Aiuto per configurazione iptables [messaggio #40627] |
dom, 24 luglio 2011 09:30 |
Michele Barbato Messaggi: 72 Registrato: gennaio 2011 |
Member |
|
|
Server ubuntu con doppia scheda di rete. Tale server ha IP 192.168.1.115
verso il router e 192.168.0.2 verso la LAN.
Devo impostare un portforward su iptable in modo che tutto il traffico che
entra nella porta 9001 lato router vada a finire sempre nella porta 9001 di
una telecamera ip che sta nella lan ed ha indirizzo 192.168.0.7.
Chiedo cortesemente aiuto per la corretta definizione del comando iptables.
Grazie.
Mik
|
|
|
|
|
|
|
|
|
Re: Aiuto per configurazione iptables [messaggio #40639 è una risposta a message #40638] |
dom, 24 luglio 2011 16:35 |
Alessandro Selli Messaggi: 242 Registrato: novembre 2010 |
Senior Member |
|
|
Michele Barbato ha scritto:
>>> ma non ho risultati apprezzabili, nel senso che quando da fuori entro in
>>> http://pincopallo.dyndns.org:9001 non avviene nessun forward verso la
>>> porta
>>> 9001 di 192.168.0.7.
>>
>> Sicuro? Il contatore della regola rimane a zero?
>>
>
> Ecco, questa sarebbe una verifica utile. Come si fa a vedere il contatore
> della regola ?
Da man iptables(8):
-v, --verbose
Verbose output. This option makes the list command
show the interface name, the rule options (if any),
and the TOS masks. The packet and byte counters are
also listed, with the suffix 'K', 'M' or 'G' for
1000, 1,000,000 and 1,000,000,000 multipliers
respectively (but see the -x flag to change this).
Ciao,
--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.
|
|
|
|
|
Re: Aiuto per configurazione iptables [messaggio #40646 è una risposta a message #40643] |
dom, 24 luglio 2011 21:58 |
Michele Barbato Messaggi: 72 Registrato: gennaio 2011 |
Member |
|
|
Ok, questo dovrebbe andare.
mauro@stefano-desktop:/home/stefano/public_html/lust/main/ch art2$ sudo
iptables -L -v -t nat
Chain PREROUTING (policy ACCEPT 29883 packets, 4200K bytes)
pkts bytes target prot opt in out source
destination
0 0 DNAT tcp -- eth0 any anywhere anywhere
tcp dpt:9001 to:192.168.0.7
15 720 DNAT tcp -- eth1 any anywhere anywhere
tcp dpt:9001 state NEW,RELATED,ESTABLISHED to:192.168.0.7
0 0 DNAT tcp -- eth1 any anywhere anywhere
tcp dpt:9001 to:192.168.0.7:9001
0 0 DNAT tcp -- eth1 any anywhere anywhere
tcp dpt:9001 to:192.168.0.7
725 34800 REDIRECT tcp -- eth0 any anywhere anywhere
tcp dpt:www redir ports 8080
0 0 DNAT tcp -- eth1 any anywhere anywhere
tcp dpt:9001 to:192.168.0.7:9001
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
354K 29M MASQUERADE all -- any any anywhere
anywhere
Chain OUTPUT (policy ACCEPT 334K packets, 26M bytes)
pkts bytes target prot opt in out source
destination
1312 78720 REDIRECT tcp -- any any anywhere anywhere
! owner UID match proxy tcp dpt:www redir ports 8080
Da quello che capisco:
- il contatore nella seconda riga che qui è a 15, quando tento di accedere
dall'esterno alla porta 9001 viene incrementato quindi la regola parrebbe
funzionare tuttavia non ho risposte dalla telecamera.
- le altre regole che si vedono nella stessa tabella, relative sempre
all'indirizzo 192.168.0.7, sono alcune prove che ho fatto: prima ho cambiato
l'interfaccia di rete e poi ho provato ad indicare la porta dopo l'IP.
Potrebbero creare confusione ?
Thanks again.
Mik
|
|
|
Re: Aiuto per configurazione iptables [messaggio #40714 è una risposta a message #40646] |
lun, 25 luglio 2011 19:47 |
Alessandro Selli Messaggi: 242 Registrato: novembre 2010 |
Senior Member |
|
|
Michele Barbato ha scritto:
> Ok, questo dovrebbe andare.
>
> mauro@stefano-desktop:/home/stefano/public_html/lust/main/ch art2$ sudo
> iptables -L -v -t nat
> Chain PREROUTING (policy ACCEPT 29883 packets, 4200K bytes)
> pkts bytes target prot opt in out source
> destination
> 0 0 DNAT tcp -- eth0 any anywhere anywhere
> tcp dpt:9001 to:192.168.0.7
> 15 720 DNAT tcp -- eth1 any anywhere anywhere
> tcp dpt:9001 state NEW,RELATED,ESTABLISHED to:192.168.0.7
> 0 0 DNAT tcp -- eth1 any anywhere anywhere
> tcp dpt:9001 to:192.168.0.7:9001
> 0 0 DNAT tcp -- eth1 any anywhere anywhere
> tcp dpt:9001 to:192.168.0.7
> 725 34800 REDIRECT tcp -- eth0 any anywhere anywhere
> tcp dpt:www redir ports 8080
> 0 0 DNAT tcp -- eth1 any anywhere anywhere
> tcp dpt:9001 to:192.168.0.7:9001
>
> Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source
> destination
> 354K 29M MASQUERADE all -- any any anywhere
> anywhere
>
> Chain OUTPUT (policy ACCEPT 334K packets, 26M bytes)
> pkts bytes target prot opt in out source
> destination
> 1312 78720 REDIRECT tcp -- any any anywhere anywhere
> ! owner UID match proxy tcp dpt:www redir ports 8080
>
>
> Da quello che capisco:
> - il contatore nella seconda riga che qui è a 15, quando tento di accedere
> dall'esterno alla porta 9001 viene incrementato quindi la regola parrebbe
> funzionare tuttavia non ho risposte dalla telecamera.
Prova a sniffare i pacchetti di risposta, ossia i pacchetti in
ingresso sulla eth0 con porta di origine 9001.
> - le altre regole che si vedono nella stessa tabella, relative sempre
> all'indirizzo 192.168.0.7, sono alcune prove che ho fatto: prima ho cambiato
> l'interfaccia di rete e poi ho provato ad indicare la porta dopo l'IP.
> Potrebbero creare confusione ?
Soltanto all'amministratore che legge le tabelle. :-)
Cancellale pure.
Ciao,
--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.
|
|
|
|
Re: Aiuto per configurazione iptables [messaggio #40743 è una risposta a message #40725] |
mar, 26 luglio 2011 14:28 |
Michele Barbato Messaggi: 72 Registrato: gennaio 2011 |
Member |
|
|
> Secondo me c'è qualche errore nelle regole impostate in precedenza, che
> ripeto:
>
> iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner proxy --dport
> 80 -j REDIRECT --to-port 8080
> sysctl -w net.ipv4.ip_forward=1
> iptables -t nat -I POSTROUTING -j MASQUERADE
> iptables -F FORWARD
> iptables -P FORWARD ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -i eth1 -o eth0 -j REJECT
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
> REDIRECT --to-port 8080
>
> alle quali va aggiunta quella che mi hai consigliato.
>
> Ad esempio non capisco questa: iptables -A FORWARD -i eth1 -o eth0 -j
> REJECT
> letta da ignorante parrebbe che tutto quello che entra in eth1 ed esce in
> eth0 debba essere rejected.
>
Ho cancellato le regole di forward e reimpostato tutto come sopra ma SENZA
questa regola:
iptables -A FORWARD -i eth1 -o eth0 -j REJECT
Ora funziona, cioè il redirect verso la porta 9001 va ed accedo alla
telecamera dall'esterno.
Immagino però di aver rimosso un importante elemento di sicurezza che nella
mia conoscenza caprina non riesco a ripristinare senza perdere la
funzionalità della porta 9001.
Mik
|
|
|