p2p VS iptable

[Requiem]

Доброго времени суток уважаемые.
Имеется проблема. Есть DirectConnect клиент (какой не важно, пробовал rmDC, DC++, StrongDC результат одинаков). Для его работы необходимо в фаерволе открыть 2 порта, один tcp и один udp. В качестве шлюза используем AltLinux. Разрешаю форвард ч\з порты 1412 таким образом
$IPTABLES -A FORWARD -p tcp --dport 1412 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 1412 -i $LAN_IFACE -j ACCEPT
но пакеты ч\з эти правила не идут. В чем косяк?

[Diman]

Доброго времени суток уважаемые.
Имеется проблема. Есть DirectConnect клиент (какой не важно, пробовал rmDC, DC++, StrongDC результат одинаков). Для его работы необходимо в фаерволе открыть 2 порта, один tcp и один udp. В качестве шлюза используем AltLinux. Разрешаю форвард ч\з порты 1412 таким образом
$IPTABLES -A FORWARD -p tcp --dport 1412 -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 1412 -i $LAN_IFACE -j ACCEPT
но пакеты ч\з эти правила не идут. В чем косяк?

[snapback]4245[/snapback]

спорт открой
--sport 1412

[Requiem]

попробовал не получилось, такое чуство, что клиент пытается не ч\з шлюз долбиться, а напрямую.
вот результаты работы ethereal

Frame 3 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: 00:13:20:23:e3:27, Dst: 00:10:5a:f1:0d:fc
Internet Protocol, Src Addr: 192.168.48.220 (192.168.48.220), Dst Addr: 212.192.122.27 (212.192.122.27)
Transmission Control Protocol, Src Port: 1221 (1221), Dst Port: 411 (411), Seq: 0, Ack: 0, Len: 0

Frame 4 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: 00:13:20:23:e3:27, Dst: 00:10:5a:f1:0d:fc
Internet Protocol, Src Addr: 192.168.48.220 (192.168.48.220), Dst Addr: 212.192.122.27 (212.192.122.27)
Transmission Control Protocol, Src Port: 1221 (1221), Dst Port: 411 (411), Seq: 0, Ack: 0, Len: 0

Frame 10 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: 00:13:20:23:e3:27, Dst: 00:10:5a:f1:0d:fc
Internet Protocol, Src Addr: 192.168.48.220 (192.168.48.220), Dst Addr: 212.192.122.27 (212.192.122.27)
Transmission Control Protocol, Src Port: 1221 (1221), Dst Port: 411 (411), Seq: 0, Ack: 0, Len: 0

[Diman]

хуйз 212.192.122.27? Если это тот, с которого ты файло качаешь (должно быть так, вроде), то попробуй открыть указанные порты 1221 и 411, мож заработает?...

[Andry]

добавь в iptables в таблицу *nat:

Code: [Select]

-A PREROUTING -p tcp -d <ip-шлюза> --dport 1412 -j DNAT --to-destination <ip-моей машины>:1412
-A PREROUTING -p udp -d <ip-шлюза> --dport 1412 -j DNAT --to-destination <ip-моей машины>:1412все будет работать.

[Requiem]

пробовал уже, и даже по идее должно работать, но не работает  :angry:

я как понимаю, что в снифере я должен увидеть чтото  типа
Src Addr: 192.168.48.220 , Dst Addr: 192.168.48.225
Src Port: 1221 , Dst Port: 1412

или я не прав? почему клиент напрямую стучиться на внешний ip?

[Requiem]

for Diman
это адрес хаба, и туда я должен попасть ч\з шлюз, а не на прямую.
а порты клиент постоянно меняет  :ujasnah:

вот кстати настройки клиента

[Andry]

for Diman
это адрес хаба, и туда я должен попасть ч\з шлюз, а не на прямую.
а порты клиент постоянно меняет  :ujasnah:

вот кстати настройки клиента

[snapback]4251[/snapback]

ты укажи клиенту чтобы не случайно порты выбира, а указанный (только 1412). или любой тругой на который настроишь переадресацию. и чтобы отдавал серверу не твой фейковый адрес а адрес шлюза. в rmDC++ это легко делается на первой странице настроек.

[Diman]

А если открыться полностью хабу, то работает?
Если работает, тогда все что идет с хаба - в лог

[Requiem]

for Diman
действительно, открыл 411 порт и к хабу законнектиться получилось
но теперь не могу получить файл лист, для этого клиент по идее должен udp порт использовать, который в настройках прописан

[Diman]

for Diman
действительно, открыл 411 порт и к хабу законнектиться получилось
но теперь не могу получить файл лист, для этого клиент по идее должен udp порт использовать, который в настройках прописан

[snapback]4255[/snapback]

Все что идес с хаба и на хаб - в лог, там увидишь что открывать / закрывать
iptables -A INPUT -s <HUB> -j LOG

[Requiem]

Все что идес с хаба и на хаб - в лог, там увидишь что открывать / закрывать
iptables -A INPUT -s <HUB> -j LOG

[snapback]4257[/snapback]

А можно не скромный вопрос? Как мне его просмотреть потом?

[Diman]

cat /var/log/messages

[stranger]

Э... А маскарад тут не поможет?

И второй вариант поставить socks прокси, например, dante...

[demiurg]

Курить доки надо, особенно IPTables Tutorual до полного просветления, ну tcpdump на шлюзе, что бы видеть куда какие пакеты ходят.....

[Diman]

Доки особенно хорошо запивать чаем, кофем, пивом. Запивать воткой, колой, манагой, а так же закуривать планой, анашой и другой канаплей не рекомендую: черевато.

[Requiem]

ИМХО Когда сам не шаришь проще сказать "кури доки" чем дать дельный совет.

[Diman]

ИМХО Когда сам не шаришь проще сказать "кури доки" чем дать дельный совет.

[snapback]4277[/snapback]

ИМХО "курить доки" надо, но не все в них понятно... У меня документации несколько гигабайт. Есть по любой теме. Но ведь спрашиваю же иногда... Бывает что не все в документации понятно описано, а иногда некоторые вещи вообще не присутствуют.

[Requiem]

ладно, с курением доков все понятно
До чего я на данный момент дошел. Я разрешил форвард всех пакетов пришедших от ip моей локальной машины
$IPTABLES -A FORWARD -s 192.168.48.220 -j ACCEPT
После этого стал в пассиве работать полностью, т.е. коннектится, качает файллисты и пр.
Но в активе почемуто работать всеравно отказывается. Можете пояснить, в чем разница работы клиета в пассиве и в активе? Т.е. понятно, что из пассива ты с актива ничего не выкачаешь, но мне интересно в чем различаются принципы соединения.

[Diman]

$IPTABLES -A FORWARD -s <а тут ip хаба> -j LOG
и увидишь в чем соль...