Как открыть порты на линуксе
Как открыть порты на линуксе
Помогите пожайлуста на линуксе включен маскарадинг так как внешний ip-постоянно меняется, но вот порты все закрытые. У фаерволе смотрим все открыто но клиеты не могут пользоватся некоторыми програмами через инет потомучто закрытые порты. Как вобще включить порты в линуксе что нужно прописать и ещё раз напоминаю что включен маскарадинг по ip
1. изучить (внимательно) хотя бы ватета
2. в результате изученного понять, что открытие/закрытие портов на рутере с маскарадом влияет только на соединения адресованные на сам рутер (а никак не на транзитные через рутер)
3. многие приложения ftp, ... etc открывают сопутствующие (RELATED) соединения, так вот трассировщик соединений на рутере с маскарадом должен их понимать и правильно обслуживать. Для этого существуют соответствующие модули ядра/iptables, ядро/иптейблс должны быть собраны с поддержкой необходимых модулей и эти модули должны быить своевременно загружены
2. в результате изученного понять, что открытие/закрытие портов на рутере с маскарадом влияет только на соединения адресованные на сам рутер (а никак не на транзитные через рутер)
3. многие приложения ftp, ... etc открывают сопутствующие (RELATED) соединения, так вот трассировщик соединений на рутере с маскарадом должен их понимать и правильно обслуживать. Для этого существуют соответствующие модули ядра/iptables, ядро/иптейблс должны быть собраны с поддержкой необходимых модулей и эти модули должны быить своевременно загружены
те которые нужны вот модули трассировщика собранные в твоём ядре:Александр писал(а):какие модули ядра должны быть включены
Код: Выделить всё
find "/lib/modules/`uname -r`/kernel/net/" -name '*conntrack*'|sed -e 's/^.*\///' -e 's/\([^\.]\)\..*/\1/'
кроме того тешу себя надеждой что текст предложенной статьи был хотя бы мельком всё же просмотрен... и стало понятно (или покрайней мере возник вопрос) а зачем это в цепочке FORWARD таблицы filter присутствует правило типа:ну а если чуть-чуть доработать приведённую мной выше команду то можно добиться безусловной загрузки всех имеющихся в наличии модулей трассировщика
Код: Выделить всё
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Код: Выделить всё
#!/bin/sh
LSMOD="/sbin/lsmod"
MODPROBE="/sbin/modprobe"
MODULES_DIR="/lib/modules/`uname -r`/kernel/net/"
MODULES=`find $MODULES_DIR -name '*conntrack*'|sed -e 's/^.*\///' -e 's/\([^\.]\)\..*/\1/'`
for module in $MODULES; do
if $LSMOD | grep ${module} >/dev/null; then continue; fi
$MODPROBE ${module} || exit 1
done
а если речь идёт о внешних соединениях на порты клиента (типа дерьма имени торрент и иже с ним) то нада ж понимать ватета:
Для нормальной работы торрент клиента на той машине, на которой он запущен нужен честный публичный IP адрес, пусть он даже и меняется от сеанса к сеансу. В этом случае, когда пир инициирует соединение с вами, то входящие запросы обрабатываются торрент клиентом, соответственно, вы видите подключенных пиров и некий аплоад. В тех же случаях когда торрент клиент работает через прокси или через нат он "виден" пирам IP адресом сервера , на котором крутится прокси или нат, поэтому пиры пытаются подсоединится по этому адресу и это у них, естественно, не получается.
Единственное что можно сделать на nat-ом сервере пробросить порт для входящих соединений на машину внутренней сети, соответственно, к той машине пиры смогут подцепится. Количество машин, на которые вы можете пробросить порт, ограничено количеством IP адресов, предоставляемых вам провайдером (для одного IP адреса можно пробросить только на одну машину)...
ну или выделить на рутере с натом диапазон портов для входящих пиринговых линков и пробрасывать разные порты на разные хосты внутренней сети, настроив соответствующим образом пиринг клиенты на этих хостах
кто ж виноват что протокол - дерьмо недаделатое (пассивный фтп ведь работает без проблем - значит и здесь можно)
Для нормальной работы торрент клиента на той машине, на которой он запущен нужен честный публичный IP адрес, пусть он даже и меняется от сеанса к сеансу. В этом случае, когда пир инициирует соединение с вами, то входящие запросы обрабатываются торрент клиентом, соответственно, вы видите подключенных пиров и некий аплоад. В тех же случаях когда торрент клиент работает через прокси или через нат он "виден" пирам IP адресом сервера , на котором крутится прокси или нат, поэтому пиры пытаются подсоединится по этому адресу и это у них, естественно, не получается.
Единственное что можно сделать на nat-ом сервере пробросить порт для входящих соединений на машину внутренней сети, соответственно, к той машине пиры смогут подцепится. Количество машин, на которые вы можете пробросить порт, ограничено количеством IP адресов, предоставляемых вам провайдером (для одного IP адреса можно пробросить только на одну машину)...
ну или выделить на рутере с натом диапазон портов для входящих пиринговых линков и пробрасывать разные порты на разные хосты внутренней сети, настроив соответствующим образом пиринг клиенты на этих хостах
кто ж виноват что протокол - дерьмо недаделатое (пассивный фтп ведь работает без проблем - значит и здесь можно)