[LUGOS] iptables

Jure Koren idiots at gmail.com
Fri Feb 4 13:17:20 CET 2005


On Fri, 04 Feb 2005 10:06:20 +0100, Dalibor <lugos at ice.si> wrote:
> Imam rule:
> $IPTABLES -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport
> 20,21,80,119,143,443,995,32322 -j ACCEPT
> 
> Vendar se ne morem povezati na sshd preko 32322 porta.
> tcpdump
> 09:57:11.253476 192.168.1.36.1941 > mail.xxx.si.32322: S
> 2988483489:2988483489(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
> 09:57:14.233469 192.168.1.36.1941 > mail.xxx.si.32322: S
> 2988483489:2988483489(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
> 09:57:20.168566 192.168.1.36.1941 > mail.xxx.si.32322: S
> 2988483489:2988483489(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
> V čem je problem?? Vsi ostali porti so lepo dosegljivi. V primeru ko
> flusham vsa pravila stvar (očitno) dela. :)

1. tvoj rule gre v FORWARD chain, cisto na koncu. FORWARD je samo za
pakete, ki gredo SKOZI racunalnik. Skratka ce je mail.xxx.si dejansko
za tem racunalnikom v nekem zascitenem omrezju, OK, sicer pa moras to
nastavit na INPUT chainu.

2. -A FORWARD pomeni, da pravilo das cisto na konec. Ce je pred tem
pravilo, ki pakete mece stran, potem ti paketi ne bodo nikoli prisli
do tega pravila, ki bi jih spustilo skoz.


More information about the lugos-list mailing list