-
Это должно быть в таблице filter и цепочке forward. Веб-интерфейс ещё не допилен, внутрь проброшены порты только для v4.
Replies (32)
-
@lexszero, в v4 это идёт через нат, для v6 это транзитное соединение:
$ iptables -t nat -S
-P PREROUTING ACCEPT
-P POSTROUTING ACCEPT
-P OUTPUT ACCEPT
-N UPNP
-N VSERVER
-A PREROUTING -d 176.xxx.xxx.xxx/32 -j VSERVER
-A PREROUTING -d 169.254.231.142/32 -j VSERVER
-A POSTROUTING ! -s 176.xxx.xxx.xxx/32 -o ppp0 -j MASQUERADE
-A POSTROUTING ! -s 169.254.231.142/32 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.9.0/24 -d 192.168.9.0/24 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.9.17:6881
-A VSERVER -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.9.17:6881
-A VSERVER -p udp -m udp --dport 4444 -j DNAT --to-destination 192.168.9.17:4444 -
@beard, $ ip6tables -t filter -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N SECURITY
-N logaccept
-N logdrop
-A INPUT -m rt --rt-type 0 -j DROP
-A INPUT -p udp -m udp --dport 546 -j ACCEPT
-A INPUT -p ipv6-icmp -m icmp6 ! --icmpv6-type 128 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -s ff00::/8 -j ACCEPT
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan1 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m rt --rt-type 0 -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -s ff00::/8 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j DROP
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A OUTPUT -m rt --rt-type 0 -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP -
@beard, Блядь, они до сих пор не научились с соединениями работать, продолжают пакеты туда-сюда гонять:
-m conntrack --ctstate NEW RELATED,ESTABLISHED
--tcp-flags SYN,RST SYN
какого хуя мне должно быть дело до этой ёбаной ссанины? Соединение изначально предполагает, что данные, внутри него, ходят в обе стороны. -
@beard, Ну и ничего удивительного:
Предшественниками iptables были ... и ipfwadm (...). Последний был основан на BSD-утилите ipfw.
iptables сохраняет идеологию, ведущую начало от ipfwadm
Т.е. iptables = ipfw. Который давно закопали.
Ну вот нигде не вижу, чтобы было что-то похожее на "stateful-фильтрацию". -
@lexszero, Это так уже было. Предполагается, всё разрешно на локальном интерфейсе, разрешены исходящие соединения изнутри наружу и запрещены входящие соединения снаружи внутрь.
Надо разрешить входящие соединения снаружи внутрь для порта 6881, пусть будет диапазон 6881..6889, кажется так. -
@beard, --new -N chain Create a new user-defined chain
Какая политика устанавливается по умолчанию?? Что значит следующее:
10 SECURITY all anywhere anywhere ctstate NEW
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-N SECURITY
Цепочка пустая, политика не установлена. В веб-интерфейсе там было что-то про логирование, выбрано ничего не делать. При умолчательной политике ACCEPT что тут происходит?
Да ну, вообще идиотизм сплошной. -