за что отвечает данная цепочка
RH-Firewall-1-INPUT
????

проблема следующая !
Centos 5.3
squid
named
iptables   все цепочки ACCEPT
ip_forward  = 1

пытаюсь пинговать из локали  пакет не идет !!

Куда копнуть ??

• подскажите по iptables ?,Slimm, 15:09 , 07-Окт-09
  • подскажите по iptables ?,tosolito, 17:19 , 07-Окт-09
• подскажите по iptables ?,Slavaz, 16:28 , 07-Окт-09
  • подскажите по iptables ?,tosolito, 16:42 , 07-Окт-09
    • подскажите по iptables ?,Slavaz, 16:55 , 07-Окт-09
      • подскажите по iptables ?,tosolito, 17:18 , 07-Окт-09
        • подскажите по iptables ?,Slavaz, 17:20 , 07-Окт-09
          • подскажите по iptables ?,tosolito, 17:28 , 07-Окт-09
• подскажите по iptables ?,tosolito, 17:07 , 07-Окт-09
  • подскажите по iptables ?,Slavaz, 17:19 , 07-Окт-09
    • подскажите по iptables ?,tosolito, 17:27 , 07-Окт-09
      • подскажите по iptables ?,Slavaz, 17:31 , 07-Окт-09
        • подскажите по iptables ?,tosolito, 17:38 , 07-Окт-09
    • подскажите по iptables ?,tosolito, 17:32 , 07-Окт-09
      • подскажите по iptables ?,Slavaz, 17:37 , 07-Окт-09
        • подскажите по iptables ?,tosolito, 17:50 , 07-Окт-09
          • подскажите по iptables ?,Slavaz, 18:14 , 07-Окт-09
            • подскажите по iptables ?,Slavaz, 18:16 , 07-Окт-09
        • подскажите по iptables ?,tosolito, 18:22 , 07-Окт-09
          • подскажите по iptables ?,Slavaz, 18:27 , 07-Окт-09
            • подскажите по iptables ?,tosolito, 19:06 , 07-Окт-09
              • подскажите по iptables ?,Andrey Mitrofanov, 09:29 , 08-Окт-09
                • подскажите по iptables ?,Slavaz, 10:28 , 08-Окт-09
                  • подскажите по iptables ?,tosolito, 11:21 , 08-Окт-09

>
>пытаюсь пинговать из локали  пакет не идет !!
>

приведите результат пинга

>>
>>пытаюсь пинговать из локали  пакет не идет !!
>>
>
>приведите результат пинга

ping ya.ru
превышен интервал ожидания для запроса

>за что отвечает данная цепочка
>RH-Firewall-1-INPUT
>пытаюсь пинговать из локали  пакет не идет !!
>Куда копнуть ??

В файле /etc/sysconfig/iptables найдите строку:

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

Если нету - вставьте куда-нибудь между уже имеющимися строками, начинающимися на -A RH-Firewall-1-INPUT

И потом выполните:

service iptables restart

>
>В файле /etc/sysconfig/iptables найдите строку:
>
>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>

дак все таки что за хитрая такая цепочка !!!
что режет то она !!
Forward транзитные
Input входящие
Output исходящие
RH-Firewall-1-INPUT  - ????????

>[оверквотинг удален]
>>
>>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>>
>
>дак все таки что за хитрая такая цепочка !!!
>что режет то она !!
>Forward транзитные
>Input входящие
>Output исходящие
>RH-Firewall-1-INPUT  - ????????

Эта цепочка добавляется к INPUT:

-A INPUT -j RH-Firewall-1-INPUT

И потом в эту цепочку последним правилом добавляется:
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

Получается. что вроде бы по дефолту для INPUT всё разрешено:
:INPUT ACCEPT [0:0]

Но из-за последнего правила в цепочке на самом деле всё будет запрещено.

Посмотрите внимательнее на указанный мною файл.

посмотрел !
щас понизил securelevel
соответственно у меня чистый щас IPTABLES
нет никаких правил !!
есть только Forward Input Output  все  в accept
на шлюзовой машине  все пингуется , не могу из локали пингануть через шлюз !

>посмотрел !
>щас понизил securelevel
> соответственно у меня чистый щас IPTABLES
>нет никаких правил !!
>есть только Forward Input Output  все  в accept
> на шлюзовой машине  все пингуется , не могу из локали
>пингануть через шлюз !

А шлюз кто настраивал? Знает ли шлюз про тот хост, который пингуется? А пингуемый знает про то, куда надо слать ответы на пинги?

со шлюза пингую нормально !!!
с локальной машины , имя в ИП разрешаю, а пинги не идут !

отключил securelevel  
цепочка соответственно исчезла !!!
но пакеты все равно не идут !

>отключил securelevel
>цепочка соответственно исчезла !!!
>но пакеты все равно не идут !

ну а теперь рассказывайте, что именно делаете. Откуда, кого пингуете? Что говорит
traceroute -I <пингуемый-IP>?

Заодно на всякий случай покажите
iptables -L -n

iptables -L -n

chain Input (policy ACCEPT)
target   port opt source

chain Forward (policy ACCEPT)
target   port opt source

chain Output (policy ACCEPT)
target   port opt source

             traceruote  на винде нет

tracert
Трассировка маршрута к ya.ru [77.88.21.8]
с максимальным числом прыжков 30:

  1    12 ms    <1 мс    <1 мс  10.0.0.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.

Похоже. что это проблема роутинга, а не фильтрации.

На винде проверьте шлюз по умолчанию, на роутере (он же squid-сервер?) посмотрите, чтобы команда
ip route show

показала правильный маршрут по умолчанию.

route print
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.0.1         10.0.0.2    266
         10.0.0.0    255.255.255.0         On-link          10.0.0.2    266
         10.0.0.2  255.255.255.255         On-link          10.0.0.2    266
       10.0.0.255  255.255.255.255         On-link          10.0.0.2    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.0.0.2    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.0.0.2    266
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0         10.0.0.1  По умолчанию

ip route show

10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.1
172.16.199.0/24 dev eth0 proto kernel scope link src 172.16.199.131
169.254.0.0/16 dev eth1 scope link
default via 172.16.199.2 dev eth0

пингую из локали   ya.ru

local   10.0.0.2
шлюз    10.0.0.1     внутренний интерфейс
шлюз    192.168.2.15 внешний интерфейс

>пингую из локали   ya.ru
>
>local   10.0.0.2
>шлюз    10.0.0.1     внутренний интерфейс
>шлюз    192.168.2.15 внешний интерфейс

А кто после 192.168.2.15? Он знает про сеть 10.0.0.0/255.0.0.0?

Подозреваю, что нужно будет SNATировать на внешнем интерфейсе. Или маскарадить, если внешний интерфейс по DHCP/ppp получает адрес.

у меня стоит маршрутизатор !!!  192,168,2,1

за ним  шлюз 192,168,2,15 (vmware)
за шлюзом  10,0,0,1 (локаль vmware)

>у меня стоит маршрутизатор !!!  192,168,2,1
>за ним  шлюз 192,168,2,15 (vmware)
>за шлюзом  10,0,0,1 (локаль vmware)

Ну вот с этого топик и надо было начинать.

Включу режим телепатии, ибо на вопрос "Он знает про сеть 10.0.0.0/255.0.0.0?" ответа нету :)

На 192.168.2.15 в конец файла /etc/sysconfig/iptables добавьте строки (после последней строки COMMIT):

*nat
-A POSTROUTING --out-interface eth1 --source 10.0.0.0/255.0.0.0 -j SNAT --to 192.168.2.15
COMMIT

Телепатия проявлена в двух случаях:
1) 192.168.2.1 ничего не знает про сеть 10.0.0.0/255.0.0.0
2) сетевая карта, на которой висит адрес 192.168.2.15, называется eth1

После изменений в файле перезапустите iptables:
service iptables restart

Дополню. Второе решение: прописать маршрут для 10.0.0.0/255.0.0.0 на маршрутизаторе (на 192.168.2.1)

слушай а подскажи правило для snat
iptables -A postrouting -t nat -s 10.0.0.1/24 -d any  -j SNAT --tos-source 192.168.2.15
так ?

>слушай а подскажи правило для snat
>iptables -A postrouting -t nat -s 10.0.0.1/24 -d any  -j SNAT
>--tos-source 192.168.2.15
>так ?

iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.0/255.0.0.0 -j SNAT --to-source 192.168.2.15

eth1 - интерфейс с адресом 192.168.2.15

это я щас сделал все ок !!! пакеты пошли !!!
за ето спасибо !

Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables.

Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не" обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл в iptables/tutorial/кактамего, в конце цонцов...

Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D

>Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables.

Дык кто же виноват, что пациента сразу неправильно продиагностировали? Нет, чтобы сразу привели все те данные, что на протяжении 21 поста вытягивались про поциента. Тогда был бы один мессадж с точным ответом.

>Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не"
>обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл
>в iptables/tutorial/кактамего, в конце цонцов...

Кстати, да. Не буду нарушать традиции
Топикстартеру:
man iptables
man ip (на предмет route)

>Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D

Эм... "на" или "из-за"? ;)

да все равно спасибо !!
что помогли !!!!
тов-щи Зубры !!

ногами чур не пинать 1!!
Слабоват я, учусь еще !