forum.opennet.ru - "создать правило для forward" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"создать правило для forward"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"создать правило для forward"	+/–
Сообщение от mitay (ok) on 03-Мрт-14, 11:56
Схема: ----LAN1------------\|===============Server==================\|-----------LAN2---- 192.168.1.0/24 ---------192.168.1.1(eth0)======192.168.0.1(vlan256)---------192.168.0.0/24 ----LAN1------------\|===============Server==================\|-----------LAN2---- Проблема: из LAN2 в LAN1 не идут пинги и ответы на пинги. Делаю политику ACCEPT для цепочки FORWARD - идут. Но мне нужно чтобы политика была DROP. # iptables -L FORWARD -n -v Chain FORWARD (policy DROP 12 packets, 792 bytes) pkts bytes target prot opt in out source destination 180 14059 bad_packets all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- eth0 vlan256 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- tun0 vlan256 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- tun0 eth0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- vlan256 eth0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- vlan256 tun0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- eth0 tun0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 192.168.0.0/24 192.168.1.0/24 0 0 ACCEPT tcp -- vlan256 * 0.0.0.0/0 192.168.1.0/24 0 0 ACCEPT tcp -- * vlan256 192.168.1.0/24 0.0.0.0/0 0 0 ACCEPT tcp -- * vlan256 192.168.3.0/24 0.0.0.0/0 71 5767 tcp_outbound tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 tcp_outbound tcp -- tun0 * 0.0.0.0/0 0.0.0.0/0 52 3335 udp_outbound udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 udp_outbound udp -- tun0 * 0.0.0.0/0 0.0.0.0/0 3 180 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 42 3985 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 252 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `FORWARD packet died: ' #tcpdump -i eth0 -n host 192.168.0.2 14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840, length 40 14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841, length 40 #tcpdump -i vlan256 -n host 192.168.0.2 14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863, length 40 14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864, length 40 Какое правило добавить чтобы пинги шли из LAN2 в LAN1?
Ответить \| Правка \| Cообщить модератору

Оглавление

создать правило для forward, reader, 13:01 , 03-Мрт-14, (1)

создать правило для forward, mitay, 07:47 , 05-Мрт-14, (2)

создать правило для forward, reader, 10:41 , 05-Мрт-14, (3)

создать правило для forward, mitay, 11:35 , 05-Мрт-14, (4)

создать правило для forward, reader, 12:10 , 05-Мрт-14, (5)

создать правило для forward, mitay, 13:03 , 05-Мрт-14, (6)

создать правило для forward, reader, 13:19 , 05-Мрт-14, (7)

создать правило для forward, mitay, 13:51 , 05-Мрт-14, (8)

Сообщения по теме [Сортировка по ответам | RSS]

1. "создать правило для forward" +/–

Сообщение от reader (ok) on 03-Мрт-14, 13:01

>[оверквотинг удален]
>
> 0.0.0.0/0
>     0     0 udp_outbound
> udp  --  tun0   *
>    0.0.0.0/0
>     0.0.0.0/0
>     3   180 ACCEPT
>  all  --  eth0   *
>     0.0.0.0/0
>      0.0.0.0/0
ICMP через eth0 разрешон только тут, но для конкретного пинга через это правило пройдут ответы, для прохождения запросов правила я не вижу
>[оверквотинг удален]
>       0.0.0.0/0
>        0.0.0.0/0
>        state RELATED,ESTABLISHED
>     3   252 LOG
>     all  --  *
>    *       0.0.0.0/0
>
> 0.0.0.0/0
> limit: avg 3/min burst 3 LOG flags 0 level 4 prefix
> `FORWARD packet died: '
у вас же есть логирование
> #tcpdump -i eth0 -n host 192.168.0.2
> 14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840,
> length 40
> 14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841,
> length 40
странно что тут показано что запросы прошли, хотелось бы увидеть что-то типа tcpdump с 192.168.1.53 машины
> #tcpdump -i vlan256 -n host 192.168.0.2
> 14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863,
> length 40
> 14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864,
> length 40
> Какое правило добавить чтобы пинги шли из LAN2 в LAN1?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "создать правило для forward" +/–

Сообщение от mitay (ok) on 05-Мрт-14, 07:47

> у вас же есть логирование
А что логирование, и так понятно что ни одно правило не срабатывает чтобы пропустить пакет.
> хотелось бы увидеть что-то типа
> tcpdump с 192.168.1.53 машины
#tcpdump -i eth0 -n icmp
10:38:29.965024 IP 192.168.1.53 > 192.168.0.2: ICMP echo request, id 1, seq 395, length 40
10:38:29.965038 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 395, length 40
10:38:29.965249 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 395, length 40
10:38:31.465120 IP 192.168.1.53 > 192.168.0.2: ICMP echo request, id 1, seq 396, length 40
10:38:31.465132 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 396, length 40
10:38:31.465326 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 396, length 40
#tcpdump -i vlan256 -n icmp
10:39:05.966367 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 419, length 40
10:39:05.966595 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 419, length 40
10:39:07.466500 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 420, length 40
10:39:07.466740 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 420, length 40
#route -n
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 vlan256
RDP, доступ к виндовым шарам и сервисам за роутером работают, в обе стороны.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "создать правило для forward" +/–

Сообщение от reader (ok) on 05-Мрт-14, 10:41

>> у вас же есть логирование
> А что логирование, и так понятно что ни одно правило не срабатывает
> чтобы пропустить пакет.
там показан заголовок заблокированного пакета, то есть то что нужно разрешить
>[оверквотинг удален]
> length 40
> #tcpdump -i vlan256 -n icmp
> 10:39:05.966367 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 419,
> length 40
> 10:39:05.966595 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 419,
> length 40
> 10:39:07.466500 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 420,
> length 40
> 10:39:07.466740 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 420,
> length 40
192.168.0.1 > 192.168.0.2 и запросы и ответы идут, только вот как они на eth0 у вас появились, vlan256 идет через eth0?
192.168.1.53 > 192.168.0.2 не прошел через шлюз хотя правило вроде есть?
покажите sysctl -a|grep forward и весь iptables-save белые адреса само собой измените
>[оверквотинг удален]
> 192.168.1.0     0.0.0.0
>   255.255.255.0   U     0
>      0
>   0 eth0
> 192.168.0.0     0.0.0.0
>   255.255.255.0   U     0
>      0
>   0 vlan256
> RDP, доступ к виндовым шарам и сервисам за роутером работают, в обе
> стороны.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "создать правило для forward" +/–

Сообщение от mitay (ok) on 05-Мрт-14, 11:35

В логе сие:
FORWARD packet died: IN=vlan256 OUT=eth0 SRC=192.168.0.2 DST=192.168.1.53 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=819 PROTO=ICMP TYPE=0 CODE=0 ID=1 SEQ=10846
FORWARD packet died: IN=vlan256 OUT=eth0 SRC=192.168.0.2 DST=192.168.1.53 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=2298 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=2655

