[Comm] HELP! Проброс портов через файрволл с политикой DROP

=?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_socenter=2Eru?= =?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_socenter=2Eru?=
Пт Сен 3 10:49:39 MSD 2004 

On Fri, 03 Sep 2004 10:17:23 +0400
Alexey Morsov <samurai на ricom.ru> wrote:

> 
> Maxim.Savrilov на socenter.ru wrote:
> > Здравствуйте!
> > 
> > Есть файрволл, на котором на всех цепочках по-умолчанию политика DROP
> > Если мне нужно было какой-то сервис открыть, то я дописывал просто
> > соответствующие правила и все работало.
> > 
> > Но понадобилось пробросить порты с внешнего интерфейса во внутреннюю сетку.
> Я правильно понял - надо чтобы кто-то из интернета (внешней сети) 
>   мог подключаться (т.е. инициировать соединение) к некой вашей 
> машине в локальной сетке (т.е. в фейковом пространстве адресов)?

Да, все так и есть.


> > $CLIENT_IP - ip клиента из внешней сети
> > $SERVER_IP - ip сервера из внутренней сети
> По коду iptables - вот вы в FORWARD только server задействовали - 
> а как же клиент?
> И вообще- можно весь iptables в студию?

А так понимаю, что если я не указываю конкретный ip, то там ставится 0.0.0.0/0, т.е. все адреса

вот тут мой iptables. Все правила для проброса добавляю пока вручную в шелле,
поэтому их тут нет

Правил дофига, брал из какого-то скрипта, пробегавшего в этой же рассылке.

# Generated by iptables-save v1.2.7a on Thu Sep  2 15:28:28 2004
*nat
:PREROUTING ACCEPT [2001848:218448129]
:POSTROUTING ACCEPT [1181956:79241549]
:OUTPUT ACCEPT [1209217:78494570]
[19442:934620] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i $INT_IF -p tcp -m tcp --dport 80 -j DROP 
[31:1488] -A PREROUTING -d ! 192.168.0.0/255.255.255.0 -i ppp1 -p tcp -m tcp --dport 80 -j DROP 
[8539:409856] -A PREROUTING -i $INT_IF -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 8081 
COMMIT
# Completed on Thu Sep  2 15:28:28 2004
# Generated by iptables-save v1.2.7a on Thu Sep  2 15:28:28 2004
*mangle
:PREROUTING ACCEPT [180250253:104012957492]
:INPUT ACCEPT [180415134:104137913486]
:FORWARD ACCEPT [2995441:1932619446]
:OUTPUT ACCEPT [182035824:72491054391]
:POSTROUTING ACCEPT [188661720:76333214483]
COMMIT
# Completed on Thu Sep  2 15:28:28 2004
# Generated by iptables-save v1.2.7a on Thu Sep  2 15:28:28 2004
*filter
:INPUT DROP [8300:251386]
:FORWARD DROP [54:10868]
:OUTPUT DROP [3:368]
[12422273:3856342276] -A INPUT -i lo -j ACCEPT 
[154335439:91451482717] -A INPUT -s 192.168.0.0/255.255.255.0 -i $INT_IF -j ACCEPT 
[201144:20771089] -A INPUT -s 192.168.0.0/255.255.255.0 -i ppp1 -j ACCEPT 
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
[4:192] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 3306 -j DROP 
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
[588:31288] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 8080 -j DROP 
[1022:48296] -A INPUT -i $EXT_IF -p tcp -m tcp --dport 80 -j DROP 
[0:0] -A INPUT -s $EXT_IP -j DROP 
[0:0] -A INPUT -s 10.0.0.0/255.0.0.0 -j DROP 
[0:0] -A INPUT -s 172.16.0.0/255.240.0.0 -j DROP 
[0:0] -A INPUT -s 255.255.255.255 -j DROP 
[0:0] -A INPUT -d 0.0.0.0 -j DROP 
[0:0] -A INPUT -s 224.0.0.0/240.0.0.0 -j DROP 
[0:0] -A INPUT -s 240.0.0.0/248.0.0.0 -j DROP 
[9550:3444514] -A INPUT -s 0.0.0.0/255.0.0.0 -j DROP 
[0:0] -A INPUT -s 127.0.0.0/255.0.0.0 -j DROP 
[0:0] -A INPUT -s 169.254.0.0/255.255.0.0 -j DROP 
[0:0] -A INPUT -s 192.0.2.0/255.255.255.0 -j DROP 
[0:0] -A INPUT -s 224.0.0.0/224.0.0.0 -j DROP 
[1381:1111760] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 9000 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A INPUT -s 69.25.23.163 -d $EXT_IP -i $EXT_IF -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[57:2166] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j DROP 
[288120:57522455] -A INPUT -s 217.70.120.18 -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT 
[18:2284] -A INPUT -s 217.70.120.18 -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[78681:14730760] -A INPUT -s 217.71.128.65 -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT 
[0:0] -A INPUT -s 217.71.128.65 -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[5955144:5019625486] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 80 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[927875:105585542] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 443 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[12857:8072270] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 8080 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 119 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[824424:367013038] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[1202619:733002295] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport 25 -j ACCEPT 
[341059:15236375] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[187382:13533811] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --dport 995 -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 995 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[4147:354180] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 513:65535 --dport 22 -j ACCEPT 
[3162:306903] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 22 --dport 1022:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[45:2838] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 23 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[879:51980] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT 
[8373:336598] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 123 --dport 123 -j ACCEPT 
[12514:951064] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 123 --dport 123 -j ACCEPT 
[25:4315] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 43 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 79 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[4779:345420] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[4680:6677415] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 6667 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[35268:1626746] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT 
[1:40] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[329145:405298696] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 873 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p tcp -m tcp --sport 2000:4000 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p udp -m udp --sport 4000 --dport 1024:65535 -j ACCEPT 
[16:1344] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 0 -j ACCEPT 
[4619:395281] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 3 -j ACCEPT 
[115:6440] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 4 -j ACCEPT 
[824:59656] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 11 -j ACCEPT 
[0:0] -A INPUT -d $EXT_IP -i $EXT_IF -p icmp -m icmp --icmp-type 12 -j ACCEPT 
[36538:1760934] -A INPUT -i $EXT_IF -p tcp -j DROP 
[460:45404] -A INPUT -i $EXT_IF -p udp -m udp --dport 0:1023 -j DROP 
[287:145873] -A INPUT -i $EXT_IF -p udp -m udp --dport 1024:65535 -j DROP 
[0:0] -A INPUT -i $EXT_IF -p icmp -m icmp --icmp-type 5 -j DROP 
[0:0] -A INPUT -i $EXT_IF -p icmp -m icmp --icmp-type 13/255 -j DROP 
[0:0] -A INPUT -s 192.168.0.245 -d 192.168.0.1 -p tcp -m tcp --dport 8080 -j DROP 
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
[0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $INT_IF -j DROP 
[0:0] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i ppp1 -j DROP 
[2673053:1796453766] -A FORWARD -s 192.168.0.0/255.255.255.0 -i $INT_IF -m state --state NEW,ESTABLISHED -j ACCEPT 
[211835:29932313] -A FORWARD -s 192.168.0.0/255.255.255.0 -i ppp1 -m state --state NEW,ESTABLISHED -j ACCEPT 
[73857:98151633] -A FORWARD -s ! 192.168.0.0/255.255.255.0 -i $EXT_IF -m state --state RELATED,ESTABLISHED -j ACCEPT 
[33:1716] -A FORWARD -i $EXT_IF -m state --state INVALID,NEW -j REJECT --reject-with icmp-port-unreachable 
[12422273:3856342276] -A OUTPUT -o lo -j ACCEPT 
[158957809:66817982745] -A OUTPUT -d 192.168.0.0/255.255.255.0 -o $INT_IF -j ACCEPT 
[211243:157350959] -A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp1 -j ACCEPT 
[694:26372] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT 
[292500:23517391] -A OUTPUT -s $EXT_IP -d 217.70.120.18 -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT 
[21:993] -A OUTPUT -s $EXT_IP -d 217.70.120.18 -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT 
[123795:9505270] -A OUTPUT -s $EXT_IP -d 217.71.128.65 -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -d 217.71.128.65 -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT 
[6051166:687660100] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT 
[967822:63867440] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT 
[16090:1881119] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 8080 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 119 -j ACCEPT 
[856329:37397021] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 143 -j ACCEPT 
[1105920:58145772] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 25 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[471210:635555160] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT 
[185748:113083297] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 995 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 995 -j ACCEPT 
[4433:645801] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 22 --dport 513:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[4128:247876] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1022:65535 --dport 22 -j ACCEPT 
[48:2017] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 23 -j ACCEPT 
[879:35160] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 113 --dport 1024:65535 -j ACCEPT 
[8728:452005] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 123 --dport 123 -j ACCEPT 
[12879:978804] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 123 --dport 123 -j ACCEPT 
[33:1452] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 43 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 79 -j ACCEPT 
[5349:262840] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT 
[2869:115252] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 6667 -j ACCEPT 
[31726:1854942] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT 
[228933:19144465] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
[7865:408980] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 873 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p tcp -m tcp --sport 1024:65535 --dport 2000:4000 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p udp -m udp --sport 1024:65535 --dport 4000 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 3/4 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 4 -j ACCEPT 
[34:2856] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 8 -j ACCEPT 
[0:0] -A OUTPUT -s $EXT_IP -o $EXT_IF -p icmp -m icmp --icmp-type 12 -j ACCEPT 
[65135:4634113] -A OUTPUT -o $EXT_IF -j REJECT --reject-with icmp-port-unreachable 
COMMIT
# Completed on Thu Sep  2 15:28:28 2004



> 

-- 
>как там у вынь с fork()-ом то?
отлично, ставишь cygwin и отлично х!@#$%ь форки! (LOR)
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 307 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20040903/43db6ef6/attachment-0003.bin>

Подробная информация о списке рассылки community