The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"подскажите по iptables ?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 14:53 
за что отвечает данная цепочка
RH-Firewall-1-INPUT
????

проблема следующая !
Centos 5.3
squid
named
iptables   все цепочки ACCEPT
ip_forward  = 1


пытаюсь пинговать из локали  пакет не идет !!

Куда копнуть ??

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "подскажите по iptables ?"  +/
Сообщение от Slimm (??) on 07-Окт-09, 15:09 
>
>пытаюсь пинговать из локали  пакет не идет !!
>

приведите результат пинга

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:19 
>>
>>пытаюсь пинговать из локали  пакет не идет !!
>>
>
>приведите результат пинга

ping ya.ru
превышен интервал ожидания для запроса

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 16:28 
>за что отвечает данная цепочка
>RH-Firewall-1-INPUT
>пытаюсь пинговать из локали  пакет не идет !!
>Куда копнуть ??

В файле /etc/sysconfig/iptables найдите строку:

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT

Если нету - вставьте куда-нибудь между уже имеющимися строками, начинающимися на -A RH-Firewall-1-INPUT

И потом выполните:

service iptables restart


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 16:42 

>
>В файле /etc/sysconfig/iptables найдите строку:
>
>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>

дак все таки что за хитрая такая цепочка !!!
что режет то она !!
Forward транзитные
Input входящие
Output исходящие
RH-Firewall-1-INPUT  - ????????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 16:55 
>[оверквотинг удален]
>>
>>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>>
>
>дак все таки что за хитрая такая цепочка !!!
>что режет то она !!
>Forward транзитные
>Input входящие
>Output исходящие
>RH-Firewall-1-INPUT  - ????????

Эта цепочка добавляется к INPUT:

-A INPUT -j RH-Firewall-1-INPUT


И потом в эту цепочку последним правилом добавляется:
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

Получается. что вроде бы по дефолту для INPUT всё разрешено:
:INPUT ACCEPT [0:0]

Но из-за последнего правила в цепочке на самом деле всё будет запрещено.

Посмотрите внимательнее на указанный мною файл.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:18 
посмотрел !
щас понизил securelevel
соответственно у меня чистый щас IPTABLES
нет никаких правил !!
есть только Forward Input Output  все  в accept
на шлюзовой машине  все пингуется , не могу из локали пингануть через шлюз !
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 17:20 
>посмотрел !
>щас понизил securelevel
> соответственно у меня чистый щас IPTABLES
>нет никаких правил !!
>есть только Forward Input Output  все  в accept
> на шлюзовой машине  все пингуется , не могу из локали
>пингануть через шлюз !

А шлюз кто настраивал? Знает ли шлюз про тот хост, который пингуется? А пингуемый знает про то, куда надо слать ответы на пинги?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:28 
со шлюза пингую нормально !!!
с локальной машины , имя в ИП разрешаю, а пинги не идут !


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:07 
отключил securelevel  
цепочка соответственно исчезла !!!
но пакеты все равно не идут !
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 17:19 
>отключил securelevel
>цепочка соответственно исчезла !!!
>но пакеты все равно не идут !

ну а теперь рассказывайте, что именно делаете. Откуда, кого пингуете? Что говорит
traceroute -I <пингуемый-IP>?

Заодно на всякий случай покажите
iptables -L -n

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:27 
iptables -L -n

chain Input (policy ACCEPT)
target   port opt source

chain Forward (policy ACCEPT)
target   port opt source

chain Output (policy ACCEPT)
target   port opt source

             traceruote  на винде нет

tracert
Трассировка маршрута к ya.ru [77.88.21.8]
с максимальным числом прыжков 30:

  1    12 ms    <1 мс    <1 мс  10.0.0.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 17:31 
Похоже. что это проблема роутинга, а не фильтрации.

На винде проверьте шлюз по умолчанию, на роутере (он же squid-сервер?) посмотрите, чтобы команда
ip route show

показала правильный маршрут по умолчанию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:38 
route print
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.0.1         10.0.0.2    266
         10.0.0.0    255.255.255.0         On-link          10.0.0.2    266
         10.0.0.2  255.255.255.255         On-link          10.0.0.2    266
       10.0.0.255  255.255.255.255         On-link          10.0.0.2    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.0.0.2    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.0.0.2    266
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0         10.0.0.1  По умолчанию

ip route show

10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.1
172.16.199.0/24 dev eth0 proto kernel scope link src 172.16.199.131
169.254.0.0/16 dev eth1 scope link
default via 172.16.199.2 dev eth0


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:32 
пингую из локали   ya.ru

local   10.0.0.2
шлюз    10.0.0.1     внутренний интерфейс
шлюз    192.168.2.15 внешний интерфейс

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 17:37 
>пингую из локали   ya.ru
>
>local   10.0.0.2
>шлюз    10.0.0.1     внутренний интерфейс
>шлюз    192.168.2.15 внешний интерфейс

А кто после 192.168.2.15? Он знает про сеть 10.0.0.0/255.0.0.0?

Подозреваю, что нужно будет SNATировать на внешнем интерфейсе. Или маскарадить, если внешний интерфейс по DHCP/ppp получает адрес.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 17:50 
у меня стоит маршрутизатор !!!  192,168,2,1

за ним  шлюз 192,168,2,15 (vmware)
за шлюзом  10,0,0,1 (локаль vmware)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 18:14 
>у меня стоит маршрутизатор !!!  192,168,2,1
>за ним  шлюз 192,168,2,15 (vmware)
>за шлюзом  10,0,0,1 (локаль vmware)

Ну вот с этого топик и надо было начинать.

Включу режим телепатии, ибо на вопрос "Он знает про сеть 10.0.0.0/255.0.0.0?" ответа нету :)

На 192.168.2.15 в конец файла /etc/sysconfig/iptables добавьте строки (после последней строки COMMIT):

*nat
-A POSTROUTING --out-interface eth1 --source 10.0.0.0/255.0.0.0 -j SNAT --to 192.168.2.15
COMMIT

Телепатия проявлена в двух случаях:
1) 192.168.2.1 ничего не знает про сеть 10.0.0.0/255.0.0.0
2) сетевая карта, на которой висит адрес 192.168.2.15, называется eth1

После изменений в файле перезапустите iptables:
service iptables restart

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 18:16 
Дополню. Второе решение: прописать маршрут для 10.0.0.0/255.0.0.0 на маршрутизаторе (на 192.168.2.1)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 18:22 
слушай а подскажи правило для snat
iptables -A postrouting -t nat -s 10.0.0.1/24 -d any  -j SNAT --tos-source 192.168.2.15
так ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 07-Окт-09, 18:27 
>слушай а подскажи правило для snat
>iptables -A postrouting -t nat -s 10.0.0.1/24 -d any  -j SNAT
>--tos-source 192.168.2.15
>так ?

iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.0/255.0.0.0 -j SNAT --to-source 192.168.2.15

eth1 - интерфейс с адресом 192.168.2.15

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 07-Окт-09, 19:06 
это я щас сделал все ок !!! пакеты пошли !!!
за ето спасибо !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "подскажите по iptables ?"  +1 +/
Сообщение от Andrey Mitrofanov on 08-Окт-09, 09:29 
Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables.

Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не" обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл в iptables/tutorial/кактамего, в конце цонцов...

Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "подскажите по iptables ?"  +/
Сообщение от Slavaz (ok) on 08-Окт-09, 10:28 
>Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables.

Дык кто же виноват, что пациента сразу неправильно продиагностировали? Нет, чтобы сразу привели все те данные, что на протяжении 21 поста вытягивались про поциента. Тогда был бы один мессадж с точным ответом.

>Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не"
>обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл
>в iptables/tutorial/кактамего, в конце цонцов...

Кстати, да. Не буду нарушать традиции
Топикстартеру:
man iptables
man ip (на предмет route)

>Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D

Эм... "на" или "из-за"? ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "подскажите по iptables ?"  +/
Сообщение от tosolito email(ok) on 08-Окт-09, 11:21 
да все равно спасибо !!
что помогли !!!!
тов-щи Зубры !!

ногами чур не пинать 1!!
Слабоват я, учусь еще !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру