forum.opennet.ru - "РАСТОЛКУЙТЕ (ipchains и большие пакеты)" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"РАСТОЛКУЙТЕ (ipchains и большие пакеты)"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"РАСТОЛКУЙТЕ (ipchains и большие пакеты)"
Сообщение от brand on 19-Дек-02, 15:28 (MSK)
После установки фильтра: ipchains -F ipchains -P input DENY ipchains -P output REJECT ipchains -P forward REJECT ... ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \ -s $IPADDR 8 -d $ANYWHERE -j ACCEPT ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \ -s $ANYWHERE 0 -d $IPADDR -j ACCEPT ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \ -s $ANYWHERE 8 -d $IPADDR -j ACCEPT ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \ -s $IPADDR 0 -d $ANYWHERE -j ACCEPT ... Не могут пройти пакты больше, чем один кадр (MTU=1500), хотя до применения правил все чудесно проходило. Проверял следующим образом: ping -s 1500 nostname после установки фильтра пишет: ping: sendto: Operation not permitted Подскажите что нужно предпринять, чтобы разрешить пакетам больше одного кадра нормально уходить и приходить??? ipchains -A input -f -i eth0 -j ACCEPT ipchains -A output -f -i eth0 -j ACCEPT не помогает.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты), SerG, 02:02 , 20-Дек-02, (1)
RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты), iiws, 07:53 , 20-Дек-02, (2)
- RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты), brand, 09:28 , 20-Дек-02, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты)"

Сообщение от SerG on 20-Дек-02, 02:02  (MSK)

Я не знаток iptables, но кажется при  ipchains -A output  -i $EXTERNAL_INTERFACE надо указывать не -i $EXTERNAL_INTERFACE, а -o $EXTERNAL_INTERFACE
З.Ы.
Могу ошибатся

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты)"

Сообщение от iiws on 20-Дек-02, 07:53  (MSK)

>После установки фильтра:
>
>ipchains -F
>ipchains -P input DENY
>ipchains -P output REJECT
>ipchains -P forward REJECT
>...
>ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \
>         -s $IPADDR 8
>-d $ANYWHERE -j ACCEPT
>ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \
>         -s $ANYWHERE 0
>-d $IPADDR -j ACCEPT
>ipchains -A input  -i $EXTERNAL_INTERFACE -p icmp \
>         -s $ANYWHERE 8
>-d $IPADDR -j ACCEPT
>ipchains -A output  -i $EXTERNAL_INTERFACE -p icmp \
>         -s $IPADDR 0
>-d $ANYWHERE -j ACCEPT
>...
>Не могут пройти пакты больше, чем один кадр (MTU=1500), хотя до применения
>правил все чудесно проходило.
>Проверял следующим образом:
>ping -s 1500 nostname
>после установки фильтра пишет:
>ping: sendto: Operation not permitted
>
>Подскажите что нужно предпринять, чтобы разрешить пакетам больше одного кадра нормально уходить
>и приходить???
>
>ipchains -A input -f -i eth0 -j ACCEPT
>ipchains -A output -f -i eth0 -j ACCEPT
>не помогает.
ты явно перемудрил с правилами icmp пакетов, у меня стоит так
ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0
Linux-машины теперь невосприимчивы к известному Пингу Смерти, который заключается в посылке чересчур большого ICMP пакета, который переполняет буфера TCP-стека на машине-приемнике и приводит к хаосу.
Так что я не думаю, что нужно плясать вокруг icmp, хотя посмотри пример тут http://dkws.narod.ru/howto/ipchains/Ipchains-HOWTO.html
тут есть реализации правил icmp пакетов

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты)"

Сообщение от brand on 20-Дек-02, 09:28  (MSK)

>>После установки фильтра:
>>
>>ipchains -F
>>ipchains -P input DENY
>>ipchains -P output REJECT
>>ipchains -P forward REJECT
>>...
>ты явно перемудрил с правилами icmp пакетов, у меня стоит так
>ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0
>
>Linux-машины теперь невосприимчивы к известному Пингу Смерти, который заключается в посылке чересчур
>большого ICMP пакета, который переполняет буфера TCP-стека на машине-приемнике и приводит
>к хаосу.
Это все так, я просто _хочу разрешить_ проходить (так как у меня устанавливается политика запрета по умолчанию) icmp пакетам, правило же
ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0
устанавливает маскировку при ворвардинге из локальной сети  10.131.0.0/255.255.192.0 во внешний мир, а не разрешает проходить пакетам вообще.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты)"
Сообщение от SerG on 20-Дек-02, 02:02 (MSK)
Я не знаток iptables, но кажется при ipchains -A output -i $EXTERNAL_INTERFACE надо указывать не -i $EXTERNAL_INTERFACE, а -o $EXTERNAL_INTERFACE З.Ы. Могу ошибатся
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты)"
Сообщение от iiws on 20-Дек-02, 07:53 (MSK)
>После установки фильтра: > >ipchains -F >ipchains -P input DENY >ipchains -P output REJECT >ipchains -P forward REJECT >... >ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \ > -s $IPADDR 8 >-d $ANYWHERE -j ACCEPT >ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \ > -s $ANYWHERE 0 >-d $IPADDR -j ACCEPT >ipchains -A input -i $EXTERNAL_INTERFACE -p icmp \ > -s $ANYWHERE 8 >-d $IPADDR -j ACCEPT >ipchains -A output -i $EXTERNAL_INTERFACE -p icmp \ > -s $IPADDR 0 >-d $ANYWHERE -j ACCEPT >... >Не могут пройти пакты больше, чем один кадр (MTU=1500), хотя до применения >правил все чудесно проходило. >Проверял следующим образом: >ping -s 1500 nostname >после установки фильтра пишет: >ping: sendto: Operation not permitted > >Подскажите что нужно предпринять, чтобы разрешить пакетам больше одного кадра нормально уходить >и приходить??? > >ipchains -A input -f -i eth0 -j ACCEPT >ipchains -A output -f -i eth0 -j ACCEPT >не помогает. ты явно перемудрил с правилами icmp пакетов, у меня стоит так ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0 Linux-машины теперь невосприимчивы к известному Пингу Смерти, который заключается в посылке чересчур большого ICMP пакета, который переполняет буфера TCP-стека на машине-приемнике и приводит к хаосу. Так что я не думаю, что нужно плясать вокруг icmp, хотя посмотри пример тут http://dkws.narod.ru/howto/ipchains/Ipchains-HOWTO.html тут есть реализации правил icmp пакетов
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: РАСТОЛКУЙТЕ (ipchains и большие пакеты)"
	Сообщение от brand on 20-Дек-02, 09:28 (MSK)
	>>После установки фильтра: >> >>ipchains -F >>ipchains -P input DENY >>ipchains -P output REJECT >>ipchains -P forward REJECT >>... >ты явно перемудрил с правилами icmp пакетов, у меня стоит так >ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0 > >Linux-машины теперь невосприимчивы к известному Пингу Смерти, который заключается в посылке чересчур >большого ICMP пакета, который переполняет буфера TCP-стека на машине-приемнике и приводит >к хаосу. Это все так, я просто _хочу разрешить_ проходить (так как у меня устанавливается политика запрета по умолчанию) icmp пакетам, правило же ipchains -A forward -j MASQ -s 10.131.0.0/255.255.192.0 -p icmp -d 0.0.0.0/0 устанавливает маскировку при ворвардинге из локальной сети 10.131.0.0/255.255.192.0 во внешний мир, а не разрешает проходить пакетам вообще.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх