forum.opennet.ru - "IPTABLES пинги и ходят" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPTABLES пинги и ходят"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPTABLES пинги и ходят"
Сообщение от YuroN (??) on 07-Май-08, 14:58
есть сервер раздающий интернет eth0 локалка eth1 инет интернет работает, пользователи работают вообщем проблема такова: не ходят пинги из локальной сети и нтернет причем из сервера нормально пингует и интерфейсі все пингуются. cat /etc/iptables.conf # Generated by iptables-save v1.3.5 on Wed Apr 25 11:15:11 2007 filter :INPUT ACCEPT [2429:1060423] :FORWARD DROP [0:0] :OUTPUT ACCEPT [2830:1264752] :FLAME - [0:0] :ST_NAT - [0:0] :TZ_NAT - [0:0] :ST_DMZ - [0:0] -A INPUT -s ! <инет_адрес> -d <инет_адрес> -p tcp -m tcp --dport 80 -j DROP #-A INPUT -s ! <инет_адрес> -d <инет_адрес> -p tcp -m tcp --dport 443 -j DROP #-A INPUT -d 82.144.205.41 -p tcp -m tcp --dport 389 -j ACCEPT #-A INPUT -d <инет_адрес> -p udp -m udp --dport 389 -j ACCEPT # dlya luganskogo filiala (provayder rubit 25 port) #-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 2525 -j ACCEPT #-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 2525 -j REDIRECT --to-ports 25 # ------------------------ -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 8080 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 5900:5909 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 5800:5909 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 6000:6009 -j DROP #-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 3306 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 21 -j DROP #-A INPUT -s ! 192.168.0.0/24 -d <инет_адрес> -p tcp -m tcp --dport 80 -j DROP #-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 80 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 389 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 2000 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 53 -j DROP -A INPUT -d <инет_адрес> -p udp -m udp --dport 53 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 143 -j DROP -A INPUT -d <инет_адрес> -p tcp -m tcp --dport 993 -j DROP #-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 995 -j DROP #-A INPUT -d <инет_адрес> -p icmp -m icmp -j DROP -A FORWARD -p icmp -j ACCEPT -A FORWARD -j FLAME -A FORWARD -p tcp -m tcp --dport 5190 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -p tcp -m tcp --sport 5190 -j ACCEPT -A FORWARD -p tcp -m tcp --sport 443 -j ACCEPT -A FORWARD -p tcp -m tcp --sport 110 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 123 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 82 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 81 -j ACCEPT #utel.net.ua - mail -A FORWARD -s 0.0.0.0/0.0.0.0 -d 213.186.112.2 -j ACCEPT #1C #-A FORWARD -s 192.168.0.100 -p tcp -m tcp --dport 25 -j ACCEPT #-A FORWARD -d 192.168.0.100 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.0.100 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.100 -i eth1 -j ACCEPT # -A FORWARD -s 192.168.0.193 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.193 -i eth0 -j ACCEPT -A FORWARD -s 192.168.0.195 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.195 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.75 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.75 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.147 -i eth0 -j ACCEPT -A FORWARD -s 192.168.0.123 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.147 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.21 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.21 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.145 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.145 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.29 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.29 -i eth1 -j ACCEPT -A FORWARD -s 192.168.2.4 -i eth0 -j ACCEPT -A FORWARD -d 192.168.2.4 -i eth1 -j ACCEPT -A FORWARD -s 192.168.2.20 -i eth0 -j ACCEPT -A FORWARD -d 192.168.2.20 -i eth1 -j ACCEPT -A FORWARD -s 192.168.2.15 -i eth0 -j ACCEPT -A FORWARD -d 192.168.2.15 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.156 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.156 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.163 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.163 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.186 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.186 -i eth1 -j ACCEPT #buhgalter Enis -A FORWARD -s 192.168.0.18 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.18 -i eth1 -j ACCEPT #zaharchenko -A FORWARD -s 192.168.0.30 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.30 -i eth1 -j ACCEPT #mtsbu -A FORWARD -s 192.168.0.122 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.122 -i eth1 -j ACCEPT #ubytki -A FORWARD -s 192.168.0.248 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.248 -i eth1 -j ACCEPT #dev_server -A FORWARD -s 192.168.0.104 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.104 -i eth1 -j ACCEPT #yaroslav_galeckiy -A FORWARD -s 192.168.0.220 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.220 -i eth1 -j ACCEPT #new_director IT # -A FORWARD -s 192.168.0.22 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.22 -i eth1 -j ACCEPT #d_igolnikov -A FORWARD -s 192.168.0.25 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.25 -i eth1 -j ACCEPT # vremenno #-A FORWARD -s 192.168.0.3 -i eth0 -j ACCEPT #-A FORWARD -d 192.168.0.3 -i eth1 -j ACCEPT # #timoshevskiy -A FORWARD -s 192.168.0.27 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.27 -i eth1 -j ACCEPT #shkolna -A FORWARD -s 192.168.0.38 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.38 -i eth1 -j ACCEPT #bank -A FORWARD -s 192.168.0.169 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.169 -i eth1 -j ACCEPT #s-service -A FORWARD -s 192.168.0.10 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.10 -i eth1 -j ACCEPT # #Radukin -A FORWARD -s 192.168.0.111 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.111 -i eth1 -j ACCEPT #HODC -A FORWARD -s 192.168.0.1 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.1 -i eth1 -j ACCEPT #################################################### -A FORWARD -s 10.0.0.0/16 -i eth0 -j ACCEPT -A FORWARD -d 10.0.0.0/16 -i eth1 -j ACCEPT #################################################### #karbone -A FORWARD -s 192.168.0.99 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.99 -i eth1 -j ACCEPT #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! удалить срочно! -A FORWARD -s 192.168.0.239 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.239 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.161 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.161 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.90 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.90 -i eth1 -j ACCEPT -A FORWARD -s 192.168.0.119 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.119 -i eth1 -j ACCEPT #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! # #-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT #-A FORWARD -d 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT #-A FORWARD -s 192.168.2.0/255.255.255.0 -i eth0 -j ACCEPT #-A FORWARD -d 192.168.2.0/255.255.255.0 -i eth1 -j ACCEPT -A ST_NAT -p icmp -j ACCEPT -A TZ_NAT -p icmp -j ACCEPT -A OUTPUT -p icmp -j ACCEPT # -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT -A INPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT #-A INPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT #-A OUTPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT #-A FORWARD -p icmp -s 0/0 -d 0/0 -j ACCEPT # COMMIT # Completed on Wed Apr 25 11:15:11 2007 # Generated by iptables-save v1.3.5 on Wed Apr 25 11:15:11 2007 nat :PREROUTING ACCEPT [750:41466] :POSTROUTING ACCEPT [168:10189] :OUTPUT ACCEPT [168:10189] :FLAME - [0:0] :ST_NAT - [0:0] :TZ_NAT - [0:0] :ST_DMZ - [0:0] -A PREROUTING -p icmp -j ACCEPT -A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 8090 -j DNAT --to-destination 192.168.0.100:80 #-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.195 #-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.0.104 # # squid -A PREROUTING -d 192.168.0.254 -p tcp -m tcp --dport 80 -j ACCEPT -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 -A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 #smtp -A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 8025 -j REDIRECT --to-ports 25 # #-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 1055 #-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 8080 # -A POSTROUTING -p icmp -j ACCEPT -A POSTROUTING -s 192.168.0.100 -o eth1 -j ST_DMZ -A POSTROUTING -d 192.168.0.100 -o eth0 -j ACCEPT -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j ST_NAT -A POSTROUTING -d 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT -A POSTROUTING -s 192.168.2.0/255.255.255.0 -o eth1 -j TZ_NAT -A POSTROUTING -d 192.168.2.0/255.255.255.0 -o eth0 -j ACCEPT ################## -A POSTROUTING -s 10.0.0.0/255.255.0.0 -o eth1 -j TZ_NAT -A POSTROUTING -d 10.0.0.0/255.255.0.0 -o eth0 -j ACCEPT ################## -A FLAME -p tcp -m tcp --dport 445 -j DROP -A FLAME -p udp -m udp --sport 135:139 -j DROP -A FLAME -p udp -m udp --dport 135:139 -j DROP -A ST_NAT -p tcp -j SNAT --to-source <инет_адрес> -A ST_NAT -p udp -j SNAT --to-source <инет_адрес> -A ST_NAT -p icmp -j SNAT --to-source <инет_адрес> -A ST_DMZ -p tcp -j SNAT --to-source <инет_адрес> -A ST_DMZ -p udp -j SNAT --to-source <инет_адрес> -A ST_DMZ -p icmp -j SNAT --to-source <инет_адрес> -A TZ_NAT -p tcp -j SNAT --to-source <инет_адрес> -A TZ_NAT -p udp -j SNAT --to-source <инет_адрес> -A TZ_NAT -p icmp -j SNAT --to-source <инет_адрес> COMMIT # Completed on Wed Apr 25 11:15:11 2007 что сделать чтобы разрешить пинги на внешние сайты?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

IPTABLES пинги и ходят, reader, 15:45 , 07-Май-08, (1)

IPTABLES пинги и ходят, YuroN, 17:46 , 07-Май-08, (2)

IPTABLES пинги и ходят, reader, 00:38 , 11-Май-08, (3)
IPTABLES пинги и ходят, Andrey Mitrofanov, 18:13 , 24-Май-08, (4)

IPTABLES пинги и ходят, Andrey Mitrofanov, 16:50 , 25-Май-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPTABLES пинги и ходят"

Сообщение от reader (ok) on 07-Май-08, 15:45

>[оверквотинг удален]
># squid
>-A PREROUTING -d 192.168.0.254 -p tcp -m tcp --dport 80 -j ACCEPT
>
>-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 8080
>-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 8080
>#smtp
>-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 8025 -j REDIRECT --to-ports 25
>#
1
>#-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 1055
>#-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 21 -j REDIRECT
>--to-ports 8080
>#
>-A POSTROUTING -p icmp -j ACCEPT
-A POSTROUTING -p icmp -j SNAT --to-source <инет_адрес>
а если изменить?
>[оверквотинг удален]
>-A TZ_NAT -p tcp -j SNAT --to-source <инет_адрес>
>-A TZ_NAT -p udp -j SNAT --to-source <инет_адрес>
>-A TZ_NAT -p icmp -j SNAT --to-source <инет_адрес>
>
>
>COMMIT
># Completed on Wed Apr 25 11:15:11 2007
>
>
>что сделать чтобы разрешить пинги на внешние сайты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPTABLES пинги и ходят"

Сообщение от YuroN (??) on 07-Май-08, 17:46

По прежнему не пингует

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPTABLES пинги и ходят"

Сообщение от reader (ok) on 11-Май-08, 00:38

>По прежнему не пингует
смотрите счетчики в iptables когра пингуете.
покажите вывод iptables-save.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPTABLES пинги и ходят"

Сообщение от Andrey Mitrofanov on 24-Май-08, 18:13

>По прежнему не пингует
Ещё раскомментировать
...>>> #-A FORWARD -p icmp -s 0/0 -d 0/0 -j ACCEPT
или нет? вроде ж ниже уже есть:
>>>-A FORWARD -p icmp -j ACCEPT
Должно бы вроде проходить?
Вообще, не очень удобно читать написанный руками "скрипт" для iptables-restore -- порядок правил [для меня] не совсем очевиден... Покажи текущий вывод iptables-save -- без коментариев, зато более понятно.
Вот на моём любимом firehol %-) простой $) конфиг для SNAT-а пингов из внутрнней сети во внешний мир выглядел бы вот так:
=====
version 5
PUBLIC_MYIP=111.111.111.111
USERS="192.168.0.0/24"
snat to "${PUBLIC_MYIP}" outface "eth1" src "$USERS"
router ping4all inface eth0 outface eth2 src "$USERS"
client ping accept
=====
Вот iptables-save с-под него:
=====
# Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:nat.1 - [0:0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j nat.1
-A nat.1 -j SNAT --to-source 111.111.111.111
COMMIT
# Completed on Sat May 24 17:29:53 2008
# Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat May 24 17:29:53 2008
# Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:in_ping4all - [0:0]
:in_ping4all_ping_c1 - [0:0]
:out_ping4all - [0:0]
:out_ping4all_ping_c1 - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "'IN-unknown:'"
-A INPUT -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o eth2 -j in_ping4all
-A FORWARD -d 192.168.0.0/255.255.255.0 -i eth2 -o eth0 -j out_ping4all
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/sec -j LOG --log-prefix "'PASS-unknown:'"
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'"
-A OUTPUT -j DROP
-A in_ping4all -j in_ping4all_ping_c1
-A in_ping4all -m state --state RELATED -j ACCEPT
-A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT-A out_ping4all -j out_ping4all_ping_c1
-A out_ping4all -m state --state RELATED -j ACCEPT
-A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACOMMIT
# Completed on Sat May 24 17:29:53 2008
=====
Политики везде [где надо :) ] DROP - firehol так устроен (и логи ешё пишет - там, где про "*-unknown").
Соединения отслеживаются: не просто протокол icmp пускается, а "туда" - запросы, оттуда = ответы. (Должен быть загружен модуль ядра ip_conntrack, кстати! firehol его грузит. И ip_forward включает тоже, если надо.)
Ещё: http://www.google.ru/search?q=firehol+mitrofanov+site:openne...
FireHOL: http://firehol.sf.net/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPTABLES пинги и ходят"

Сообщение от Andrey Mitrofanov on 25-Май-08, 16:50

>-A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0
>-j ACCEPT-A out_ping4all -j out_ping4all_ping_c1
>-A out_ping4all -m state --state RELATED -j ACCEPT
>-A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8
>-j ACOMMIT
~~~Копипаст подвёл. Попытка#2:
-A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A out_ping4all -j out_ping4all_ping_c1
-A out_ping4all -m state --state RELATED -j ACCEPT
-A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACCEPT
COMMIT
~~~

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPTABLES пинги и ходят"
Сообщение от reader (ok) on 07-Май-08, 15:45
>[оверквотинг удален] ># squid >-A PREROUTING -d 192.168.0.254 -p tcp -m tcp --dport 80 -j ACCEPT > >-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT >--to-ports 8080 >-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT >--to-ports 8080 >#smtp >-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 8025 -j REDIRECT --to-ports 25 ># 1 >#-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 1055 >#-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 21 -j REDIRECT >--to-ports 8080 ># >-A POSTROUTING -p icmp -j ACCEPT -A POSTROUTING -p icmp -j SNAT --to-source <инет_адрес> а если изменить? >[оверквотинг удален] >-A TZ_NAT -p tcp -j SNAT --to-source <инет_адрес> >-A TZ_NAT -p udp -j SNAT --to-source <инет_адрес> >-A TZ_NAT -p icmp -j SNAT --to-source <инет_адрес> > > >COMMIT ># Completed on Wed Apr 25 11:15:11 2007 > > >что сделать чтобы разрешить пинги на внешние сайты?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "IPTABLES пинги и ходят"
	Сообщение от YuroN (??) on 07-Май-08, 17:46
	По прежнему не пингует
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "IPTABLES пинги и ходят"
	Сообщение от reader (ok) on 11-Май-08, 00:38
	>По прежнему не пингует смотрите счетчики в iptables когра пингуете. покажите вывод iptables-save.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPTABLES пинги и ходят"
	Сообщение от Andrey Mitrofanov on 24-Май-08, 18:13
	>По прежнему не пингует Ещё раскомментировать ...>>> #-A FORWARD -p icmp -s 0/0 -d 0/0 -j ACCEPT или нет? вроде ж ниже уже есть: >>>-A FORWARD -p icmp -j ACCEPT Должно бы вроде проходить? Вообще, не очень удобно читать написанный руками "скрипт" для iptables-restore -- порядок правил [для меня] не совсем очевиден... Покажи текущий вывод iptables-save -- без коментариев, зато более понятно. Вот на моём любимом firehol %-) простой $) конфиг для SNAT-а пингов из внутрнней сети во внешний мир выглядел бы вот так: ===== version 5 PUBLIC_MYIP=111.111.111.111 USERS="192.168.0.0/24" snat to "${PUBLIC_MYIP}" outface "eth1" src "$USERS" router ping4all inface eth0 outface eth2 src "$USERS" client ping accept ===== Вот iptables-save с-под него: ===== # Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008 nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :nat.1 - [0:0] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j nat.1 -A nat.1 -j SNAT --to-source 111.111.111.111 COMMIT # Completed on Sat May 24 17:29:53 2008 # Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008 mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Sat May 24 17:29:53 2008 # Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008 filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :in_ping4all - [0:0] :in_ping4all_ping_c1 - [0:0] :out_ping4all - [0:0] :out_ping4all_ping_c1 - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED -j ACCEPT -A INPUT -m limit --limit 1/sec -j LOG --log-prefix "'IN-unknown:'" -A INPUT -j DROP -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o eth2 -j in_ping4all -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth2 -o eth0 -j out_ping4all -A FORWARD -m state --state RELATED -j ACCEPT -A FORWARD -m limit --limit 1/sec -j LOG --log-prefix "'PASS-unknown:'" -A FORWARD -j DROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state RELATED -j ACCEPT -A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'" -A OUTPUT -j DROP -A in_ping4all -j in_ping4all_ping_c1 -A in_ping4all -m state --state RELATED -j ACCEPT -A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT-A out_ping4all -j out_ping4all_ping_c1 -A out_ping4all -m state --state RELATED -j ACCEPT -A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACOMMIT # Completed on Sat May 24 17:29:53 2008 ===== Политики везде [где надо :) ] DROP - firehol так устроен (и логи ешё пишет - там, где про "-unknown"). Соединения отслеживаются: не просто протокол icmp пускается, а "туда" - запросы, оттуда = ответы. (Должен быть загружен модуль ядра ip_conntrack, кстати! firehol его грузит. И ip_forward включает тоже, если надо.) Ещё: http://www.google.ru/search?q=firehol+mitrofanov+site:openne... FireHOL: http://firehol.sf.net/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "IPTABLES пинги и ходят"
	Сообщение от Andrey Mitrofanov on 25-Май-08, 16:50
	>-A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 >-j ACCEPT-A out_ping4all -j out_ping4all_ping_c1 >-A out_ping4all -m state --state RELATED -j ACCEPT >-A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 >-j ACOMMIT ~~~Копипаст подвёл. Попытка#2: -A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT -A out_ping4all -j out_ping4all_ping_c1 -A out_ping4all -m state --state RELATED -j ACCEPT -A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACCEPT COMMIT ~~~
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]