iptables, NAT, порты

0

0

Допустим хочу на роутере прокинуть кому-то внутрь сети диапазон портов, чтобы соответствующий юзер мог из-за NAT полноценно пользоваться p2p, поднять у себя какой-нибудь сервер... Делаю примерно так:

iptables -A PREROUTING -t nat -d $wan_ip -m multiport --destination-ports 20000:20100 -j DNAT --to-destination $user_ip

Смущает что - исходящее соединение через NAT может случайно попасть в данный диапазон. Он ведь проверяется "на входе" в роутер, а там нельзя определить, кому именно оно предназначается. Портов конечно много и совпадения такие будут не часто, но тем не менее...

В общем хочу узнать - натилка сама по себе отслеживает такие вещи, и если нет, то можно ли как-то их отслеживать правилами?

Ссылка

←	[DNS] Недоступность сайта после смены ip

init script якобы failed on boot, но на самом деле ок

→

если я правильно понял, то обрати обрати внимание на селекторы -i -o.
они помогут зафикчировать входящий и исходящий интерфейс.

chocholl ★★
(12.02.09 22:51:09 MSK)

Ссылка

> Смущает что - исходящее соединение через NAT может случайно попасть в данный диапазон.

Как же он попадет, если там же вроде как ESTABLISHED,RELATED?

iron ★★★★★
(12.02.09 23:09:59 MSK)

Ответ на: комментарий от iron 12.02.09 23:09:59 MSK

> Как же он попадет, если там же вроде как ESTABLISHED,RELATED?

Так в том-то и дело, оно же проверяется в FORWARD, который идёт позже чем PREROUTING. И не понятно, проходит ли такое соединение вообще через PREROUTING.

-i и -o тут ничего не сделают, входящий интерфейс-то один и тот же - который к провайдеру.

~~paramonov~~
(13.02.09 08:12:32 MSK) автор топика

Ответ на: комментарий от paramonov 13.02.09 08:12:32 MSK

Через PREROUTING и POSTROUTING проходят ВСЕ пакеты.

http://iptables-tutorial.frozentux.net/images/tables_traverse.jpg

gfh ★★★
(13.02.09 11:29:20 MSK)

Ответ на: комментарий от gfh 13.02.09 11:29:20 MSK

> Через PREROUTING и POSTROUTING проходят ВСЕ пакеты

По-моему только новые. И табличка для прохождения первого пакета. Установившиеся соединения пробрасываются согласно записям в conntrack, ЕМНИП.

azure ★★
(13.02.09 15:49:05 MSK)

Ответ на: комментарий от azure 13.02.09 15:49:05 MSK

> По-моему только новые. И табличка для прохождения первого пакета. Установившиеся соединения пробрасываются согласно записям в conntrack, ЕМНИП.

Зачем бы тогда в INPUT и FORWARD везде прописывали RELATED,ESTABLISHED? Оно для того и есть, что роутер проверяет по этому правилу каждый пакет, а не только первый. Только первый это в случае SNAT и MASQUERADE.

~~paramonov~~
(13.02.09 16:42:28 MSK) автор топика

Ответ на: комментарий от paramonov 13.02.09 16:42:28 MSK

> Зачем бы тогда в INPUT и FORWARD везде прописывали RELATED,ESTABLISHED? Оно для того и есть, что роутер проверяет по этому правилу каждый пакет, а не только первый. Только первый это в случае SNAT и MASQUERADE.

Не совсем уловил мысль :) Изъяснятейсь яснее, пожалуйста. Первый пакет допустим TCP соединения проходит через таблицу nat (если нет raw и mangle): прероутинг, потом построутинг, затем попадает в таблицу filter: INPUT ИЛИ FORWARD.

Когда соединение установлено, то пакеты не обрабатываются в таблице nat, о чем прямо свидетельствуют счетчики пакетов в этой таблице, а проходят лишь через filter, где и ставятся правила -m state --state RELATED,ESTABLISHED -j ACCEPT иначе бы они там блокировались

azure ★★
(15.02.09 21:40:59 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[DNS] Недоступность сайта после смены ip

Admin

init script якобы failed on boot, но на самом деле ок

→

Похожие темы