> 192.168.0.1 > 192.168.0.2 и запросы и ответы идут, только вот как они
> на eth0 у вас появились, vlan256 идет через eth0?
#cat /proc/net/vlan/config
VLAN         Dev name    | VLAN ID
vlan256    | 256         | eth0
> 192.168.1.53 > 192.168.0.2 не прошел через шлюз хотя правило вроде есть?
да
> покажите sysctl -a|grep forward и весь iptables-save белые адреса само собой измените
#sysctl -a | grep forward
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.vlan256.forwarding = 1
net.ipv4.conf.vlan256.mc_forwarding = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.mc_forwarding = 0
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 0
net.ipv6.conf.all.mc_forwarding = 0
net.ipv6.conf.default.forwarding = 0
net.ipv6.conf.default.mc_forwarding = 0
net.ipv6.conf.lo.forwarding = 0
net.ipv6.conf.lo.mc_forwarding = 0
net.ipv6.conf.eth0.forwarding = 0
net.ipv6.conf.eth0.mc_forwarding = 0
net.ipv6.conf.eth1.forwarding = 0
net.ipv6.conf.eth1.mc_forwarding = 0
net.ipv6.conf.vlan256.forwarding = 0
net.ipv6.conf.vlan256.mc_forwarding = 0
net.ipv6.conf.tun0.forwarding = 0
net.ipv6.conf.tun0.mc_forwarding = 0
#iptables-save
*mangle
:PREROUTING ACCEPT [27020318:21672755150]
:INPUT ACCEPT [23137147:18709445366]
:FORWARD ACCEPT [3868810:2962530354]
:OUTPUT ACCEPT [21572244:18681127573]
:POSTROUTING ACCEPT [25429511:21642590953]
COMMIT
*nat
:PREROUTING ACCEPT [1097918:60771855]
:POSTROUTING ACCEPT [628590:39771147]
:OUTPUT ACCEPT [559147:35687666]
COMMIT
*filter
:INPUT DROP [591866:33286352]
:FORWARD DROP [12605:1157695]
:OUTPUT ACCEPT [6:648]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:door - [0:0]
:icmp_packets - [0:0]
:stage1 - [0:0]
:stage2 - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -s 192.168.3.0/24 -i tun0 -j ACCEPT
-A INPUT -d ip/32 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i lo -j ACCEPT
-A INPUT -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 10.15.32.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 192.168.0.2/32 -i vlan256 -j ACCEPT
-A INPUT -s 192.168.0.2/32 -d 192.168.1.0/24 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A INPUT -d 192.168.1.255/32 -i eth0 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_inbound
-A INPUT -i eth1 -p udp -j udp_inbound
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 5 --name heaven --rsource -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j door
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "INPUT packet died: "
-A FORWARD -j bad_packets
-A FORWARD -i eth0 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -i tun0 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -i tun0 -o eth0 -p tcp -j ACCEPT
-A FORWARD -i vlan256 -o eth0 -p tcp -j ACCEPT
-A FORWARD -i vlan256 -o tun0 -p tcp -j ACCEPT
-A FORWARD -i eth0 -o tun0 -p tcp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i vlan256 -p tcp -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -o vlan256 -p tcp -j ACCEPT
-A FORWARD -i eth0 -p tcp -j tcp_outbound
-A FORWARD -i tun0 -p tcp -j tcp_outbound
-A FORWARD -i eth0 -p udp -j udp_outbound
-A FORWARD -i tun0 -p udp -j udp_outbound
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "FORWARD packet died: "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 192.168.1.1/32 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -s 192.168.0.1/32 -j ACCEPT
-A OUTPUT -o vlan256 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: "
-A bad_packets -s 192.168.1.0/24 -i eth1 -j LOG --log-prefix "Illegal source: "
-A bad_packets -s 192.168.1.0/24 -i eth1 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "Invalid packet: "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth0 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A door -m recent --rcheck --seconds 5 --name knock2 --rsource -j stage2
-A door -m recent --rcheck --seconds 5 --name knock --rsource -j stage1
-A door -p tcp -m tcp --dport xxx -m recent --set --name knock --rsource
-A icmp_packets -p icmp -f -j LOG --log-prefix "ICMP Fragment: "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A stage1 -m recent --remove --name knock --rsource
-A stage1 -p tcp -m tcp --dport xxx -m recent --set --name knock2 --rsource
-A stage2 -m recent --remove --name knock2 --rsource
-A stage2 -p tcp -m tcp --dport xxx -m recent --set --name heaven --rsource
-A tcp_inbound -p tcp -m tcp --dport 80 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 123 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -s 192.168.1.0/24 -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -s 192.168.1.0/24 -i vlan256 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -s 10.5.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
Напомню что при политике FORWARD ACCEPT пакеты ходют.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "создать правило для forward" +/–

Сообщение от reader (ok) on 05-Мрт-14, 12:10

>[оверквотинг удален]
> -A FORWARD -s 192.168.1.0/24 -o vlan256 -p tcp -j ACCEPT
> -A FORWARD -s 192.168.3.0/24 -o vlan256 -p tcp -j ACCEPT
> -A FORWARD -i eth0 -p tcp -j tcp_outbound
> -A FORWARD -i tun0 -p tcp -j tcp_outbound
> -A FORWARD -i eth0 -p udp -j udp_outbound
> -A FORWARD -i tun0 -p udp -j udp_outbound
> -A FORWARD -i eth0 -j ACCEPT
> -A FORWARD -i tun0 -j ACCEPT
> -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT
если пинги от 192.168.1.53 не пойдут выполните
iptables -I FORWARD -p icmp -j ACCEPT
и проверте
>[оверквотинг удален]
> -j ACCEPT
> -A udp_inbound -s 192.168.1.0/24 -i vlan256 -p udp -m udp --dport 53
> -j ACCEPT
> -A udp_inbound -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53
> -j ACCEPT
> -A udp_inbound -s 10.5.3.0/24 -i tun0 -p udp -m udp --dport 53
> -j ACCEPT
> -A udp_inbound -p udp -j RETURN
> -A udp_outbound -p udp -j ACCEPT
> Напомню что при политике FORWARD ACCEPT пакеты ходют.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "создать правило для forward" +/–

