форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"подскажите по iptables ?"		+/–
Сообщение от tosolito (ok) on 07-Окт-09, 14:53
за что отвечает данная цепочка RH-Firewall-1-INPUT ???? проблема следующая ! Centos 5.3 squid named iptables   все цепочки ACCEPT ip_forward  = 1 пытаюсь пинговать из локали  пакет не идет !! Куда копнуть ??
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "подскажите по iptables ?"		+/–
Сообщение от Slimm (??) on 07-Окт-09, 15:09
> >пытаюсь пинговать из локали  пакет не идет !! > приведите результат пинга
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 17:19
	>> >>пытаюсь пинговать из локали  пакет не идет !! >> > >приведите результат пинга ping ya.ru превышен интервал ожидания для запроса
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "подскажите по iptables ?"		+/–
Сообщение от Slavaz (ok) on 07-Окт-09, 16:28
>за что отвечает данная цепочка >RH-Firewall-1-INPUT >пытаюсь пинговать из локали  пакет не идет !! >Куда копнуть ?? В файле /etc/sysconfig/iptables найдите строку: -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT Если нету - вставьте куда-нибудь между уже имеющимися строками, начинающимися на -A RH-Firewall-1-INPUT И потом выполните: service iptables restart
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 16:42
	> >В файле /etc/sysconfig/iptables найдите строку: > >-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT > дак все таки что за хитрая такая цепочка !!! что режет то она !! Forward транзитные Input входящие Output исходящие RH-Firewall-1-INPUT  - ????????
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 16:55
	>[оверквотинг удален] >> >>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT >> > >дак все таки что за хитрая такая цепочка !!! >что режет то она !! >Forward транзитные >Input входящие >Output исходящие >RH-Firewall-1-INPUT  - ???????? Эта цепочка добавляется к INPUT: -A INPUT -j RH-Firewall-1-INPUT И потом в эту цепочку последним правилом добавляется: -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited Получается. что вроде бы по дефолту для INPUT всё разрешено: :INPUT ACCEPT [0:0] Но из-за последнего правила в цепочке на самом деле всё будет запрещено. Посмотрите внимательнее на указанный мною файл.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 17:18
	посмотрел ! щас понизил securelevel соответственно у меня чистый щас IPTABLES нет никаких правил !! есть только Forward Input Output  все  в accept на шлюзовой машине  все пингуется , не могу из локали пингануть через шлюз !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 17:20
	>посмотрел ! >щас понизил securelevel > соответственно у меня чистый щас IPTABLES >нет никаких правил !! >есть только Forward Input Output  все  в accept > на шлюзовой машине  все пингуется , не могу из локали >пингануть через шлюз ! А шлюз кто настраивал? Знает ли шлюз про тот хост, который пингуется? А пингуемый знает про то, куда надо слать ответы на пинги?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 17:28
	со шлюза пингую нормально !!! с локальной машины , имя в ИП разрешаю, а пинги не идут !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "подскажите по iptables ?"		+/–
Сообщение от tosolito (ok) on 07-Окт-09, 17:07
отключил securelevel   цепочка соответственно исчезла !!! но пакеты все равно не идут !
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 17:19
	>отключил securelevel >цепочка соответственно исчезла !!! >но пакеты все равно не идут ! ну а теперь рассказывайте, что именно делаете. Откуда, кого пингуете? Что говорит traceroute -I <пингуемый-IP>? Заодно на всякий случай покажите iptables -L -n
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 17:27
	iptables -L -n chain Input (policy ACCEPT) target   port opt source chain Forward (policy ACCEPT) target   port opt source chain Output (policy ACCEPT) target   port opt source              traceruote  на винде нет tracert Трассировка маршрута к ya.ru [77.88.21.8] с максимальным числом прыжков 30:   1    12 ms    <1 мс    <1 мс  10.0.0.1   2     *        *        *     Превышен интервал ожидания для запроса.   3     *        *        *     Превышен интервал ожидания для запроса.   4     *        *        *     Превышен интервал ожидания для запроса.   5     *        *        *     Превышен интервал ожидания для запроса.   6     *        *        *     Превышен интервал ожидания для запроса.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 17:31
	Похоже. что это проблема роутинга, а не фильтрации. На винде проверьте шлюз по умолчанию, на роутере (он же squid-сервер?) посмотрите, чтобы команда ip route show показала правильный маршрут по умолчанию.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 17:38
	route print IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0         10.0.0.1         10.0.0.2    266          10.0.0.0    255.255.255.0         On-link          10.0.0.2    266          10.0.0.2  255.255.255.255         On-link          10.0.0.2    266        10.0.0.255  255.255.255.255         On-link          10.0.0.2    266         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306         224.0.0.0        240.0.0.0         On-link          10.0.0.2    266   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306   255.255.255.255  255.255.255.255         On-link          10.0.0.2    266 =========================================================================== Постоянные маршруты:   Сетевой адрес            Маска    Адрес шлюза      Метрика           0.0.0.0          0.0.0.0         10.0.0.1  По умолчанию ip route show 10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.1 172.16.199.0/24 dev eth0 proto kernel scope link src 172.16.199.131 169.254.0.0/16 dev eth1 scope link default via 172.16.199.2 dev eth0
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 17:32
	пингую из локали   ya.ru local   10.0.0.2 шлюз    10.0.0.1     внутренний интерфейс шлюз    192.168.2.15 внешний интерфейс
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 17:37
	>пингую из локали   ya.ru > >local   10.0.0.2 >шлюз    10.0.0.1     внутренний интерфейс >шлюз    192.168.2.15 внешний интерфейс А кто после 192.168.2.15? Он знает про сеть 10.0.0.0/255.0.0.0? Подозреваю, что нужно будет SNATировать на внешнем интерфейсе. Или маскарадить, если внешний интерфейс по DHCP/ppp получает адрес.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 17:50
	у меня стоит маршрутизатор !!!  192,168,2,1 за ним  шлюз 192,168,2,15 (vmware) за шлюзом  10,0,0,1 (локаль vmware)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 18:14
	>у меня стоит маршрутизатор !!!  192,168,2,1 >за ним  шлюз 192,168,2,15 (vmware) >за шлюзом  10,0,0,1 (локаль vmware) Ну вот с этого топик и надо было начинать. Включу режим телепатии, ибо на вопрос "Он знает про сеть 10.0.0.0/255.0.0.0?" ответа нету :) На 192.168.2.15 в конец файла /etc/sysconfig/iptables добавьте строки (после последней строки COMMIT): *nat -A POSTROUTING --out-interface eth1 --source 10.0.0.0/255.0.0.0 -j SNAT --to 192.168.2.15 COMMIT Телепатия проявлена в двух случаях: 1) 192.168.2.1 ничего не знает про сеть 10.0.0.0/255.0.0.0 2) сетевая карта, на которой висит адрес 192.168.2.15, называется eth1 После изменений в файле перезапустите iptables: service iptables restart
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 18:16
	Дополню. Второе решение: прописать маршрут для 10.0.0.0/255.0.0.0 на маршрутизаторе (на 192.168.2.1)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 18:22
	слушай а подскажи правило для snat iptables -A postrouting -t nat -s 10.0.0.1/24 -d any  -j SNAT --tos-source 192.168.2.15 так ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 07-Окт-09, 18:27
	>слушай а подскажи правило для snat >iptables -A postrouting -t nat -s 10.0.0.1/24 -d any  -j SNAT >--tos-source 192.168.2.15 >так ? iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.0/255.0.0.0 -j SNAT --to-source 192.168.2.15 eth1 - интерфейс с адресом 192.168.2.15
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 07-Окт-09, 19:06
	это я щас сделал все ок !!! пакеты пошли !!! за ето спасибо !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "подскажите по iptables ?"		+1 +/–
	Сообщение от Andrey Mitrofanov on 08-Окт-09, 09:29
	Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables. Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не" обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл в iptables/tutorial/кактамего, в конце цонцов... Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "подскажите по iptables ?"		+/–
	Сообщение от Slavaz (ok) on 08-Окт-09, 10:28
	>Итого: _21_ месадж и _одна_ "точно отточенная" строчка iptables. Дык кто же виноват, что пациента сразу неправильно продиагностировали? Нет, чтобы сразу привели все те данные, что на протяжении 21 поста вытягивались про поциента. Тогда был бы один мессадж с точным ответом. >Слабовато, граждане! Вона фрибсдешники по 50-80 сообщений какое-нибудь "вот уменя тут не" >обсасывают. Где? Где, я вас спрашиваю, работа сообщества? Где отточенный посыл >в iptables/tutorial/кактамего, в конце цонцов... Кстати, да. Не буду нарушать традиции Топикстартеру: man iptables man ip (на предмет route) >Расслабились, граждане Зубры?! Обмякли на коудеплексах-мигелях-столманах... Эххх! +<B-D Эм... "на" или "из-за"? ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "подскажите по iptables ?"		+/–
	Сообщение от tosolito (ok) on 08-Окт-09, 11:21
	да все равно спасибо !! что помогли !!!! тов-щи Зубры !! ногами чур не пинать 1!! Слабоват я, учусь еще !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема