Открытие в iptables доступа к ресурсу

@Rumpelstiltskin · Регистрация: 04.03.2013

Студворк — интернет-сервис помощи студентам

Доброго времени суток. Настраиваю випнэт клиент, для связи с сервером координатора необходимо чтобы, на прокси (debian) был открыт на вход и на выход порт UDP 55777 и должен проходить «пинг» на адрес координатора 188.254.71.89 .

не силен в iptables - помогите настроить, что нужно прописать, чтоб заработал?
заранее спасибо!

@s0x90 · 28.10.2014, 17:04

Bash
1
iptables -L --line-numbers

Покажите вывод. По умолчанию в Debian политика ACCEPT для входящих и исходящих пакетов.

@Rumpelstiltskin · 28.10.2014, 17:18 **[ТС]**

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2574
2    ACCEPT     udp  --  anywhere             anywhere            udp dpt:2574
3    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:8090
4    ACCEPT     udp  --  anywhere             anywhere            udp dpt:8090
5    ACCEPT     icmp --  anywhere             anywhere
6    REJECT     tcp  -- !192.168.0.0/24       anywhere            tcp dpt:www reject-with icmp-port-unreachable
7    REJECT     tcp  -- !192.168.0.0/24       anywhere            tcp dpt:5280 reject-with icmp-port-unreachable
8    ACCEPT     tcp  --  192.168.177.0/24     anywhere            tcp dpt:sunrpc
9    REJECT     tcp  -- !192.168.0.0/24       anywhere            tcp dpt:sunrpc reject-with icmp-port-unreachable
10   ACCEPT     tcp  --  192.168.177.0/24     anywhere            tcp dpt:netbios-ssn
11   REJECT     tcp  -- !192.168.0.0/24       anywhere            tcp dpt:netbios-ssn reject-with icmp-port-unreachable
12   ACCEPT     tcp  --  192.168.177.0/24     anywhere            tcp dpt:microsoft-ds
13   REJECT     tcp  -- !192.168.0.0/24       anywhere            tcp dpt:microsoft-ds reject-with icmp-port-unreachable
14   REJECT     tcp  --  anywhere             213.129.118.115     tcp dpt:xmpp-client reject-with icmp-port-unreachable
15   REJECT     tcp  --  anywhere             213.129.118.115     tcp dpt:xmpp-server reject-with icmp-port-unreachable
16   ACCEPT     tcp  --  anywhere            !213.129.118.115     tcp dpt:gds_db
17   ACCEPT     tcp  --  localhost            anywhere            tcp dpt:gds_db
18   DROP       tcp  --  anywhere             anywhere            tcp dpt:gds_db
19   ACCEPT     tcp  --  c5r220n10.sias.vsu.ru  anywhere            tcp dpt:1723
20   ACCEPT     tcp  --  ip-46-72-232-43.bb.netbynet.ru  anywhere            tcp dpt:1723
21   ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp dpt:1723
22   ACCEPT     tcp  --  100.127.162.229      anywhere            tcp dpt:1723
23   ACCEPT     tcp  --  tashir.sc.ru         anywhere            tcp dpt:1723
24   ACCEPT     tcp  --  79.140.96.198        anywhere            tcp dpt:1723
25   ACCEPT     tcp  --  ip-46-72-224-0.static.netbynet.ru/24  anywhere            tcp dpt:1723
26   ACCEPT     tcp  --  188.124.98.0/24      anywhere            tcp dpt:1723
27   REJECT     tcp  -- !91.204.21.254        anywhere            tcp dpt:1723 reject-with icmp-port-unreachable
28   ACCEPT     tcp  --  192.168.0.0/16       anywhere            tcp dpt:mysql
 
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  192.168.0.0/24       anywhere
2    ACCEPT     all  --  192.168.177.0/24     anywhere
3    ACCEPT     all  --  anywhere             192.168.177.0/24
4    ACCEPT     all  --  anywhere             192.168.0.0/24
5    ACCEPT     udp  --  anywhere             anywhere            udp spts:sip:40000 dpts:sip:40000
6    ACCEPT     udp  --  anywhere             anywhere            udp spts:sip:40000 dpts:sip:40000
7    ACCEPT     tcp  --  anywhere             192.168.8.1         tcp dpt:www
8    ACCEPT     tcp  --  anywhere             192.168.0.124       tcp dpt:8090 state NEW,RELATED,ESTABLISHED
9    ACCEPT     udp  --  anywhere             192.168.0.124       udp dpt:8090 state NEW,RELATED,ESTABLISHED
10   ACCEPT     udp  --  anywhere             anywhere            udp spt:55777 dpt:55777
 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

@s0x90 · 28.10.2014, 17:32

Так и есть, политика по умолчанию у вас ACCEPT (policy ACCEPT).
Проверить порт можно обычным телнетом

Bash
1
telnet host 55777

Сервер, ожидающий входящие подключения, и прокси - это один и тот же?
Если да - выполните

Bash
1
lsof -i :55777

Если нет - вам необходимо пробросить порт на сервер, принимающий подключения

Bash
1
2
iptables -t nat -A PREROUTING -p udp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2
iptables -A FORWARD -i eth0 -d $LOCAL_IP -p udp --dport $PORT2 -j ACCEPT

где:
$EXT_R_IP - IP прокси
$PORT2 - это ваш порт 55777
$PORT1 - порт на прокси, который будет форвардить на 55777, может быть любым доступным
$LOCAL_IP - сервер за натом, на который форвардим

@Rumpelstiltskin · 28.10.2014, 19:59 **[ТС]**

да, это один и тот же сервер.

команда lsof должна вывести какой-то результат??
- пробую - ноль эмоций..

@s0x90 · 29.10.2014, 09:48

Bash
1
aptitude update && aptitude install lsof

@Rumpelstiltskin · 29.10.2014, 16:12 **[ТС]**

Сообщение от s0x90

Код Bash
1
aptitude update && aptitude install lsof

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
root@proxy:/home/ecoc# aptitude update && aptitude install lsof
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze Release.gpg
Игн [url]http://mirror.yandex.ru/debian/[/url] squeeze/main Translation-en
Игн [url]http://mirror.yandex.ru/debian/[/url] squeeze/main Translation-ru
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze-updates Release.gpg
Игн [url]http://mirror.yandex.ru/debian/[/url] squeeze-updates/main Translation-en
Игн [url]http://mirror.yandex.ru/debian/[/url] squeeze-updates/main Translation-ru
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze Release
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze-updates Release
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze/main Sources
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze/main amd64 Packages
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze-updates/main Sources/DiffIndex
Из кэша: [url]http://mirror.yandex.ru[/url] squeeze-updates/main amd64 Packages/DiffIndex
Из кэша: [url]http://security.debian.org[/url] squeeze/updates Release.gpg
Игн [url]http://security.debian.org/[/url] squeeze/updates/main Translation-en
Игн [url]http://security.debian.org/[/url] squeeze/updates/main Translation-ru
Из кэша: [url]http://security.debian.org[/url] squeeze/updates Release
Из кэша: [url]http://security.debian.org[/url] squeeze/updates/main Sources
Из кэша: [url]http://security.debian.org[/url] squeeze/updates/main amd64 Packages
Из кэша: [url]http://backports.debian.org[/url] squeeze-backports Release.gpg
Игн [url]http://backports.debian.org/debian-backports/[/url] squeeze-backports/main Translation-en
Игн [url]http://backports.debian.org/debian-backports/[/url] squeeze-backports/main Translation-ru
Из кэша: [url]http://backports.debian.org[/url] squeeze-backports Release
Из кэша: [url]http://backports.debian.org[/url] squeeze-backports/main amd64 Packages
 
Следующие частично установленные пакеты будут настроены:
  firebird2.1-super
Ни одного пакета не будет установлено, обновлено или удалено.
0 пакетов обновлено, 0 установлено новых, 0 пакетов отмечено для удаления, и 7 пакетов не обновлено.
Необходимо получить 0 B архивов. После распаковки 0 B будет занято.
Настраивается пакет firebird2.1-super (2.1.3.18185-0.ds1-11+squeeze1) ...
Firebird 2.1 server manager already running.
Your user name and password are not defined. Ask your database administrator to set up a Firebird login.
unable to open database
dpkg: не удалось обработать параметр firebird2.1-super (--configure):
 подпроцесс установлен сценарий post-installation возвратил код ошибки 1
configured to not write apport reports
                                      При обработке следующих пакетов произошли ошибки:
 firebird2.1-super
E: Sub-process /usr/bin/dpkg returned an error code (1)
Не удалось установить пакет. Попытка восстановить:
Настраивается пакет firebird2.1-super (2.1.3.18185-0.ds1-11+squeeze1) ...
Firebird 2.1 server manager already running.
Your user name and password are not defined. Ask your database administrator to set up a Firebird login.
unable to open database
dpkg: не удалось обработать параметр firebird2.1-super (--configure):
 подпроцесс установлен сценарий post-installation возвратил код ошибки 1
При обработке следующих пакетов произошли ошибки:
 firebird2.1-super

команда lsof результата не выводит..

Добавлено через 14 минут
и еще интересное наблюдение:
у нас две сетки, для одной кой-какие ограничения отсутствуют. И из этой сетки необходимый адрес пингуется. Может быть есть возможность переделки по аналогии конкретного ip-адреса (назначить статический для компа с випнэтом) из первой подсети ? чтобы не рыться в малознакомых мне местах..

Добавлено через 3 часа 8 минут
пытаюсь разобраться с iptables (раньше не приходилось сталкиваться).
нашел на сервере файл iptables-save.txt - это и есть искомый файл конфигурации? достаточно ли в нем внести поправки, чтоб заработало? или еще нужно какие-то проводить манипуляции..

Если я правильно понял - в моем случае пакеты идут с локального адреса через прокси в нэт на сервер координатора - получается это проходящие (маршрутизируемые) пакеты. И для них нужно прописать правило в таблице 'filter' - в цепочке FORWARD.

Поправьте, если ошибаюсь..

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@Rumpelstiltskin 10 / 10 / 11 Регистрация: 04.03.2013 Сообщений: 33

	Открытие в iptables доступа к ресурсу 28.10.2014, 10:52. Показов 2008. Ответов 6 Метки нет (Все метки) Доброго времени суток. Настраиваю випнэт клиент, для связи с сервером координатора необходимо чтобы, на прокси (debian) был открыт на вход и на выход порт UDP 55777 и должен проходить «пинг» на адрес координатора 188.254.71.89 . не силен в iptables - помогите настроить, что нужно прописать, чтоб заработал? заранее спасибо! 0

@Rumpelstiltskin 10 / 10 / 11 Регистрация: 04.03.2013 Сообщений: 33
	28.10.2014, 19:59 [ТС]
	да, это один и тот же сервер. команда lsof должна вывести какой-то результат?? - пробую - ноль эмоций.. 0

Опции темы