[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: emule / iptables / nat / linux roteador.. o que está errado?

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 05/07/2007 10:51 PM, nuser wrote:
>  oi,
> 
>  estou usando o linux, kernel 2.6, debian, como roteador. há 1 cliente 
>  winxp que necessita usar emule, web, msn, skype, e por aí vai.
>  eth0: internet, ip é dado pelo modem, é um ip da internet de fato (200.x)
>  eth1: segunda placa, que é o gateway dos micros com windows.
> 
>  como está o firewall:
> 
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
> iptables -P INPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -P OUTPUT ACCEPT

	Você não fez nenhuma restrição, ou seja, os pacotes são aceitos
em todas as cadeias.


> iptables -t nat -A POSTROUTING -s 10.1.1.0/255.255.255.0 -o eth0 -j MASQUERADE

	Ok, você está mascarando todo o tráfego da sua rede interna.


> iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> # Portas como estão configuradas no emule do cliente 10.1.1.4
> iptables -A INPUT -i eth0 -p TCP --dport 41001 -m state --state NEW -j ACCEPT
> iptables -A INPUT -i eth0 -p UDP --dport 41002 -m state --state NEW -j ACCEPT

	Essas regras não fazem nenhuma diferença, sua POLICY é ACCEPT
para a cadeia de INPUT, ou seja, você aceita tudo que chega.


> iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT

	Mesma coisa.


> # agora redireciona aquelas acima
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41001 -j DNAT --to 10.1.1.4:41001
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41002 -j DNAT --to 10.1.1.4:41002

	Veja, você redirecionou o tráfego TCP da porta 41002 e lá em
cima você mexeu com o tráfego UDP, como eu disse, a regra de ACCEPT
não fará diferença, mas pode ser que você tenha errado o DNAT do
protocolo.


>  lá no cliente windows o teste funciona:
>  http://www.amule.org/testport.php "Success"
> 
>  conecta com high id, *mas parece nao fazer nenhum download*, nenhum upload. 
> configuracoes do emule nao foram alteradas, a nao ser portas, e limites de
> dl/up coerentes, firewall do windows desativado, nenhum antivirus bloqueando
> nada. botamos alguns arquivos com alta disponibilidade, mas nao esta copiando
> nada.
> 
>  tentei o mesmo setup retirando a seguinte regra:
> 
>  iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
> 
>  li e reli os conceitos de cada target, mas nao entendo pq nao funciona
> 
>  usando o ethereal vi varios pacotes udp saindo de 10.1.1.4 para diversos 
> ips, julgo serem outros clientes da rede ed2k.
> 
>  alguem tem uma ideia?

	Para casos especiais o iptables tem os módulos de conntrack, ou
connection tracking, isso se aplica no FTP atrás de NAT, não sei se é
aplicável ao protocolo do emule/ed2k. Tente olhar com iptraf para ver o
estado das conexões, pode ser que ajude a compreender melhor o que está
acontecendo.


>  obrigado!

	Abraço,

- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGQTaCCjAO0JDlykYRAjS4AJ95v1gbmxwMANSTCl/ORdcZAI62lgCgnWAa
jgKXuiVbNcizwZC37Pbs/pA=
=fSvb
-----END PGP SIGNATURE-----
Reply to: