форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"outgoing Ping"

Сообщение от andrey (??) on 25-Авг-08, 12:14

Доброго времени суток. Так -A INPUT -p icmp --icmp-type 8 -s 0/0 -d $SERVER_IP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -p icmp --icmp-type 0 -s $SERVER_IP -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -p icmp --icmp-type 8 -s $SERVER_IP -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp --icmp-type 0 -s 0/0 -d $SERVER_IP -m state --state ESTABLISHED,RELATED -j ACCEPT или так -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type any -j ACCEPT не работает исходящий пинг на локальные машины. Без iptables всё ходит. В чём я не прав ? Заранее спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "outgoing Ping"

Сообщение от Andrey Mitrofanov on 25-Авг-08, 16:53

>-A INPUT -p icmp --icmp-type 8 -s 0/0 -d $SERVER_IP -m state >-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT >не работает исходящий пинг на локальные машины >В чём я не прав ? Заранее спасибо. На/с локальных машин $SERVER_IP другой? Я угадал? :-/ Хотя во втором варианте, вроде, и должно работать. ...проще надо, проще, но всё равно разбираться придётся... http://www.opennet.dev/openforum/vsluhforumID10/3779.html#4 & #5

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "outgoing Ping"

Сообщение от andrey (??) on 26-Авг-08, 09:58

Ага есть контакт. Итак, прокси имеет 2 интерфейса один в инет, другой в локалку. При включённом iptables имеем tcpdump при пинге: server_internet_ip -> some_local_ip конечно ничего не приходит и пинг молчит. При выключенном iptables имеем tcpdump при пинге: server_local_ip -> some_local_ip конечно всё рабтает. Я конечно где-то в конфигах накосячил. Вот только где?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "outgoing Ping"

Сообщение от andrey (??) on 26-Авг-08, 10:13

Всем спасибо, туплю. Андрею Митрофанову отдельное спс. -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to $INTERNET_IP А в сети есть второй прокси с таким же внешним IP, на него и настроены клиенты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "outgoing Ping"
	Сообщение от daevy on 26-Авг-08, 12:06
	имхо применение модуля state для icmp это излишнее, а вот почему подумайте сами:-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "outgoing Ping"
	Сообщение от Andrey Mitrofanov on 26-Авг-08, 13:33
	>имхо применение модуля state для icmp это излишнее, Нет.(С) Учите мат.часть. Соедиение TCP и состояние "соедиения" в Netfilter - даже не однофамильцы. http://www.opennet.dev/docs/RUS/iptables/#STATEMACHINE > а вот почему подумайте сами:-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "outgoing Ping"
	Сообщение от daevy on 26-Авг-08, 14:21
	>Учите мат.часть. Соедиение TCP и состояние "соедиения" в Netfilter - даже не >однофамильцы. извините коллега, если задел вас постом я имел ввиду совсем не то что вы подумали, (вчитайтесь еще раз) объясните мне практический смысл правила с проверкой состояния для icmp? разве только DROP'ть INVALID. для себя не имею смысла добавлять такое правило так как в цепочке где проверяется разрешенный траф, стоит правило $IPTABLES -A allowed -m state --state INVALID -j DROP под которое попадают пакеты независимо от протокола. или может я гдето не прав
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "outgoing Ping"
	Сообщение от Andrey Mitrofanov on 26-Авг-08, 16:27
	>извините коллега, если задел вас постом Конечно задело...-->(1) см.ниже. >я имел ввиду совсем не то что вы подумали, (вчитайтесь еще раз) Что применение модуля state для icmp _не_ излишне? Ну, да... Я доверяю в этом вопросе автору firehol, и при поверхностном взгляде (нет, исходники ядра я читатть не пойду) склонен присоединиться к его выбору. Что коллега не учил мат.часть? Да, был не прав. Не затруднил себя политкорректнее как-нибудь "ввернуть" или отвечать "точно по тексту". >объясните мне практический смысл правила с проверкой состояния для icmp? Ещё более "жёсткая" проверка, чего "пускать". >разве только DROP'ть INVALID. Ну, там ни про DROP, ни про INVALID речи не было, в общем-то... -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth2 -o eth0 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACCEPT -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o eth2 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT Да, это не сильно отличается от того же самого без "-m state --state NEW,ESTABLISHED" и "-m state --state ESTABLISHED". Но отличается - для меня этого достаточно. А, для кого-то, совсем почти не отличается от "-A FORWARD -m icmp --icmp-type any -j ACCEPT". Тоже ведь ничего - работает. Вы ведь _ему_ рассказывали про "излишний" -m state? --- Что до меня, так "излишними" являются километровые скрипты с вызовами $IPTABLES, их отладка через "ой, а чегой-то у меня здесь не так?!/оцените скрипт?" в форумах и забивание головы деталями man iptables и кучей "правил написанияя простыни" при чтении и, ни дай бог, исправлении этого счастья. Моё NSHO заключается в том, что "пустить пинги наружу" это слово ping между словами client и accept в секции $"где у меня там секция "наружу"?". (1)--> Конечно меня задела попытка "учить" меня совсем неочевидным (и не нужным мне) деталям, которых я бы и в глаза :) не видел, но когда _посмотрел_ -- решил, что "тупой скрипт" ((знаю: _автор_ весьма приличного скрипта, на самом деле)) таки прав в деталях, а я прав в том, что на них и смотреть-то не хотел. :))))))))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]