Проброс порту за допомогою Arno Iptables Firewall

Привіт, з ми з вами дізналися, як налаштувати міжмережевий екран за допомогою скрипта буквально за 10 кроків. І при цьому також ми з вами підняли шлюз для локальної мережі, тим самим забезпечивши всю мережу або кілька комп’ютерів Інтернетом.

У даній статті ми з вами навчимося прокидати порти з локальної мережі назовні, що може бути дуже корисно для будь-якого системного адміністратора. Який, в свою чергу, хоче зробити, наприклад віддалений доступ до FTP-сервера.

Взагалі даними способом можна прокинути порти для чого вашій душі завгодно, будь то сервер Counter-Strike або будь-який інший сервіс.

Отже, для того, щоб відкрити порти ззовні вам знадобиться налаштований під ваші потреби міжмережевий екран, приклад налаштування ви можете бачити в попередній статті.

Якщо ви цікавитеся цією темою, то, як мені здається, у вас вже є досвід роботи в консолі лінукс і питань як, де, що відкрити і що таке консоль не повинно бути.

Якщо вищеописані навички у вас відсутні, то вам буде трохи складно зрозуміти як налаштовувати все, що буде приведено нижче.

Проброс порту за допомогою Arno Iptables Firewall

Отже, як ви вже напевно, здогадалися для проброса порту ми будемо використовувати вбудовані можливості скрипта Arno Iptables Firewall.

Також комп’ютер, на який ми і будемо відкривати порт знаходиться за Інтернет-сервером.

Для більшого розуміння завдання давайте візьмемо приклад мережі з попередньої статті.

Наш комп’ютер з фаєрволом має дві реальні мережеві карти плюс одну віртуальну.

  • Eth0 – Дивиться в хаб провайдера (інтернет)
  • Eth1 – Дивиться в локальну мережу (192.168.3.0/24)
  • PPP0 – Віртуальний інтерфейс

Також в нашій мережі є комп’ютер з ip-адресою 192.168.3.69/24, на який ми і хочемо прокинути порт.

Так як комп’ютер для якого ми і будемо відкривати порт з операційною системою Windows можна для тренування прокинути порт 3389 RDP (Remote Desktop Protocol – протокол віддаленого робочого стола).

Що згодом дозволить нам працювати з цим комп’ютером за допомогою стандартної програми підключення до віддаленого робочого столу.

Приступимо безпосередньо до налаштування, для цього відкриваємо консоль, стаємо супер-користувачем і пишемо в консолі ось таку команду:

nano /etc/arno-iptables-firewall/firewall.conf

Як ви можете бачити на скріншоті я використовую редактор nano, в вашому випадку редактор може бути іншим. Також в різних версіях Лінукс-шляху можуть відрізнятися, майте це на увазі, для написання даної статті використовувалася debian 6.0.

Після виконання команди в консолі відкриється конфігураційний файл, який нам і потрібно буде підредагувати.

Якщо бути точніше, то нам потрібна всього одна строчка в цьому кофігураціонном файлі: NAT_FORWARD_TCP = “”

Знаходимо її і редагуємо наступним чином:

NAT_FORWARD_TCP = “3389>192.168.3.69 “

Де 3389 це номер порту, а 192.168.3.69 це ip адреса комп’ютера.

Також можна вказати кілька портів через кому, це робиться в тому випадку, якщо на один комп’ютер потрібно відкрити кілька портів.

Існують також і трохи інші конфігурації в залежності від завдань, поставлених перед вами.

Наприклад, давайте прокинув порт 2222 на порт комп’ютера 22 з ip адресою 192.168.3.69, в такому випадку запис в файлі конфігурації буде виглядати приблизно так:

NAT_FORWARD_TCP = “2 222>192.168.3.69 ~ 22 “

такий невеликий трюк з портами може бути корисний, якщо ви не хочете відкривати зовнішнього світу ваш реальний номер порту або ж просто порт з таким номером вже відкритий для іншого комп’ютера.

Ну, і наостанок розглянемо ще один варіант, коли вам потрібно відкрити різні порти для різних комп’ютерів в локальній мережі. Наприклад, один комп’ютер буде доступний по порту 3389, а інший по порту 22, при цьому ви повинні розуміти що комп’ютери різні і ip-адреси у них теж будуть різні. Один комп’ютер всередині локальної мережі у нас вже є з ip-адресою 192.168.3.69, тепер ми додамо до нього ще один комп’ютер з ip-адресою 192.168.3.70.

У такій конфігурації запис у файлі налаштувань буде виглядати наступним чином:

NAT_FORWARD_TCP = “3389>192.168.3.69 22>192.168.3.70 “

На цьому, я думаю, коштувати закінчити, так як всі карти розкриті, якщо хто чогось не зрозумів, вибачайте, пояснював як тільки міг простіше.

Ссылка на основную публикацию