Dual wan, 2wan ja iptables ongelma

dun · Syyskuu 22, 2007, 10.00am

Minulla on siis suoranainen ongelma iptablesien asetuksien kanssa. Wikistä löytyvällä ohjeella sain kaiken muun toimimaan, paitsi NAT:n takana olevien porttien ohjauksen.

Ongelma lyhykäisyydesään:

Minulla on kaksi nettiyhteyttä. Toinen organisaation ja toinen henkilökohtainen. Käytän henkilökohtaista(wan2) yhteyttä kaikeen muuhun paitsi organisaatioon(wan2) tapahtuvaan liikenteeseen.

Minun pitäisi saada torrent porttit 29000(tcp) ja 18125 (udp) ohjattua osoitteeseen 192.168.0.170

Iptables scripti:
#!/bin/bash

#Muuttujat
LAN=eth0
LAN_IP=192.168.0.0/255.255.0.0

Organisaatio

WAN1=eth1

Henkilökohtainen netti

WAN2=eth2
IPTABLES=/sbin/iptables

###########################################################
###################### Perustaulukko ######################
###########################################################
#Putsataan taulukko
${IPTABLES} -F
${IPTABLES} -X

#Taulukoiden perussäännöt
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT

#---------- INPUT ----------#
${IPTABLES} -A INPUT -i lo -s 127.0.0.1 -j ACCEPT
${IPTABLES} -A INPUT -i ${LAN} -s ${LAN_IP} -j ACCEPT

#Salli SSH, HTTP, ja FTP-yhteys ulkopuolelta
${IPTABLES} -A INPUT -p tcp --dport ssh -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport http -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport 654 -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport ftp -j ACCEPT

WAN1

${IPTABLES} -A INPUT -i ${WAN1} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p tcp --syn -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p icmp -j DROP
${IPTABLES} -A INPUT -i ${WAN1} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A INPUT -i ${WAN1} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT

WAN2

${IPTABLES} -A INPUT -i ${WAN2} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p tcp --syn -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p icmp -j DROP
${IPTABLES} -A INPUT -i ${WAN2} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A INPUT -i ${WAN2} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT

${IPTABLES} -A INPUT -j DROP

#---------- FORWARD ----------#
#WAN1
${IPTABLES} -A FORWARD -i ${WAN1} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN1} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN1} -p tcp --syn -j DROP
${IPTABLES} -A FORWARD -i ${WAN1} -p icmp -j DROP
${IPTABLES} -A FORWARD -i ${LAN} -o ${WAN1} -s ${LAN_IP} -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN1} -o ${LAN} -d ${LAN_IP} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN1} -o ${LAN} -d ${LAN_IP} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
#WAN2
${IPTABLES} -A FORWARD -i ${WAN2} -p tcp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN2} -p udp --dport 0:1023 -j DROP
${IPTABLES} -A FORWARD -i ${WAN2} -p tcp --syn -j DROP
${IPTABLES} -A FORWARD -i ${WAN2} -p icmp -j DROP
${IPTABLES} -A FORWARD -i ${LAN} -o ${WAN2} -s ${LAN_IP} -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN2} -o ${LAN} -d ${LAN_IP} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A FORWARD -i ${WAN2} -o ${LAN} -d ${LAN_IP} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A FORWARD -j DROP

#---------- OUTPUT ----------#

##########################################################
###################### NAT-taulukko ######################
##########################################################

#Putsataan taulukko
${IPTABLES} -t nat -F
${IPTABLES} -t nat -X

#Taulukoiden perussäännöt
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT
${IPTABLES} -t nat -P OUTPUT ACCEPT

#---------- PREROUTING ----------#
#Tänne uudelleenohjeukset

Torrent

${IPTABLES} -t nat -A PREROUTING -p tcp --dport 29000 -i ${WAN2} -j DNAT --to 192.168.0.170
${IPTABLES} -t nat -A PREROUTING -p tcp --dport 18125 -i ${WAN2} -j DNAT --to 192.168.0.170

#---------- POSTROUTING ----------#
${IPTABLES} -t nat -A POSTROUTING -o ${WAN1} -j MASQUERADE
${IPTABLES} -t nat -A POSTROUTING -o ${WAN2} -j MASQUERADE

dun · Syyskuu 25, 2007, 10.58am

Onko minun ongelmani jotenkin niin hämärä ettei se selviä, vai eikö vain osaavaa henkilöä ole sattunut tulemaan vastaan? Minä tiedän että listauksessa ei ole mitään kovin pahasti pielessä, mutta olisi se silti kiva saada toimimaan. Reititykset ja rasituksen jaot toimii, mutta tuon natin takaisten porttien aukominen palomuuriin ei jostain syystä toimi niin kuin pitäisi.