Anunţ

Caută printre mesajele de pe forum înainte de a scrie unul nou!
Formulează corect întrebarea sau problema pe care o ai.
Respectă regulile forumului și Codul de Conduită!

#1 11 May 2020 21:33:43

alex82
Membru nou
Înregistrat: 11 May 2020
Mesaje: 8

Iptables-port forward

Salutari,

Sunt nou pe forum si postez prima oara. Sper sa nu gresesc din prima smile.

Am o problema cu port forward in iptables. Am atasat o schita cu schema logica, cu fisierul iptables, cu fisierul apache si cu un exemplu de output dat de firewall pentru a se intelege mai bine ceea ce explic mai jos.

Am acasa doua routere, unul este dat de ISP (telekom vdsl) si al doilea router este un laptop cu ubuntu pe el. BIneinteles am doua placi de retea.

Routerul telekom are ip-ul intern 192.168.1.1. Interfata (enp2s0) legata cu routerul telekom are ip-ul 192.168.1.2. Interfata (enxd0374550493c) laptopului care da dhco-ul catre celelalte calculatoare are ip-ul 192.168.0.1 si da ip-uri in range-ul 0.100-0.110.
Serverul apache este pe ip-ul 192.168.0.1.
Ideea este ca nu pot accesa serverul apache in exterior. Imi tot blocheaza firewall-ul (iptables) accesul la serverul apache.

Multumesc in avans pentru raspunsuri

https://imageshack.com/i/pmsYFqOhj
https://imageshack.com/i/pnyI7F3yj
https://imageshack.com/i/posDWNbXj
https://imageshack.com/i/pnuNy48Zj


Nu stiu daca am facut upload correct, nu prea am inteles. Mi-am facut cont la imageshack si acolo n-am stiut cum se face altfel

Offline

 

#2 12 May 2020 22:05:58

CockoX
Membru nou
Locaţie: Bucharest
Înregistrat: 29 Jul 2018
Mesaje: 9

Re: Iptables-port forward

Salut.
La *filter trebuie sa permiti forward "traficului" care vine de pe interfata enp2s0 pe portul 80:
Daca am intuit bine atunci ar trebui sa fie suficient adaugarea liniei de mai jos la configuratia pe care o ai deja:

-A FORWARD -i enp2s0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

Practic ai nevoie doar de cele patru linii de mai jos pentru a obtine rezultatul dorit:

iptables -A FORWARD -o enp2s0 -i enxd0374550493c -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
iptables -t nat -A PREROUTING -i enp2s0 -p tcp --dport 80 -j DNAT --to 192.168.0.1:8065
iptables -A FORWARD -i enp2s0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

Primele doua sunt echivalentul, Internet Connection Share, iar ultimele doua forwardeaza traficul ce vine pe enp2s0 port 80 catre 192.168.0.1:8065 din LAN-ul tinut pe interfata enxd0374550493c

Editat ultima oară de CockoX (12 May 2020 22:08:37)

Offline

 

#3 13 May 2020 21:41:34

alex82
Membru nou
Înregistrat: 11 May 2020
Mesaje: 8

Re: Iptables-port forward

CockoX a scris:

Salut.
La *filter trebuie sa permiti forward "traficului" care vine de pe interfata enp2s0 pe portul 80:
Daca am intuit bine atunci ar trebui sa fie suficient adaugarea liniei de mai jos la configuratia pe care o ai deja:

-A FORWARD -i enp2s0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

Practic ai nevoie doar de cele patru linii de mai jos pentru a obtine rezultatul dorit:

iptables -A FORWARD -o enp2s0 -i enxd0374550493c -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
iptables -t nat -A PREROUTING -i enp2s0 -p tcp --dport 80 -j DNAT --to 192.168.0.1:8065
iptables -A FORWARD -i enp2s0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

Primele doua sunt echivalentul, Internet Connection Share, iar ultimele doua forwardeaza traficul ce vine pe enp2s0 port 80 catre 192.168.0.1:8065 din LAN-ul tinut pe interfata enxd0374550493c

Salut, merci frumos pentru raspuns. Am adaugat randurile si tot nu merge.
Output-ul din firewall este acelasi
Repun fisierul iptables. Ideea este ca daca adaug linia:
-A FORWARD -o enp2s0 -i enxd0374550493c -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
si sterg linia
-A FORWARD -i enxd0374550493c -o enp2s0 -j ACCEPT
nu mai am net in reteaua 192.168.0.0/24.
Partea cu portul 2233 este pentru ssh si fucntioneaza.

https://imagizer.imageshack.com/img924/1481/0ywc2p.jpg

Editat ultima oară de alex82 (13 May 2020 21:44:04)

Offline

 

#4 14 May 2020 07:18:13

CockoX
Membru nou
Locaţie: Bucharest
Înregistrat: 29 Jul 2018
Mesaje: 9

Re: Iptables-port forward

Propun sa facem putin curat prin reguli si sa incerci setup-ul de mai jos. Regulile propuse asigura doar partea functionala a configuratiei tale si reprezinta un punct de plecare. Daca totul functioneaza asa cum vrei poti face ulterior aceste reguli mai stricte. Bineinteles, inainte sa aplici ce am propus mai jos te rog sa faci back-up la setarile actuale.

Cod:

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enxd0374550493c -o enp2s0 -j ACCEPT
-A FORWARD -i enp2s0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A FORWARD -i enp2s0 -p tcp -m tcp --dport 2233 -m state --state NEW -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i enp2s0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:8065
-A PREROUTING -i enp2s0 -p tcp -m tcp --dport 2233 -j DNAT --to-destination 192.168.0.1:2233
-A POSTROUTING -o enp2s0 -j MASQUERADE
COMMIT

Offline

 

#5 14 May 2020 13:28:43

alex82
Membru nou
Înregistrat: 11 May 2020
Mesaje: 8

Re: Iptables-port forward

Diseara sau maine incerc si te tin la curent. Merci pentru ajutor

Am lasat si linia pentru portul 2233 care este pentru ssh. Pentru ssh imi functioneaza perfect forwardingul

Offline

 

#6 14 May 2020 21:05:15

alex82
Membru nou
Înregistrat: 11 May 2020
Mesaje: 8

Re: Iptables-port forward

Salut, am facut incercarea si tot nu merge. La ceea ce mi-ai dat am adaugat si partea de log.

Cod:

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:LOGGING - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j LOGGING
-A FORWARD -i enxd0374550493c -o enp2s0 -j ACCEPT
-A FORWARD -i enp2s0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A FORWARD -i enp2s0 -p tcp -m tcp --dport 2233 -m state --state NEW -j ACCEPT
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: "
-A LOGGING -j DROP
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i enp2s0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:8065
-A PREROUTING -i enp2s0 -p tcp -m tcp --dport 2233 -j DNAT --to-destination 192.168.0.1:2233
-A POSTROUTING -o enp2s0 -j MASQUERADE
COMMIT

Ideea este in felul urmator. Frame-ul vine in WAN (router isp) pe portul 80. Prin urmare am deschis portul 80 catre 192.168.1.2. Ajunge in interfata enp2s0 si da frameul mai departe ip-ului 192.168.0.1 pe portul 8065 (prerouting). Teortic, pe urma ar trebui sa ajunga la destinatie la apache care asculta pe portul 80 si redirectioneaza pe 8065. Ceva de genul asta este? smile

CockoX a scris:

Propun sa facem putin curat prin reguli si sa incerci setup-ul de mai jos. Regulile propuse asigura doar partea functionala a configuratiei tale si reprezinta un punct de plecare. Daca totul functioneaza asa cum vrei poti face ulterior aceste reguli mai stricte. Bineinteles, inainte sa aplici ce am propus mai jos te rog sa faci back-up la setarile actuale.

Editat ultima oară de alex82 (15 May 2020 16:54:44)

Offline

 

#7 15 May 2020 16:50:09

alex82
Membru nou
Înregistrat: 11 May 2020
Mesaje: 8

Re: Iptables-port forward

Pe configuratia de mai sus nu-mi mai merge nici pe ssh sa-l accesez intern si nici extern. Cercetez in continuare smile

Offline

 

#8 16 May 2020 01:40:42

dim
Membru
Locaţie: Bucuresti
Înregistrat: 30 Oct 2007
Mesaje: 162

Re: Iptables-port forward

Ce versiune de ubuntu ai? Nu ar trebui sa te orientezi spre nftables in loc de iptables? Cred ca ti-ai usura viata si ai avea niste reguli future-proof.

Offline

 

#9 17 May 2020 15:04:48

alex82
Membru nou
Înregistrat: 11 May 2020
Mesaje: 8

Re: Iptables-port forward

Ubuntu 20.04 LTS. Am cautat tutoriale dar nu prea am gasit, ceva pe intelesul meu 🙂

Din pacate ma frământă si ideea de ce nu-mi iese acel port forward 🙂

Editat ultima oară de alex82 (17 May 2020 15:24:03)

Offline

 

#10 31 May 2020 19:48:34

alex82
Membru nou
Înregistrat: 11 May 2020
Mesaje: 8

Re: Iptables-port forward

Am gasit care era problema, Trebuie sa adaug si in "chain-ul" INPUT portul 80

Offline

 
Feed

Antet forum

Powered by FluxBB