# zablokowane porty + nat

## ostry

Witam

Mam problem z portami i z widocznoscia komputera.

Mianowicie komputer ktory robi NAT w ogole nie jest widoczny z zewnatrz, ani ssh ani ping nie dziala.

Z sieci wewnetrzej jest widoczny - nat dziala

----------

## bartmarian

musisz otworzyc port 22 (tcp) oraz icmp na zewnatrz

----------

## ostry

Wydaje mi sie ze to zrobilem

Moje regulki wygladaj mniej wiecej tak

```
iptables -F

iptables -t nat -F

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

export LAN=eth0

export WAN=eth1

iptables -I INPUT 1 -i ${LAN} -j ACCEPT

iptables -I INPUT 1 -i lo -j ACCEPT

iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT

iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT

iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT

iptables -A INPUT -p TCP --dport 6881:6889  -i ${WAN} -j ACCEPT

iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

iptables -A INPUT -p TCP --sport 6881:6889  -i ${WAN} -j ACCEPT

iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

iptables -I FORWARD -i ${LAN} -d 192.168.1.0/255.255.255.0 -j DROP

iptables -A FORWARD -i ${LAN} -s 192.168.1.0/255.255.255.0 -j ACCEPT

iptables -A FORWARD -i ${WAN} -d 192.168.1.0/255.255.255.0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
```

Czy to nie powinno dzialac???

----------

## bartmarian

z grubsza zasady (skryptu) powinny byc takie:

- usuwamy istniejace reguly

- blokujemy wszystko

- zezwalamy na to co chcemy

- pamietamy ze komunikacja odbywa sie w dwie strony (to nie radio/telewizja)  :Smile: 

..::Milu Edit: ort!

----------

## v7n

doceniamy to, że chciałeś zrobić coś sam, ale polecamy lekturę man iptables i stronkę http://www.iem.pw.edu.pl/~rzeznicp/iptables/ ( z gotowego pliku można się dużo nauczyć )

----------

## ostry

Wygenerowalem sobie skrypcik. Zapuscilem uruchomilem teoretycznie powinien odblokowac wiele portów ale nmap z zewnatrz pokazuje tylko

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-04-07 20:44 CEST

 All 1663 scanned ports on ***.***.***.*** are: filtered

Nmap finished: 1 IP address (1 host up) scanned in 347.226 seconds

----------

## arek.k

1. Spróbuj jako root 

```
nmap -sT twoj.publiczny.ip
```

 bo jak robisz jako zwykły user rzeczywiście może nie działać.

2. Jeśli to nie to, to powiedz, jak łączysz się z internetem? Może blokujesz porty na sprzętowym firewallu (routerze).

----------

## ostry

1)Z tym jest problem nie mam na zewnatrz praw root do zadnego z komputera.  :Sad: 

2) Moj mam radiowe polaczenie ktore odbiera przez AP skonfigurowanego w tryb klienta(przezroczysty), wiec nie wydaje mi sie zeby tu lezal problem:(, ale moge sie mylic

----------

## arek.k

 *ostry wrote:*   

> 1) Z tym jest problem nie mam na zewnatrz praw root do zadnego z komputera.  

 

Tego nie kapuję. Chodziło mi o to, żebyś odpalił nmap jako root (na komputerze z którego skanujesz). Nmap odpalony jako nie-root nie zawsze działa prawidłowo (upraszczając).

 *ostry wrote:*   

> 2) Moj mam radiowe polaczenie ktore odbiera przez AP skonfigurowanego w tryb klienta(przezroczysty), wiec nie wydaje mi sie zeby tu lezal problem:(, ale moge sie mylic

 

Nie rozumiem sytuacji (architektury twojej sieci). Jeśli twoja brama (router z firewallem który próbujesz skonfigurować) jest klientem łączącym się z AP dostawcy, to może być kilka problemów. Np. Twój dostawca blokuje wszystko z zewnątrz (zamknięte wszystkie porty in). Nie wiem jak u ciebie to jest rozwiązane, bo np. w sieciach "sąsiedzkich", gdzie ktoś udostępnia łącze sąsiadom za pośrednictwem AP wszystko pracuje za NAT-em, więc nie możesz łączyć się z zewnątrz, bo nie masz publicznego ip.

Musiałbyś dokładnie opisać architekturę sieci (kto jest twoim providerem, sposób łączenia z internetem z podziałem na urządzenia twoje i dostawcy, oraz oznaczeniem komputera skanowanego i skanującego). Wtedy może coś zrozumiem  :Wink: .

----------

## ostry

1)Na komputerze z ktorego skanuje nie mam dostepu do konta root.

2) Moj provider dostarcza mi za internet przez lacze radiowe.Sygnal odbieram przez ap skonfigurowanego w trybie klienta(przezroczysty - tak jakby to byla karta sieciowa komputera). dalej mam router ktory proboje skonfigurowac no i siec wewnetrzna. Moim providerem jest jrbnet. Adres ip jest zewnetrzny Jesli chodzi o skanowanie z wewnatrz to wszystko jest ok.

----------

## arek.k

Nie wiem z jakiego komputera skanujesz, ale nie przeskanujesz portów z konta nie-root.

Możesz sprawdzic, które porty są otwarte skanujac z wewnątrz sieci. Np. ja skanując z wewnątrz sieci (z adresu 192.168.1.2) siebie ale po publicznym ip mam:

```
# nmap -sT 83.8.75.*

...

PORT   STATE    SERVICE

22/tcp open     ssh

80/tcp filtered http

...
```

To samo jako user: 

```
$ nmap -sT 83.8.75.*

...

Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
```

* - reszta adresu (konkretny adres).

Jak widać powyżej, jeśli upierasz się, żeby skanować z konta nie root, to możesz wymusić opcję -P0. 

Jeśli sprawdzałeś potry tylko nmapem, to prawdopodobnie nie dostałeś spodziewanego wyniku z ww powodu.

Jeśli z -P0 nadal nie działa, to spinguj normalnie "swój publiczny ip". Jeśli ping nie odpowiada, to 

```
# iptables -F
```

 (na routerze) i jeszcze raz ping. Jeśli nadal nie działa, to znaczy, że nie twój router blokuje ruch z zewnątrz, tylko provider (albo inne). Jak to wyjaśnisz, to wrócimy do ssh  :Smile: .

----------

