[LUGOS] iptables

Dalibor lugos at ice.si
Fri Feb 4 14:38:58 CET 2005


1. ta masina sluzi kot router in zato ves promet gre preko te masine. 
zato je v forward pravilu.!?
mail.xxx.si pa je v dmz na drugem routerju
2. pred tem ni nobenega pravila, ki bi metal pakete stran. Taka pravila 
dajem ponavadi na konec.

Jure Koren wrote:

>On Fri, 04 Feb 2005 10:06:20 +0100, Dalibor <lugos at ice.si> wrote:
>  
>
>>Imam rule:
>>$IPTABLES -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport
>>20,21,80,119,143,443,995,32322 -j ACCEPT
>>
>>Vendar se ne morem povezati na sshd preko 32322 porta.
>>tcpdump
>>09:57:11.253476 192.168.1.36.1941 > mail.xxx.si.32322: S
>>2988483489:2988483489(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
>>09:57:14.233469 192.168.1.36.1941 > mail.xxx.si.32322: S
>>2988483489:2988483489(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
>>09:57:20.168566 192.168.1.36.1941 > mail.xxx.si.32322: S
>>2988483489:2988483489(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
>>V čem je problem?? Vsi ostali porti so lepo dosegljivi. V primeru ko
>>flusham vsa pravila stvar (očitno) dela. :)
>>    
>>
>
>1. tvoj rule gre v FORWARD chain, cisto na koncu. FORWARD je samo za
>pakete, ki gredo SKOZI racunalnik. Skratka ce je mail.xxx.si dejansko
>za tem racunalnikom v nekem zascitenem omrezju, OK, sicer pa moras to
>nastavit na INPUT chainu.
>
>2. -A FORWARD pomeni, da pravilo das cisto na konec. Ce je pred tem
>pravilo, ki pakete mece stran, potem ti paketi ne bodo nikoli prisli
>do tega pravila, ki bi jih spustilo skoz.
>_______________________________________________
>lugos-list mailing list
>lugos-list at lugos.si
>http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>
>  
>


More information about the lugos-list mailing list