The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"создать правило для forward"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

"создать правило для forward"  +/
Сообщение от mitay (ok) on 03-Мрт-14, 11:56 
Схема:
----LAN1------------|===============Server==================|-----------LAN2----

192.168.1.0/24 ---------192.168.1.1(eth0)======192.168.0.1(vlan256)---------192.168.0.0/24

----LAN1------------|===============Server==================|-----------LAN2----

Проблема: из LAN2 в LAN1 не идут пинги и ответы на пинги.
Делаю политику ACCEPT для цепочки FORWARD - идут.
Но мне нужно чтобы политика была DROP.

# iptables -L FORWARD -n -v
Chain FORWARD (policy DROP 12 packets, 792 bytes)
pkts bytes target     prot opt in     out     source               destination
  180 14059 bad_packets  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  eth0   vlan256  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  tun0   vlan256  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  tun0   eth0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  vlan256 eth0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  vlan256 tun0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  eth0   tun0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       192.168.0.0/24       192.168.1.0/24
    0     0 ACCEPT     tcp  --  vlan256 *       0.0.0.0/0            192.168.1.0/24
    0     0 ACCEPT     tcp  --  *      vlan256  192.168.1.0/24       0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      vlan256  192.168.3.0/24       0.0.0.0/0
   71  5767 tcp_outbound  tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 tcp_outbound  tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0
   52  3335 udp_outbound  udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 udp_outbound  udp  --  tun0   *       0.0.0.0/0            0.0.0.0/0
    3   180 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0
   42  3985 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    3   252 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `FORWARD packet died: '

#tcpdump -i eth0 -n host 192.168.0.2
14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840, length 40
14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841, length 40

#tcpdump -i vlan256 -n host 192.168.0.2
14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863, length 40
14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864, length 40

Какое правило добавить чтобы пинги шли из LAN2 в LAN1?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "создать правило для forward"  +/
Сообщение от reader (ok) on 03-Мрт-14, 13:01 
>[оверквотинг удален]
>            
> 0.0.0.0/0
>     0     0 udp_outbound  
> udp  --  tun0   *    
>    0.0.0.0/0        
>     0.0.0.0/0
>     3   180 ACCEPT    
>  all  --  eth0   *  
>     0.0.0.0/0      
>      0.0.0.0/0

ICMP через eth0 разрешон только тут, но для конкретного пинга через это правило пройдут ответы, для прохождения запросов правила я не вижу

>[оверквотинг удален]
>       0.0.0.0/0    
>        0.0.0.0/0    
>        state RELATED,ESTABLISHED
>     3   252 LOG    
>     all  --  *  
>    *       0.0.0.0/0
>            
> 0.0.0.0/0          
> limit: avg 3/min burst 3 LOG flags 0 level 4 prefix
> `FORWARD packet died: '

у вас же есть логирование

> #tcpdump -i eth0 -n host 192.168.0.2
> 14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840,
> length 40
> 14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841,
> length 40

странно что тут показано что запросы прошли, хотелось бы увидеть что-то типа tcpdump с 192.168.1.53 машины

> #tcpdump -i vlan256 -n host 192.168.0.2
> 14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863,
> length 40
> 14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864,
> length 40
> Какое правило добавить чтобы пинги шли из LAN2 в LAN1?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "создать правило для forward"  +/
Сообщение от mitay (ok) on 05-Мрт-14, 07:47 
> у вас же есть логирование

А что логирование, и так понятно что ни одно правило не срабатывает чтобы пропустить пакет.

> хотелось бы увидеть что-то типа
> tcpdump с 192.168.1.53 машины

#tcpdump -i eth0 -n icmp
10:38:29.965024 IP 192.168.1.53 > 192.168.0.2: ICMP echo request, id 1, seq 395, length 40
10:38:29.965038 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 395, length 40
10:38:29.965249 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 395, length 40
10:38:31.465120 IP 192.168.1.53 > 192.168.0.2: ICMP echo request, id 1, seq 396, length 40
10:38:31.465132 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 396, length 40
10:38:31.465326 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 396, length 40
#tcpdump -i vlan256 -n icmp
10:39:05.966367 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 419, length 40
10:39:05.966595 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 419, length 40
10:39:07.466500 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 420, length 40
10:39:07.466740 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 420, length 40

#route -n
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 vlan256

RDP, доступ к виндовым шарам и сервисам за роутером работают, в обе стороны.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "создать правило для forward"  +/
Сообщение от reader (ok) on 05-Мрт-14, 10:41 
>> у вас же есть логирование
> А что логирование, и так понятно что ни одно правило не срабатывает
> чтобы пропустить пакет.

там показан заголовок заблокированного пакета, то есть то что нужно разрешить

>[оверквотинг удален]
> length 40
> #tcpdump -i vlan256 -n icmp
> 10:39:05.966367 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 419,
> length 40
> 10:39:05.966595 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 419,
> length 40
> 10:39:07.466500 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 420,
> length 40
> 10:39:07.466740 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 420,
> length 40

192.168.0.1 > 192.168.0.2 и запросы и ответы идут, только вот как они на eth0 у вас появились, vlan256 идет через eth0?

192.168.1.53 > 192.168.0.2 не прошел через шлюз хотя правило вроде есть?

покажите sysctl -a|grep forward и весь iptables-save белые адреса само собой измените

>[оверквотинг удален]
> 192.168.1.0     0.0.0.0      
>   255.255.255.0   U     0
>      0      
>   0 eth0
> 192.168.0.0     0.0.0.0      
>   255.255.255.0   U     0
>      0      
>   0 vlan256
> RDP, доступ к виндовым шарам и сервисам за роутером работают, в обе
> стороны.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "создать правило для forward"  +/
Сообщение от mitay (ok) on 05-Мрт-14, 11:35 
В логе сие:
FORWARD packet died: IN=vlan256 OUT=eth0 SRC=192.168.0.2 DST=192.168.1.53 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=819 PROTO=ICMP TYPE=0 CODE=0 ID=1 SEQ=10846
FORWARD packet died: IN=vlan256 OUT=eth0 SRC=192.168.0.2 DST=192.168.1.53 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=2298 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=2655


> 192.168.0.1 > 192.168.0.2 и запросы и ответы идут, только вот как они
> на eth0 у вас появились, vlan256 идет через eth0?

#cat /proc/net/vlan/config
VLAN         Dev name    | VLAN ID
vlan256    | 256         | eth0

> 192.168.1.53 > 192.168.0.2 не прошел через шлюз хотя правило вроде есть?

да

> покажите sysctl -a|grep forward и весь iptables-save белые адреса само собой измените

#sysctl -a | grep forward
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.vlan256.forwarding = 1
net.ipv4.conf.vlan256.mc_forwarding = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.mc_forwarding = 0
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 0
net.ipv6.conf.all.mc_forwarding = 0
net.ipv6.conf.default.forwarding = 0
net.ipv6.conf.default.mc_forwarding = 0
net.ipv6.conf.lo.forwarding = 0
net.ipv6.conf.lo.mc_forwarding = 0
net.ipv6.conf.eth0.forwarding = 0
net.ipv6.conf.eth0.mc_forwarding = 0
net.ipv6.conf.eth1.forwarding = 0
net.ipv6.conf.eth1.mc_forwarding = 0
net.ipv6.conf.vlan256.forwarding = 0
net.ipv6.conf.vlan256.mc_forwarding = 0
net.ipv6.conf.tun0.forwarding = 0
net.ipv6.conf.tun0.mc_forwarding = 0

#iptables-save
*mangle
:PREROUTING ACCEPT [27020318:21672755150]
:INPUT ACCEPT [23137147:18709445366]
:FORWARD ACCEPT [3868810:2962530354]
:OUTPUT ACCEPT [21572244:18681127573]
:POSTROUTING ACCEPT [25429511:21642590953]
COMMIT
*nat
:PREROUTING ACCEPT [1097918:60771855]
:POSTROUTING ACCEPT [628590:39771147]
:OUTPUT ACCEPT [559147:35687666]
COMMIT
*filter
:INPUT DROP [591866:33286352]
:FORWARD DROP [12605:1157695]
:OUTPUT ACCEPT [6:648]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:door - [0:0]
:icmp_packets - [0:0]
:stage1 - [0:0]
:stage2 - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -s 192.168.3.0/24 -i tun0 -j ACCEPT
-A INPUT -d ip/32 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i lo -j ACCEPT
-A INPUT -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 10.15.32.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 192.168.0.2/32 -i vlan256 -j ACCEPT
-A INPUT -s 192.168.0.2/32 -d 192.168.1.0/24 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A INPUT -d 192.168.1.255/32 -i eth0 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_inbound
-A INPUT -i eth1 -p udp -j udp_inbound
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 5 --name heaven --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j door
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "INPUT packet died: "
-A FORWARD -j bad_packets
-A FORWARD -i eth0 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -i tun0 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -i tun0 -o eth0 -p tcp -j ACCEPT
-A FORWARD -i vlan256 -o eth0 -p tcp -j ACCEPT
-A FORWARD -i vlan256 -o tun0 -p tcp -j ACCEPT
-A FORWARD -i eth0 -o tun0 -p tcp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i vlan256 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -i eth0 -p tcp -j tcp_outbound
-A FORWARD -i tun0 -p tcp -j tcp_outbound
-A FORWARD -i eth0 -p udp -j udp_outbound
-A FORWARD -i tun0 -p udp -j udp_outbound
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "FORWARD packet died: "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 192.168.1.1/32 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.0.1/32 -j ACCEPT
-A OUTPUT -o vlan256 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: "
-A bad_packets -s 192.168.1.0/24 -i eth1 -j LOG --log-prefix "Illegal source: "
-A bad_packets -s 192.168.1.0/24 -i eth1 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "Invalid packet: "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth0 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A door -m recent --rcheck --seconds 5 --name knock2 --rsource -j stage2
-A door -m recent --rcheck --seconds 5 --name knock --rsource -j stage1
-A door -p tcp -m tcp --dport xxx -m recent --set --name knock --rsource
-A icmp_packets -p icmp -f -j LOG --log-prefix "ICMP Fragment: "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A stage1 -m recent --remove --name knock --rsource
-A stage1 -p tcp -m tcp --dport xxx -m recent --set --name knock2 --rsource
-A stage2 -m recent --remove --name knock2 --rsource
-A stage2 -p tcp -m tcp --dport xxx -m recent --set --name heaven --rsource
-A tcp_inbound -p tcp -m tcp --dport 80 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 123 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -s 192.168.1.0/24 -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -s 192.168.1.0/24 -i vlan256 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -s 10.5.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT

Напомню что при политике FORWARD ACCEPT пакеты ходют.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "создать правило для forward"  +/
Сообщение от reader (ok) on 05-Мрт-14, 12:10 
>[оверквотинг удален]
> -A FORWARD -s 192.168.1.0/24 -o vlan256 -p tcp -j ACCEPT
> -A FORWARD -s 192.168.3.0/24 -o vlan256 -p tcp -j ACCEPT
> -A FORWARD -i eth0 -p tcp -j tcp_outbound
> -A FORWARD -i tun0 -p tcp -j tcp_outbound
> -A FORWARD -i eth0 -p udp -j udp_outbound
> -A FORWARD -i tun0 -p udp -j udp_outbound
> -A FORWARD -i eth0 -j ACCEPT
> -A FORWARD -i tun0 -j ACCEPT
> -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT

если пинги от 192.168.1.53 не пойдут выполните
iptables -I FORWARD -p icmp -j ACCEPT
и проверте

>[оверквотинг удален]
> -j ACCEPT
> -A udp_inbound -s 192.168.1.0/24 -i vlan256 -p udp -m udp --dport 53
> -j ACCEPT
> -A udp_inbound -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53
> -j ACCEPT
> -A udp_inbound -s 10.5.3.0/24 -i tun0 -p udp -m udp --dport 53
> -j ACCEPT
> -A udp_inbound -p udp -j RETURN
> -A udp_outbound -p udp -j ACCEPT
> Напомню что при политике FORWARD ACCEPT пакеты ходют.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "создать правило для forward"  +/
Сообщение от mitay (ok) on 05-Мрт-14, 13:03 
> -A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT

после этого 0.2 стал отвечать 53-му, но сам пингвать не может.
> если пинги от 192.168.1.53 не пойдут выполните
> iptables -I FORWARD -p icmp -j ACCEPT
> и проверте

даже после этого..

и ещё странность с 1.53 на 0.2 отправлено 16 получено 16, но в логах 3 записи FORWARD packet died появились, второй раз - 2 записи на 33 пинга... почему так происходит?

так же происходит и при пинге с 0.2 на 1.53 - отправлено 33, получено 0 - превышен интервал ожидания, в логах 3 записи FORWARD packet died.

поменял политику FORWARD на ACCEPT - пинг пошел, поменял обратно - шел ещё с минуту, потом опять перестал. Неужели проблема в железе?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "создать правило для forward"  +/
Сообщение от reader (ok) on 05-Мрт-14, 13:19 
>> -A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT
> после этого 0.2 стал отвечать 53-му, но сам пингвать не может.

Потому что разрешено отвечать, а начинать соединение не разрешено. Если между vlan256 и eth0 ограничения на прохождение пакетов не нужны измените на
-A FORWARD -i vlan256 -o eth0 -j ACCEPT

>> если пинги от 192.168.1.53 не пойдут выполните
>> iptables -I FORWARD -p icmp -j ACCEPT
>> и проверте
> даже после этого..

это уже странно

> и ещё странность с 1.53 на 0.2 отправлено 16 получено 16, но
> в логах 3 записи FORWARD packet died появились, второй раз -
> 2 записи на 33 пинга... почему так происходит?
> так же происходит и при пинге с 0.2 на 1.53 - отправлено
> 33, получено 0 - превышен интервал ожидания, в логах 3 записи
> FORWARD packet died.

3 записи из-за ограничения --limit 3/min --limit-burst 3

> поменял политику FORWARD на ACCEPT - пинг пошел, поменял обратно - шел
> ещё с минуту, потом опять перестал. Неужели проблема в железе?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "создать правило для forward"  +/
Сообщение от mitay (ok) on 05-Мрт-14, 13:51 
Спасибо!
Ключевая опция -p tcp, я её не заметил, считал что все протоколы разрешил. Глаз замылился.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру