Salut Ciprian, Nu este chair asa de simplu: Daca giggel initiaza o conexiune catre gogu, mai merge cite ceva. Daca gogu initiaza primul o conexiune catre gigel, moare in firewall.
Gineste-te la urmatoarea situatie: 1. Gigel cauta gogu. Gigel are patch, gogu nu. gigel(lan)----->eth1neroutabil-->router/nat--->eth0routabil-----internet-------->gogu se stabileste conexiunea. gigel deschide catre gogu un canal video gogu nu poate deschide catre gigel alt canal video (asa lucreaza progul asta). In cel mai fericit caz, se stabileste numai juma de videochat. 2. Gogu cauta gigel. Gigel are patch, gogu nu. gogu(random)---->internet------>eth0routabil--->router/nat--->eth1neroutabil------->gigel(lan) Gogu face cumstie default: random ports => routerul meu drop la pachete In acest caz, nici macar nu pot fi apelat! deci eu nu am cum sa controlez masina lu gogu. Este exact ceea ce vad in firewall cind fac log. >deci tu ai numai unele porturi deschise pe in, pe out > pentru omul tau le lasi pe toate Cum adica....clientul meu din lan este pe neroutabila, deci prima data (vreau nu vreau) pachetele intra in interfata EXTERNA pe input. Trec de input si ajung in FORWAD. Aici sa presupun ca le fac ceva si le trimit la gigi. Pina sa ajung sa le trimit, inainte trebuie sa le accept pe router de oriunde in "gama" 1024:/udp Mai mult: -daca permit accesul pe router de oriunde din sport (5700:57001) catre (1024:/udp) NU MERGE!!!!! -daca permit accesul pe router de oriunde din sport (1024:/udp) catre (5700:5701/udp) TOT NU MERGE! -daca le pun pe amindoua TOT NU MERGE! Ce vad permanent in loguri sunt cereri de conectare numai din porturi sursa RANDOM peste 1024:/udp de pe masinile altora din internet! Asta e problema. singura configuratie care merge este: ipchains -A input -i eth0 -p udp --sport 1024: --dport 1024: -j ACCEPT ipchains -A output -i eth0 -p udp --sport 1024: --dport 1024: -j ACCEPT unde eth0 este interfata externa a routerului. Cu aceasta configuratie, pot fi APELAT de oricine si pot APELA pe oricine! Configuratia asta nu prea-mi convine din cauza porturilor 1024:/udp deschise pe router. Pe mine ma interesa cum fac sa las sa treaca prin router, NUMAI astfel de pachete si NUMAI pentru gigel din lanul meu, care are NEROUTABILA, fara sa las routerul deschis pe 1024:udp! > deci in router pui: tot ce vine pe placa externa si are ca destinatie > local(ca ai fcut nat), udp si port 4000, si vine de undeva, pe un > port peste 1024, udp, il las sa treaca Ce vine pe eth0, vine cu destinatie catre IP_ROUTABIL_ROUTER si nu IP_NERUTABIL_PC_VIDEOCHAT. Routerul meu mai incolo hotaraste (in forward) daca pachele respective se mai duc in lan sau nu (sper sa nu ma insel). Deci cum o sa fac asta cind gigelu meu din lan are NEROUTABILA si in forward am: ipchains -A forwad -s $INTNET -i etho -j MASQ Mihai --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
