The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблемы с iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение [ Отслеживать ]

"Проблемы с iptables"  +/
Сообщение от rodley email(ok) on 02-Янв-13, 04:37 
Есть 2 подсети, соеденениы через IPSEC:

192.192.2.0/24
       |
     DI-804 (192.168.2.1)
       |
      inet (x.x.x.x)
       |
      inet
       |
      eth0 (y.y.y.y)
       |
    fedora 17
       |
      eth1 (192.168.1.119)
       |
192.168.1.0/24

При отключении iptables - подсети друг - друга видять, всё пингуется. При запуске iptables, при пинге из подсети 192.168.2.0 пакеты проходят в подсеть 192.168.1.0 и режутся на обратном пути. Т.е. ошибка где-то в iptables. Что там нужно прописать?      

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблемы с iptables"  +/
Сообщение от КуКу (ok) on 03-Янв-13, 11:01 
Прописать нужное правило разрешающее это.


Когда же уже научитесь показывать конфиги того что есть, а то телепаты на рождественских каникулах.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проблемы с iptables"  +/
Сообщение от rodley email(ok) on 03-Янв-13, 13:59 
> Прописать нужное правило разрешающее это.
> Когда же уже научитесь показывать конфиги того что есть, а то телепаты
> на рождественских каникулах.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблемы с iptables"  +/
Сообщение от rodley email(ok) on 03-Янв-13, 13:59 
> Прописать нужное правило разрешающее это.
> Когда же уже научитесь показывать конфиги того что есть, а то телепаты
> на рождественских каникулах.

# Generated by iptables-save v1.4.14 on Thu Jan  3 05:14:53 2013
*nat
:PREROUTING ACCEPT [19069:1606698]
:INPUT ACCEPT [7367:746250]
:OUTPUT ACCEPT [3111:832771]
:POSTROUTING ACCEPT [251:17260]
-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5568 -j DNAT --to-destination 192.168.1.5:5568
-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 449 -j DNAT --to-destination 192.168.1.5:5568
-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 3384 -j DNAT --to-destination 192.168.1.4:3389
-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 3385 -j DNAT --to-destination 192.168.1.5:3389
-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5200 -j DNAT --to-destination 192.168.1.20:5200
-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5201 -j DNAT --to-destination 192.168.1.20:5201
-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5202 -j DNAT --to-destination 192.168.1.20:5202
-A POSTROUTING -s 192.168.1.4/32 -p tcp -m tcp --dport 9100 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Jan  3 05:14:53 2013
# Generated by iptables-save v1.4.14 on Thu Jan  3 05:14:53 2013
*mangle
:PREROUTING ACCEPT [263978:191286191]
:INPUT ACCEPT [46410:5673380]
:FORWARD ACCEPT [217567:185612446]
:OUTPUT ACCEPT [14385:2101692]
:POSTROUTING ACCEPT [224644:186440022]
COMMIT
# Completed on Thu Jan  3 05:14:53 2013
# Generated by iptables-save v1.4.14 on Thu Jan  3 05:14:53 2013
*filter
:INPUT DROP [3348:186779]
:FORWARD DROP [2208:234048]
:OUTPUT DROP [2595:794348]
:RH-Firewall-1-INPUT - [0:0]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 4500 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 449 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3384 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3385 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5200 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5201 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 5202 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -i eth0 -p esp -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.4/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.5/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.5/32 -i eth0 -o eth1 -p tcp -m tcp --dport 449 -j ACCEPT
-A FORWARD -d 192.168.1.20/32 -i eth0 -o eth1 -p tcp -m tcp --dport 5200 -j ACCEPT
-A FORWARD -d 192.168.1.20/32 -i eth0 -o eth1 -p tcp -m tcp --dport 5201 -j ACCEPT
-A FORWARD -d 192.168.1.20/32 -i eth0 -o eth1 -p tcp -m tcp --dport 5202 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 80,443,465,110,25,143,995,3384,3385,3389,5190,5557,5568,5201,5202 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --sports 80,110,443,465,25,143,995,3384,3385,3389,5190,5557,5568,5201,5202 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 449,4500,500 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --sports 449,4500,500 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p icmp -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 9100 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 9100 -j ACCEPT
-A OUTPUT -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 500 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 20 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 20 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3384 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3385 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3389 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 5200 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 5201 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 5202 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 449 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 449 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 433 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 433 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 9100 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A fail2ban-SSH -j RETURN
COMMIT
# Completed on Thu Jan  3 05:14:53 2013

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Проблемы с iptables"  +/
Сообщение от КуКу (ok) on 03-Янв-13, 15:15 
-A INPUT -i eth0 -p gre -j ACCEPT

а в аутпут нету разрешения на gre протокол.

и для дебага tcpdump'ом можно посмотреть где рубит

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Проблемы с iptables"  +/
Сообщение от rodley email(ok) on 03-Янв-13, 20:54 
> -A INPUT -i eth0 -p gre -j ACCEPT
> а в аутпут нету разрешения на gre протокол.

добавил -A OUTPUT -o eth0 -p gre -j ACCEPT
Эффекта нет :(
> и для дебага tcpdump'ом можно посмотреть где рубит

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проблемы с iptables"  +/
Сообщение от rodley email(ok) on 03-Янв-13, 20:55 
> -A INPUT -i eth0 -p gre -j ACCEPT
> а в аутпут нету разрешения на gre протокол.
> и для дебага tcpdump'ом можно посмотреть где рубит

О! Добавил -A OUTPUT -o eth0 -p esp -j ACCEPT - всё заработало! Спасибо за наводку!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру