Не открываются порты (помогите...)

[nikrzd]

Всем привет .

Случай такой , есть компьютер внутри сети , на нем радмин , делаю проброс портов :

Код: Выделить всё

[root@unix /]# iptables-save -c
# Generated by iptables-save v1.3.8 on Sun Feb  1 19:52:44 2009
*filter
:INPUT ACCEPT [1048153:126929791]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [844506:75333847]
[282210:122356169] -A FORWARD -j QUEUE
COMMIT
# Completed on Sun Feb  1 19:52:44 2009
# Generated by iptables-save v1.3.8 on Sun Feb  1 19:52:44 2009
*nat
:PREROUTING ACCEPT [625500:45592668]
:POSTROUTING ACCEPT [8566:378097]
:OUTPUT ACCEPT [75476:5045309]
[0:0] -A PREROUTING -s 0.0.0.0 -i eth2 -p tcp -m tcp --dport 18 -j DNAT --to-destination 192.168.80.10:18
[0:0] -A PREROUTING -s 0.0.0.0 -i eth2 -p udp -m udp --dport 18 -j DNAT --to-destination 192.168.80.10:18
[31350:1902425] -A POSTROUTING -o eth2 -j MASQUERADE
COMMIT

Потом сматрю nmap 192.168.1.2
Порт 18 неоткрылся =(

Код: Выделить всё

[root@unix /]# nmap 192.168.1.2

Starting Nmap 4.20 ( http://insecure.org ) at 2009-02-01 19:53 YEKT
Interesting ports on 192.168.1.2:
Not shown: 1691 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
411/tcp  open  rmt
443/tcp  open  https
3306/tcp open  mysql

Как быть ?

[skor]

Несколько вопросов:
Почему 18 порт? Вроде бы у радмина другой порт (и можно только TCP оставить).
Уверены что на виндовой машине на этом порту действительно кто-то что-то слушает?
По локальной сети пробовали подключаться к адресу 192.168.80.10:18?
Машина, на которой делается проброс, является шлюзом по умолчанию для 192.168.80.10?
192.168.1.2 - это адрес на eth2?
Пакеты не могут резаться в ПО которое ловит пакеты по -A FORWARD -j QUEUE ?

[nikrzd]

Да радмин слушает , и работает , а как тогда открыть этот порт ?

Шлюзом не является ...

[pelmen]

Нет слов вообще
1) Порт открывается на машине, где запущена серверная часть radmin брандмауером.
2) Машина начинает слушать на этом порту автоматически при запуске radmin
3) iptables -t nat -A PREROUTING ... - это не команда, которая открывает порт, это команда, которая перебрасывает порт
4) если ты из сетки коннектишься на 192.168.80.10:18 и все работает, значит порт открыт и слушается
5) но если 192.168.1.2 не является шлюзом по-умолчанию для этой машины, значит надо делать снат
iptables -t nat -A POSTROUTING -p tcp -d 192.168.80.10 --dport 18 -j SNAT --to-source 192.168.80.ip
6) nmap 192.168.1.2 - это делается с какой машины? Которыя за твоей линукс-тачкой находится относительно машины с радмин? Это она должна коннектиться туда?

[nikrzd]

Да делается проброс порта через Linux сервер во внутреннюю сеть , на сервер где стоит радмин .
Nmap делается на Linux сервере , через который планируется проброс.

[pelmen]

А почему ты тогда делаешь nmap 192.168.1.2 ?? а не 192.168.80.10 ? Если тачка - не шлюз, то сделай snat и не парься. А nmap наверное лучше делать с другой машины

[nikrzd]

другие машины windows =)

[skor]

1. NMAP запущеный на шлюзе не даст тебе нужную инфу об открытых портах, т.к. пакеты от NMAP-а не будут проходить через таблицу nat (туда будут попадать только пакеты пришедшие "снаружи").
2. Про DNAT+SNAT и шлюз по умолчанию уже сказали...
ЗЫ: меня все еще смущает 18-й порт...

[nikrzd]

И в инет выходит 192.168.1.2

Ну nmap показывает что открыт порт 22 и на него я конекчусь без проблем с инета .

[skor]

Правильно, потому что это локальный процесс sshd, который висит на порту 22.
Правила по пробросу портов к локальным процессам никакого отношения не имеют...

[nikrzd]

Блин а как быть ?

iptables -t nat -A POSTROUTING -p tcp -d 192.168.80.10 --dport 18 -j SNAT --to-source 192.168.80.ip

Тоже неработает =(

[skor]

Вместо 192.168.80.ip вы указали свой адрес в локальной сети?

[nikrzd]

Как проверить что порт на 192.168.1.2 открылся ? и работает проброс ?

skor
Да его указывал

[root@unix init.d]# iptables-save -c
# Generated by iptables-save v1.3.8 on Mon Feb 2 12:10:31 2009
*filter
:INPUT ACCEPT [1008894:123959200]
:FORWARD ACCEPT [2:114]
:OUTPUT ACCEPT [815356:73398109]
[233:83634] -A FORWARD -j QUEUE
COMMIT
# Completed on Mon Feb 2 12:10:31 2009
# Generated by iptables-save v1.3.8 on Mon Feb 2 12:10:31 2009
*nat
:PREROUTING ACCEPT [600347:43875605]
:POSTROUTING ACCEPT [6869:303429]
:OUTPUT ACCEPT [66141:4609341]
[0:0] -A POSTROUTING -d 192.168.80.10 -p tcp -m tcp --dport 45000 -j SNAT --to-source 192.168.80.10
[29:1408] -A POSTROUTING -o eth2 -j SNAT --to-source 192.168.1.2
COMMIT
# Completed on Mon Feb 2 12:10:31 2009

[skor]

Проверить снаружи (с какой либо машины в сети 192.168.1.x).
Кстати, сеть 192.168.1.x это что за сеть? Сеть провайдера? Или соединение с adsl-модемом?

[skor]

Эмм... а DNAT зачем убрали?
И почему в строчке
-A POSTROUTING -d 192.168.80.10 -p tcp -m tcp --dport 45000 -j SNAT --to-source 192.168.80.10
два одинаковых адреса? какой адрес у виндовой машины и какой адрес у linux-а?
и совершенно новый порт...

[nikrzd]

думаю может он не нужен ???

Так включил . Порт изменил на 45000 , радмин слушает на внутреннем сервере.
А вот через интернет не получается =(

[root@unix init.d]# iptables-save -c
# Generated by iptables-save v1.3.8 on Mon Feb 2 12:44:21 2009
*filter
:INPUT ACCEPT [1008940:123965672]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [815399:73401816]
[1788:788690] -A FORWARD -j QUEUE
COMMIT
# Completed on Mon Feb 2 12:44:21 2009
# Generated by iptables-save v1.3.8 on Mon Feb 2 12:44:21 2009
*nat
:PREROUTING ACCEPT [600455:43883005]
:POSTROUTING ACCEPT [6869:303429]
:OUTPUT ACCEPT [66143:4609488]
[0:0] -A PREROUTING -s 0.0.0.0 -i eth2 -p tcp -m tcp --dport 45000 -j DNAT --to-destination 192.168.80.10:45000
[0:0] -A PREROUTING -s 0.0.0.0 -i eth2 -p udp -m udp --dport 45000 -j DNAT --to-destination 192.168.80.10:45000
[0:0] -A POSTROUTING -d 192.168.1.2 -p tcp -m tcp --dport 45000 -j SNAT --to-source 192.168.80.10
[134:8348] -A POSTROUTING -o eth2 -j SNAT --to-source 192.168.1.2
COMMIT

Но также не работает =((((

[skor]

Какой адрес у linux-роутера в сети 192.168.80.x?

[nikrzd]

192.168.80.25

[skor]

Поставьте такие правила
-A PREROUTING -i eth2 -p tcp -m tcp -d 192.168.1.2 --dport 45000 -j DNAT --to-destination 192.168.80.10:45000
-A POSTROUTING -d 192.168.80.10 -p tcp -m tcp --dport 45000 -j SNAT --to-source 192.168.80.25
-A POSTROUTING -o eth2 -j SNAT --to-source 192.168.1.2

[pelmen]

[0:0] -A POSTROUTING -d 192.168.1.2 -p tcp -m tcp --dport 45000 -j SNAT --to-source 192.168.80.10

поменяй в конце на 25

[nikrzd]

eth2 используется как внешний интерфейс ?

[pelmen]

eth2 используется как внешний интерфейс ?

Это ты нас спрашиваешь ?

[skor]

И все же... что за сеть 192.168.1.x? Провайдер? Домашняя сеть? Модем?

[nikrzd]

Блин сам запутался и Вас запутал .
Теперь расскажу подробней .

192.168.1.2 Это Модем АДСЛЬ eth2
192.168.1.1 Это Шлюз модема

192.168.80.25 Этот ип смотри в локальную сеть .eth1

192.168.80.10:45000 Здесь сдит радмин на который пытаюсь прокинуть порт с модема

[skor]

Теперь еще и на модеме надо будет пробрасывать порты...

[nikrzd]

на модеме я пробросил .

[skor]

На какой адрес?

[nikrzd]

192.168.1.2

[pelmen]

и что? работает или нет?

Блин сам запутался и Вас запутал .
Теперь расскажу подробней .

192.168.1.2 Это Модем АДСЛЬ eth2
192.168.1.1 Это Шлюз модема

192.168.80.25 Этот ип смотри в локальную сеть .eth1

192.168.80.10:45000 Здесь сдит радмин на который пытаюсь прокинуть порт с модема

Если 1.1 - шлюз модема, а 1.2 - модем, то у Линукс-тачки какой адрес ? 1.3 ?

[nikrzd]

pelmen
Нет не работает =(

1.2 это ип eth2
и у него шлюз 1.1