sql7
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to: Sedymoy
Цитата: q:Подскажите пожалуйста какие порты и протоколы нужно открывать для ICQ для того чтоб заставить её конектится через сервер на котором установлен iptables
a:ходить на login.icq.com на порт 5190 |
добавлю. только вначале icq клиент имеет дело с login.icq.com:5190
они обмениваются парой пакетов а потом клиент обращается на совсем другой сервер на тот же порт 5190. и работает с ним.
как я понимаю клиент вначале проходит аутентификацию на login.icq.com и если она успешна то login.icq.com передает клиенту IP адрес сервера который уже будет обслуживать переписку.
это нужно реально учитывать.
если прописать очень строгие правила в iptables что можно выходить в инет только по login.icq.com:5190 то icq работать не будет.
Добавлено:
Цитата: Вот пример цепочки которую я прописал
iptables -t filter -A FORWARD -o eth0 -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0 -p tcp --sport 5190 -j ACCEPT |
по крайней мере видно ошибку --sport 5190. 5190 не source порт а дестинэйшн порт. должно быть например так
# iptables -t filter -A FORWARD -i eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
и eth0 смотрит в LAN.
Цитата:| iptables -t filter -A FORWARD -o eth0 -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0 -p udp --sport 4000 -j ACCEPT |
порт 4000 не нужен. достаточно 5190.
и еще нужно прикрывать попу пакетам когда их выпускаем в Internet. - подменять адрес источника на $WAN_IP шлюза с iptables
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $WAN_IP
также нужно не забыть разрешить форвардинг , то есть транзитный трафик через комп с iptables
#echo "1" > /proc/sys/net/ipv4/ ip_forward
делать это нужно каждую перезагрузку компа. или вместо этого можно занести это дело в файл
/etc/sysctl.conf
net.ipv4.ip_forward=1
если разрешения для DNS корректно прописаны как утверджается то должно рабоать.
Добавлено:
to SpiKost:
Цитата:| -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 5190 -j ACCEPT |
это правило связано с цепочкой Input. а пакеты попадают на этот кпп только если они предназначены для компа на котором iptables крутится.
иными словами правило повлияет (если правильно написано) только на аську на компе на котором крутится iptables(если туда эту аську установить).
а в шапке просят
Цитата:| чтоб заставить её конектится через сервер на котором установлен iptables |
подсказать что прописать еслли комп с iptables только посредник, через него icq трафик потечет транзитно, сквозь.
 |
Всего записей: 57 | Зарегистр. 15-08-2006 | Отправлено: 12:55 01-02-2010 | Исправлено: sql7, 14:51 01-02-2010 |
|
