Задать вопрос
Ответы пользователя по тегу Iptables
  • Как убрать reject-with icmp-host-prohibited?

    karabanov
    @karabanov
    Системный администратор
    Если хочешь сбросить соединение без уведомления впиши DROP вместо REJECT.

    В ferm, по умолчанию, REJECT уведомляет ICMP пакетом отправителя, что порт недоступен (icmp-port-unreachable). Можешь указать другой тип ICMP.

    REJECT; # по умолчанию icmp-port-unreachable
    REJECT reject-with icmp-net-unreachable;

    Набери "iptables -j REJECT -h" для получения дополнительной информации.

    PS
    Вот здесь написано: ferm.foo-projects.org/download/2.1/ferm.html
    Ответ написан
    Комментировать
  • Как адаптировать правило из фаирвола MikroTik-a под синтаксис Linux-ового iptables?

    karabanov
    @karabanov Автор вопроса
    Системный администратор
    Методом тыка и ряда логических умозаключений было выяснено, что если сказать:

    sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j MASQUERADE


    то всё начинает работать.

    UPD:
    Вот тут ещё появился диалог на эту тему.
    Ответ написан
    Комментировать
  • OpenVPN и проброс портов

    karabanov
    @karabanov
    Системный администратор
    Вы говорили про IP 192.168.21.130/29, а у вас 192.168.21.132/29
    Вы говорили про порт 564 а у вас 2014 (но это правило фигня)

    Аааа. Да. Забыл. Так iptables выведет только таблицу filter, а нам надо b nat и filter. Тем не менее у вас в этом правиле используется порт 2014 (хоть это ни на что и не влияет так как политика по умолчанию policy ACCEPT).

    Должно выглядеть так:

    zend@book:~$ sudo iptables -L --line-numbers
    Chain INPUT (policy ACCEPT)
    num  target     prot opt source               destination         
    1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:564
    
    ...


    А чтоб посмотреть в таблицу nat надо использовать команду iptables -t nat -L --line-numbers и вывод её должен выглядеть так:

    zend@book:~$ sudo iptables -t nat -L --line-numbers
    Chain PREROUTING (policy ACCEPT)
    num  target     prot opt source               destination         
    1    DNAT       tcp  --  anywhere             anywhere             tcp dpt:564 to:192.168.21.130:564
    
    ...


    Если у вас не так сделайте следующее:
    sudo iptables -X
    sudo iptables -F
    sudo iptables -t nat -X
    sudo iptables -t nat -F
    sudo iptables -A INPUT -i tun0 -p tcp --dport 564 -j ACCEPT
    sudo iptables -t nat -A PREROUTING -p tcp -i tun0 --dport 564 -j DNAT --to-destination 192.168.21.130:564


    И IP исправьте на 192.168.21.130/29
    Ответ написан
    2 комментария