Re: emule / iptables / nat / linux roteador.. o que está errado?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 05/07/2007 10:51 PM, nuser wrote:
> oi,
>
> estou usando o linux, kernel 2.6, debian, como roteador. há 1 cliente
> winxp que necessita usar emule, web, msn, skype, e por aí vai.
> eth0: internet, ip é dado pelo modem, é um ip da internet de fato (200.x)
> eth1: segunda placa, que é o gateway dos micros com windows.
>
> como está o firewall:
>
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
> iptables -P INPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -P OUTPUT ACCEPT
Você não fez nenhuma restrição, ou seja, os pacotes são aceitos
em todas as cadeias.
> iptables -t nat -A POSTROUTING -s 10.1.1.0/255.255.255.0 -o eth0 -j MASQUERADE
Ok, você está mascarando todo o tráfego da sua rede interna.
> iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> # Portas como estão configuradas no emule do cliente 10.1.1.4
> iptables -A INPUT -i eth0 -p TCP --dport 41001 -m state --state NEW -j ACCEPT
> iptables -A INPUT -i eth0 -p UDP --dport 41002 -m state --state NEW -j ACCEPT
Essas regras não fazem nenhuma diferença, sua POLICY é ACCEPT
para a cadeia de INPUT, ou seja, você aceita tudo que chega.
> iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
Mesma coisa.
> # agora redireciona aquelas acima
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41001 -j DNAT --to 10.1.1.4:41001
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41002 -j DNAT --to 10.1.1.4:41002
Veja, você redirecionou o tráfego TCP da porta 41002 e lá em
cima você mexeu com o tráfego UDP, como eu disse, a regra de ACCEPT
não fará diferença, mas pode ser que você tenha errado o DNAT do
protocolo.
> lá no cliente windows o teste funciona:
> http://www.amule.org/testport.php "Success"
>
> conecta com high id, *mas parece nao fazer nenhum download*, nenhum upload.
> configuracoes do emule nao foram alteradas, a nao ser portas, e limites de
> dl/up coerentes, firewall do windows desativado, nenhum antivirus bloqueando
> nada. botamos alguns arquivos com alta disponibilidade, mas nao esta copiando
> nada.
>
> tentei o mesmo setup retirando a seguinte regra:
>
> iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
>
> li e reli os conceitos de cada target, mas nao entendo pq nao funciona
>
> usando o ethereal vi varios pacotes udp saindo de 10.1.1.4 para diversos
> ips, julgo serem outros clientes da rede ed2k.
>
> alguem tem uma ideia?
Para casos especiais o iptables tem os módulos de conntrack, ou
connection tracking, isso se aplica no FTP atrás de NAT, não sei se é
aplicável ao protocolo do emule/ed2k. Tente olhar com iptraf para ver o
estado das conexões, pode ser que ajude a compreender melhor o que está
acontecendo.
> obrigado!
Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFGQTaCCjAO0JDlykYRAjS4AJ95v1gbmxwMANSTCl/ORdcZAI62lgCgnWAa
jgKXuiVbNcizwZC37Pbs/pA=
=fSvb
-----END PGP SIGNATURE-----
Reply to: