за что отвечает данная цепочка
RH-Firewall-1-INPUT
????проблема следующая !
Centos 5.3
squid
named
iptables все цепочки ACCEPT
ip_forward = 1
пытаюсь пинговать из локали пакет не идет !!Куда копнуть ??
>
>пытаюсь пинговать из локали пакет не идет !!
>приведите результат пинга
>>
>>пытаюсь пинговать из локали пакет не идет !!
>>
>
>приведите результат пингаping ya.ru
превышен интервал ожидания для запроса
>за что отвечает данная цепочка
>RH-Firewall-1-INPUT
>пытаюсь пинговать из локали пакет не идет !!
>Куда копнуть ??В файле /etc/sysconfig/iptables найдите строку:
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
Если нету - вставьте куда-нибудь между уже имеющимися строками, начинающимися на -A RH-Firewall-1-INPUT
И потом выполните:
service iptables restart
>
>В файле /etc/sysconfig/iptables найдите строку:
>
>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>дак все таки что за хитрая такая цепочка !!!
что режет то она !!
Forward транзитные
Input входящие
Output исходящие
RH-Firewall-1-INPUT - ????????
>[оверквотинг удален]
>>
>>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>>
>
>дак все таки что за хитрая такая цепочка !!!
>что режет то она !!
>Forward транзитные
>Input входящие
>Output исходящие
>RH-Firewall-1-INPUT - ????????Эта цепочка добавляется к INPUT:
-A INPUT -j RH-Firewall-1-INPUT
И потом в эту цепочку последним правилом добавляется:
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibitedПолучается. что вроде бы по дефолту для INPUT всё разрешено:
:INPUT ACCEPT [0:0]Но из-за последнего правила в цепочке на самом деле всё будет запрещено.
Посмотрите внимательнее на указанный мною файл.
посмотрел !
щас понизил securelevel
соответственно у меня чистый щас IPTABLES
нет никаких правил !!
есть только Forward Input Output все в accept
на шлюзовой машине все пингуется , не могу из локали пингануть через шлюз !
>посмотрел !
>щас понизил securelevel
> соответственно у меня чистый щас IPTABLES
>нет никаких правил !!
>есть только Forward Input Output все в accept
> на шлюзовой машине все пингуется , не могу из локали
>пингануть через шлюз !А шлюз кто настраивал? Знает ли шлюз про тот хост, который пингуется? А пингуемый знает про то, куда надо слать ответы на пинги?
со шлюза пингую нормально !!!
с локальной машины , имя в ИП разрешаю, а пинги не идут !
отключил securelevel
цепочка соответственно исчезла !!!
но пакеты все равно не идут !
>отключил securelevel
>цепочка соответственно исчезла !!!
>но пакеты все равно не идут !ну а теперь рассказывайте, что именно делаете. Откуда, кого пингуете? Что говорит
traceroute -I <пингуемый-IP>?Заодно на всякий случай покажите
iptables -L -n
iptables -L -nchain Input (policy ACCEPT)
target port opt sourcechain Forward (policy ACCEPT)
target port opt sourcechain Output (policy ACCEPT)
target port opt sourcetraceruote на винде нет
tracert
Трассировка маршрута к ya.ru [77.88.21.8]
с максимальным числом прыжков 30:1 12 ms <1 мс <1 мс 10.0.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
Похоже. что это проблема роутинга, а не фильтрации.На винде проверьте шлюз по умолчанию, на роутере (он же squid-сервер?) посмотрите, чтобы команда
ip route showпоказала правильный маршрут по умолчанию.
route print
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.2 266
10.0.0.0 255.255.255.0 On-link 10.0.0.2 266
10.0.0.2 255.255.255.255 On-link 10.0.0.2 266
10.0.0.255 255.255.255.255 On-link 10.0.0.2 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.0.2 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.0.2 266
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 10.0.0.1 По умолчаниюip route show
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.1
172.16.199.0/24 dev eth0 proto kernel scope link src 172.16.199.131
169.254.0.0/16 dev eth1 scope link
default via 172.16.199.2 dev eth0
пингую из локали ya.rulocal 10.0.0.2
шлюз 10.0.0.1 внутренний интерфейс
шлюз 192.168.2.15 внешний интерфейс
>пингую из локали ya.ru
>
>local 10.0.0.2
>шлюз 10.0.0.1 внутренний интерфейс
>шлюз 192.168.2.15 внешний интерфейсА кто после 192.168.2.15? Он знает про сеть 10.0.0.0/255.0.0.0?
Подозреваю, что нужно будет SNATировать на внешнем интерфейсе. Или маскарадить, если внешний интерфейс по DHCP/ppp получает адрес.
у меня стоит маршрутизатор !!! 192,168,2,1за ним шлюз 192,168,2,15 (vmware)
за шлюзом 10,0,0,1 (локаль vmware)
>у меня стоит маршрутизатор !!! 192,168,2,1
>за ним шлюз 192,168,2,15 (vmware)
>за шлюзом 10,0,0,1 (локаль vmware)Ну вот с этого топик и надо было начинать.
Включу режим телепатии, ибо на вопрос "Он знает про сеть 10.0.0.0/255.0.0.0?" ответа нету :)
На 192.168.2.15 в конец файла /etc/sysconfig/iptables добавьте строки (после последней строки COMMIT):
*nat
-A POSTROUTING --out-interface eth1 --source 10.0.0.0/255.0.0.0 -j SNAT --to 192.168.2.15
COMMITТелепатия проявлена в двух случаях:
1) 192.168.2.1 ничего не знает про сеть 10.0.0.0/255.0.0.0
2) сетевая карта, на которой висит адрес 192.168.2.15, называется eth1После изменений в файле перезапустите iptables:
service iptables restart
Дополню. Второе решение: прописать маршрут для 10.0.0.0/255.0.0.0 на маршрутизаторе (на 192.168.2.1)
слушай а подскажи правило для snat
iptables -A postrouting -t nat -s 10.0.0.1/24 -d any -j SNAT --tos-source 192.168.2.15
так ?
>слушай а подскажи правило для snat
>iptables -A postrouting -t nat -s 10.0.0.1/24 -d any -j SNAT
>--tos-source 192.168.2.15
>так ?iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.0/255.0.0.0 -j SNAT --to-source 192.168.2.15
eth1 - интерфейс с адресом 192.168.2.15
это я щас сделал все ок !!! пакеты пошли !!!
за ето спасибо !
Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables.Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не" обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл в iptables/tutorial/кактамего, в конце цонцов...
Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D
>Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables.Дык кто же виноват, что пациента сразу неправильно продиагностировали? Нет, чтобы сразу привели все те данные, что на протяжении 21 поста вытягивались про поциента. Тогда был бы один мессадж с точным ответом.
>Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не"
>обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл
>в iptables/tutorial/кактамего, в конце цонцов...Кстати, да. Не буду нарушать традиции
Топикстартеру:
man iptables
man ip (на предмет route)>Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D
Эм... "на" или "из-за"? ;)
да все равно спасибо !!
что помогли !!!!
тов-щи Зубры !!ногами чур не пинать 1!!
Слабоват я, учусь еще !