Re: emule / iptables / nat / linux roteador.. o que está errado?

To: "debian-user-portuguese" <debian-user-portuguese@lists.debian.org>
Subject: Re: emule / iptables / nat / linux roteador.. o que está errado?
From: "nuser" <fakeact@bol.com.br>
Date: Wed, 9 May 2007 17:31:50 -0300
Message-id: <JHSJP2$053FF89E322D49A3A2B83295F5DE40D9@bol.com.br>

---------- Início da mensagem original -----------

      De: "Felipe Augusto van de Wiel (faw)" felipe@cathedrallabs.org
    Para: "debian-user-portuguese" debian-user-portuguese@lists.debian.org
      Cc:
    Data: Tue, 08 May 2007 23:48:34 -0300
 Assunto: Re: emule / iptables / nat / linux roteador.. o que está errado?

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> On 05/07/2007 10:51 PM, nuser wrote:
> >  oi,
> >
> >  estou usando o linux, kernel 2.6, debian, como roteador. há 1 cliente
> >  winxp que necessita usar emule, web, msn, skype, e por aí vai.
> >  eth0: internet, ip é dado pelo modem, é um ip da internet de fato (200.x)
> >  eth1: segunda placa, que é o gateway dos micros com windows.
> >
> >  como está o firewall:
> >
> > iptables -F
> > iptables -X
> > iptables -t nat -F
> > iptables -t nat -X
> > iptables -P INPUT ACCEPT
> > iptables -P FORWARD ACCEPT
> > iptables -P OUTPUT ACCEPT
>
> 	Você não fez nenhuma restrição, ou seja, os pacotes são aceitos
> em todas as cadeias.

 Inicialmente minhas regras liberavam tudo, não entendi porque não funcionava, por isso fiz algumas coisas aparentemente "redundantes" ao longo das outras regras. Decidi colocar explicitamente as coisas, para testar.

>
>
> > iptables -t nat -A POSTROUTING -s 10.1.1.0/255.255.255.0 -o eth0 -j MASQUERADE
>
> 	Ok, você está mascarando todo o tráfego da sua rede interna.

 Assim que granular melhor o que será usado por cada host vou carregar as regras para liberar sob demanda, por hora é isso acima.

>
>
> > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> > # Portas como estão configuradas no emule do cliente 10.1.1.4
> > iptables -A INPUT -i eth0 -p TCP --dport 41001 -m state --state NEW -j ACCEPT
> > iptables -A INPUT -i eth0 -p UDP --dport 41002 -m state --state NEW -j ACCEPT
>
> 	Essas regras não fazem nenhuma diferença, sua POLICY é ACCEPT
> para a cadeia de INPUT, ou seja, você aceita tudo que chega.

 Idem.
>
>
> > iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
>
> 	Mesma coisa.
>
>
> > # agora redireciona aquelas acima
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41001 -j DNAT --to 10.1.1.4:41001
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41002 -j DNAT --to 10.1.1.4:41002
>
> 	Veja, você redirecionou o tráfego TCP da porta 41002 e lá em
> cima você mexeu com o tráfego UDP, como eu disse, a regra de ACCEPT
> não fará diferença, mas pode ser que você tenha errado o DNAT do
> protocolo.

 Está errado apenas no email, 41002 é udp mesmo. Copiei e colei errado.
>
>
> >  lá no cliente windows o teste funciona:
> >  http://www.amule.org/testport.php "Success"
> >
> >  conecta com high id, *mas parece nao fazer nenhum download*, nenhum upload.
> > configuracoes do emule nao foram alteradas, a nao ser portas, e limites de
> > dl/up coerentes, firewall do windows desativado, nenhum antivirus bloqueando
> > nada. botamos alguns arquivos com alta disponibilidade, mas nao esta copiando
> > nada.
> >
> >  tentei o mesmo setup retirando a seguinte regra:
> >
> >  iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
> >
> >  li e reli os conceitos de cada target, mas nao entendo pq nao funciona
> >
> >  usando o ethereal vi varios pacotes udp saindo de 10.1.1.4 para diversos
> > ips, julgo serem outros clientes da rede ed2k.
> >
> >  alguem tem uma ideia?
>
> 	Para casos especiais o iptables tem os módulos de conntrack, ou
> connection tracking, isso se aplica no FTP atrás de NAT, não sei se é
> aplicável ao protocolo do emule/ed2k. Tente olhar com iptraf para ver o
> estado das conexões, pode ser que ajude a compreender melhor o que está
> acontecendo.

 Ok, valeu. Agora está funcionando, não sei se porque adicionei outros estados de conexão (novas, estabelecidas, relacionadas) ou simplesmente porque os clientes p2p ficaram rodando por períodos maiores.
>
>
> >  obrigado!
>
> 	Abraço,
>
> - --
> Felipe Augusto van de Wiel (faw)
> "Debian. Freedom to code. Code to freedom!"
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iD8DBQFGQTaCCjAO0JDlykYRAjS4AJ95v1gbmxwMANSTCl/ORdcZAI62lgCgnWAa
> jgKXuiVbNcizwZC37Pbs/pA=
> =fSvb
> -----END PGP SIGNATURE-----
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>

Reply to:

Prev by Date: Re: Comando trava Linux
Next by Date: Duvida sobre a instalação do ipp2p
Previous by thread: Re: como alterar o nome das partições
Next by thread: Duvida sobre a instalação do ipp2p
Index(es):
- Date
- Thread