosolyogj Hétfőn

gondolom a netosztó a linuxos gép. nálam így működik a a port továbbítás:

pl. a dc-hez, de szerintem neked is így kellene beírnod...

iptables -I FORWARD -p tcp -d 192.168.0.10 --dport 1412 -j ACCEPT

iptables -I FORWARD -p udp -d 192.168.0.10 --dport 1412 -j ACCEPT

iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 1412 -j DNAT --to 192.168.0.10:1412

iptables -A PREROUTING -t nat -p udp -i ppp0 --dport 1412 -j DNAT --to 192.168.0.10:1412

itt udp és tcp portra is megvan csinálva, de nálad szerintem elég lenne csak a tcp, bár mittomén, és így én aktiv tudok lnni dc-ben...

a portok ill. ip-k helyére a nálad megfelelőt kell írni, de gondolom erre magadtól is rájöttél...

na! még egy kérdés, a netosztó gépemen a következő a konfig és probléma: Bővebben: link az érdekelne, hogy mit kellene beírni az iptables szabályokhoz, hogy a helyi hálzat gépeit ne szűrje ki vagy valami ilyesmi, mert lehet, hogy az iptables miatt van gond..., mert ''szinte'' nem is látjuk egymást , pingelni tudjuk egymást jol de nagyon lassú bármilyen más kapcsolat...

hello! Már lehet kérdeztemk, de ahhoz, hogy az iptablest futtató gépen AKTIV LEGYEN A P2P KLIENS MIT KELL CSINÁLNI, TEHÁT SAJÁTGÉPRE HOGYAN KELL PORTOT MEGNYITNI? beragadt a caps lock

up! segítsetek! mert e fent emlitett megoldással nem aktiv..

up!

Szvsz csak simán accept policy-t állítasz be minden forgalomra, ami arra a portra irányul...

Aki hülye, haljon meg!

és azt , hogy kell pontosan?

up!

iptables-save - val lementett cuccal mit lrtek? azt hova kell berakni és milyen néven, hjogy ujrainditas utann alkalmazza azokat a szabályokat? vagy nem arra való?

up

gépet (ip-t) letiltani... illetve, hogy csak bizonyos ip-k(gépek) tudjanak netezni, hogyan kell megoldani?

up!

mi van? senki sem tud az előző pár kérdésemre választ adni?

gépet (ip-t) letiltani... illetve, hogy csak bizonyos ip-k(gépek) tudjanak netezni, hogyan kell megoldani?

up

Beraksz egy drop policy-t azokra a cuccokra, ahol aforrás IP az amit tiltani akarsz.

Vagy csak azokra állítod be a forwardolást/NAT-ot, amelyekre engedélyezni akarod.

Szintaktikát sajnos nem vágom, mert SUSE-t használok, és a SuSEFirewall saját scriptnyelvén keresztül vezérlem az iptablest...

[Szerkesztve]

Aki hülye, haljon meg!

köszi, hogy válaszra méltattál...

a helyi háló gépeire nem kell valami iptables szabályt beállítani, hogy egymással jól tudjanak kommunikálni? vagy azt nem nézi az IPTABLES?

up

a 2 winxp-s kliensen VLC-vel akarunk filmet nézni úgy , hogy az egyik nyomja ki ahálóra a filmet multicast, tehár 224.*.*.* ip-vel, és az a gond, hogy ezt nem nagyon akarja átengedni a linux, ezt meg lehet oldani iptablessel? Azért kellene multicast, mert csak akkor megoldható, hogy egyszerre menjen mindkét gépen a cucc. Ezt meglehet oldani valahogyan?