 РАСТОЛКУЙТЕ (ipchains и большие пакеты),  brand, 19-Дек-02, 15:28 [смотреть все]После установки фильтра:ipchains -F
ipchains -P input DENY
ipchains -P output REJECT
ipchains -P forward REJECT
...
ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR 8 -d $ANYWHERE -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
-s $ANYWHERE 0 -d $IPADDR -j ACCEPT
ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
-s $ANYWHERE 8 -d $IPADDR -j ACCEPT
ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
-s $IPADDR 0 -d $ANYWHERE -j ACCEPT
...
Не могут пройти пакты больше, чем один кадр (MTU=1500), хотя до применения правил все чудесно проходило.
Проверял следующим образом:
ping -s 1500 nostname
после установки фильтра пишет:
ping: sendto: Operation not permitted Подскажите что нужно предпринять, чтобы разрешить пакетам больше одного кадра нормально уходить и приходить??? ipchains -A input -f -i eth0 -j ACCEPT
ipchains -A output -f -i eth0 -j ACCEPT
не помогает.
|
- RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты), SerG, 02:02 , 20-Дек-02 (1)
Я не знаток iptables, но кажется при ipchains -A output -i $EXTERNAL_INTERFACE надо указывать не -i $EXTERNAL_INTERFACE, а -o $EXTERNAL_INTERFACEЗ.Ы.
Могу ошибатся
- RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты), iiws, 07:53 , 20-Дек-02 (2)
>После установки фильтра:
>
>ipchains -F
>ipchains -P input DENY
>ipchains -P output REJECT
>ipchains -P forward REJECT
>...
>ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
> -s $IPADDR 8
>-d $ANYWHERE -j ACCEPT
>ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
> -s $ANYWHERE 0
>-d $IPADDR -j ACCEPT
>ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
> -s $ANYWHERE 8
>-d $IPADDR -j ACCEPT
>ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
> -s $IPADDR 0
>-d $ANYWHERE -j ACCEPT
>...
>Не могут пройти пакты больше, чем один кадр (MTU=1500), хотя до применения
>правил все чудесно проходило.
>Проверял следующим образом:
>ping -s 1500 nostname
>после установки фильтра пишет:
>ping: sendto: Operation not permitted
>
>Подскажите что нужно предпринять, чтобы разрешить пакетам больше одного кадра нормально уходить
>и приходить???
>
>ipchains -A input -f -i eth0 -j ACCEPT
>ipchains -A output -f -i eth0 -j ACCEPT
>не помогает. ты явно перемудрил с правилами icmp пакетов, у меня стоит так
ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0 Linux-машины теперь невосприимчивы к известному Пингу Смерти, который заключается в посылке чересчур большого ICMP пакета, который переполняет буфера TCP-стека на машине-приемнике и приводит к хаосу.
Так что я не думаю, что нужно плясать вокруг icmp, хотя посмотри пример тут http://dkws.narod.ru/howto/ipchains/Ipchains-HOWTO.html
тут есть реализации правил icmp пакетов
- RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты), brand, 09:28 , 20-Дек-02 (3)
>>После установки фильтра:
>>
>>ipchains -F
>>ipchains -P input DENY
>>ipchains -P output REJECT
>>ipchains -P forward REJECT
>>...
>ты явно перемудрил с правилами icmp пакетов, у меня стоит так
>ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0
>
>Linux-машины теперь невосприимчивы к известному Пингу Смерти, который заключается в посылке чересчур
>большого ICMP пакета, который переполняет буфера TCP-стека на машине-приемнике и приводит
>к хаосу. Это все так, я просто _хочу разрешить_ проходить (так как у меня устанавливается политика запрета по умолчанию) icmp пакетам, правило же
ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0
устанавливает маскировку при ворвардинге из локальной сети 10.131.0.0/255.255.192.0 во внешний мир, а не разрешает проходить пакетам вообще.
|
Версия для распечатки
