Как открыть порт для telnet?

@Dimasio · Регистрация: 21.10.2012

Author24 — интернет-сервис помощи студентам

Добрый день, изучил тему по iptables, пока новичок в этом деле.

На сервере 2 сетевые карты: lan (192.168.7.11/24) и kazna (10.240.22.4/25). Сервер работает в качестве маршрутизатора по умолчанию для пользовательских машин, то есть телнетиться нужно будет не с сервера.

Необходимо с машины из сети 192.168.7.0.24 подключиться по телнету к серверу 10.2.2.1 по порту 2598, который известен интерфейсу ext. NAT настроен. Если в цепочке FORWARD поставить политику по умолчанию ACCEPT, то все работает нормально. Мне нужно поставить политику по умолчанию DROP и пропускать только разрешенные соединения.

Пишу следующее правило:

Bash
1
iptables -A FORWARD -p tcp --sport 23 --dport 2598 -i lan -o kazna -j ACCEPT

Ну и не работает telnet соответственно.

Пробовал еще так:

Bash
1
iptables -A FORWARD -p tcp --dport 2598 -o kazna -j ACCEPT

В статистике пакеты по правилу бегают, но телнет не подключается все равно. Если в цепочке FORWARD поставить политику по умолчанию ACCEPT, то само собой всё начинает работать. Где я ошибся?

@gng · 04.08.2016, 09:41

Сообщение от Dimasio

Где я ошибся?

Телнет пакеты идут НА порт 23 обычно с какого-то порта > 1024. То что вы делаете в днате происходит уже после цепочки форвард и к ней отношения не имеет.
Решение: пропустить в форвард пакеты на порт 23 с любого порта

Bash
1
iptables -A FORWARD -p tcp --dport 23 -i lan -o kazna -j ACCEPT

@Dimasio · 04.08.2016, 10:18 **[ТС]**

Проблему уже решил, вот как можно грамотно открыть порт:

Bash
1
2
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i lan -o kazna -p tcp -m tcp --dport 2598 -m conntrack --ctstate NEW -j ACCEPT

Разрешаем новое соединение с портом назначения 2598 из локальной сети во внешнюю, потом разрешаем все прямые и обратные соединения в состоянии ESTABLISHED и RELATED. Работает и telnet, и другие необходимые сервисы.

@gng · 04.08.2016, 11:41

Сообщение от Dimasio

Разрешаем новое соединение с портом назначения 2598 из локальной сети во внешнюю

В том случае, если у вас dnat, о чем вы умолчали.
Я указал правило при использовании snat из lan в kanza.

Новые блоги и статьи Все статьи Все блоги /
Вопросы на собеседованиях по микросервисам ArchitectMsa 27.03.2025 Работодатели ищут не просто разработчиков, знающих базовые концепции, а специалистов, разбирающихся в тонкостях масштабирования, отказоустойчивости и производительности. Сейчас на первый план выходят. . .	Взаимодействие Python с REST API py-thonny 27.03.2025 REST API - это архитектурный стиль взаимодействия компонентов распределённого приложения в сети. Python располагает функциональным набором инструментов для работы с REST API и основная библиотека для. . .	sshd restrictions, ssh access limitations jigi33 26.03.2025 sshd restrictions \| ssh access limitations рестрикции доступа на сервер sshd статья: https:/ / www. golinuxcloud. com/ restrict-allow-ssh-certain-users-groups-rhel	Компиляция C++ с Clang API NullReferenced 24.03.2025 Компиляторы обычно воспринимаются как черные ящики, которые превращают исходный код в исполняемые файлы. Мы запускаем компилятор командой в терминале, и вуаля — получаем бинарник. Но что если нужно. . .	Многопоточное программирование в C#: Класс Thread UnmanagedCoder 24.03.2025 Когда запускается приложение на компьютере, операционная система создаёт для него процесс - виртуальное адресное пространство. В C# этот процесс изначально получает один поток выполнения — главный. . .
SwiftUI Data Flow: Передача данных между представлениями mobDevWorks 23.03.2025 При первом знакомстве со SwiftUI кажется, что фреймворк предлагает избыточное количество механизмов для передачи данных: @State, @Binding, @StateObject, @ObservedObject, @EnvironmentObject и другие. . . .	Моки в Java: Сравниваем Mockito, EasyMock, JMockit Javaican 23.03.2025 Как протестировать класс, который зависит от других сложных компонентов, таких как базы данных, веб-сервисы или другие классы, с которыми и так непросто работать в тестовом окружении? Для этого и. . .	Архитектурные паттерны микросервисов: ТОП-10 шаблонов ArchitectMsa 22.03.2025 Популярность микросервисной архитектуры объясняется множеством важных преимуществ. К примеру, она позволяет командам разработчиков работать независимо друг от друга, используя различные технологии и. . .	Оптимизация рендеринга в Unity: Сортировка миллиона спрайтов GameUnited 22.03.2025 Помните, когда наличие сотни спрайтов в игре приводило к существенному падению производительности? Время таких ограничений уходит в прошлое. Сегодня геймдев сталкивается с задачами совершенно иного. . .	Образование и практика Igor3D 21.03.2025 Добрый день А вот каково качество/ эффективность ВУЗовского образования? Аналитическая геометрия изучается в первом семестре и считается довольно легким курсом, что вполне справедливо. Ну хорошо,. . .

@gng 923 / 639 / 198 Регистрация: 08.09.2013 Сообщений: 1,693
	04.08.2016, 11:41
	Сообщение от Dimasio Разрешаем новое соединение с портом назначения 2598 из локальной сети во внешнюю В том случае, если у вас dnat, о чем вы умолчали. Я указал правило при использовании snat из lan в kanza. 0

Опции темы