Сообщение от mitay (ok) on 05-Мрт-14, 13:03

> -A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT
после этого 0.2 стал отвечать 53-му, но сам пингвать не может.
> если пинги от 192.168.1.53 не пойдут выполните
> iptables -I FORWARD -p icmp -j ACCEPT
> и проверте
даже после этого..
и ещё странность с 1.53 на 0.2 отправлено 16 получено 16, но в логах 3 записи FORWARD packet died появились, второй раз - 2 записи на 33 пинга... почему так происходит?
так же происходит и при пинге с 0.2 на 1.53 - отправлено 33, получено 0 - превышен интервал ожидания, в логах 3 записи FORWARD packet died.
поменял политику FORWARD на ACCEPT - пинг пошел, поменял обратно - шел ещё с минуту, потом опять перестал. Неужели проблема в железе?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "создать правило для forward" +/–

Сообщение от reader (ok) on 05-Мрт-14, 13:19

>> -A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT
> после этого 0.2 стал отвечать 53-му, но сам пингвать не может.
Потому что разрешено отвечать, а начинать соединение не разрешено. Если между vlan256 и eth0 ограничения на прохождение пакетов не нужны измените на
-A FORWARD -i vlan256 -o eth0 -j ACCEPT
>> если пинги от 192.168.1.53 не пойдут выполните
>> iptables -I FORWARD -p icmp -j ACCEPT
>> и проверте
> даже после этого..
это уже странно
> и ещё странность с 1.53 на 0.2 отправлено 16 получено 16, но
> в логах 3 записи FORWARD packet died появились, второй раз -
> 2 записи на 33 пинга... почему так происходит?
> так же происходит и при пинге с 0.2 на 1.53 - отправлено
> 33, получено 0 - превышен интервал ожидания, в логах 3 записи
> FORWARD packet died.
3 записи из-за ограничения --limit 3/min --limit-burst 3
> поменял политику FORWARD на ACCEPT - пинг пошел, поменял обратно - шел
> ещё с минуту, потом опять перестал. Неужели проблема в железе?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "создать правило для forward" +/–

Сообщение от mitay (ok) on 05-Мрт-14, 13:51

Спасибо!
Ключевая опция -p tcp, я её не заметил, считал что все протоколы разрешил. Глаз замылился.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	1. "создать правило для forward"	+/–
	Сообщение от reader (ok) on 03-Мрт-14, 13:01
	>[оверквотинг удален] > > 0.0.0.0/0 > 0 0 udp_outbound > udp -- tun0 * > 0.0.0.0/0 > 0.0.0.0/0 > 3 180 ACCEPT > all -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 ICMP через eth0 разрешон только тут, но для конкретного пинга через это правило пройдут ответы, для прохождения запросов правила я не вижу >[оверквотинг удален] > 0.0.0.0/0 > 0.0.0.0/0 > state RELATED,ESTABLISHED > 3 252 LOG > all -- * > * 0.0.0.0/0 > > 0.0.0.0/0 > limit: avg 3/min burst 3 LOG flags 0 level 4 prefix > `FORWARD packet died: ' у вас же есть логирование > #tcpdump -i eth0 -n host 192.168.0.2 > 14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840, > length 40 > 14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841, > length 40 странно что тут показано что запросы прошли, хотелось бы увидеть что-то типа tcpdump с 192.168.1.53 машины > #tcpdump -i vlan256 -n host 192.168.0.2 > 14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863, > length 40 > 14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864, > length 40 > Какое правило добавить чтобы пинги шли из LAN2 в LAN1?
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "создать правило для forward"	+/–
	Сообщение от mitay (ok) on 05-Мрт-14, 07:47
	> у вас же есть логирование А что логирование, и так понятно что ни одно правило не срабатывает чтобы пропустить пакет. > хотелось бы увидеть что-то типа > tcpdump с 192.168.1.53 машины #tcpdump -i eth0 -n icmp 10:38:29.965024 IP 192.168.1.53 > 192.168.0.2: ICMP echo request, id 1, seq 395, length 40 10:38:29.965038 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 395, length 40 10:38:29.965249 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 395, length 40 10:38:31.465120 IP 192.168.1.53 > 192.168.0.2: ICMP echo request, id 1, seq 396, length 40 10:38:31.465132 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 396, length 40 10:38:31.465326 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 396, length 40 #tcpdump -i vlan256 -n icmp 10:39:05.966367 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 419, length 40 10:39:05.966595 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 419, length 40 10:39:07.466500 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 420, length 40 10:39:07.466740 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 420, length 40 #route -n 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan256 RDP, доступ к виндовым шарам и сервисам за роутером работают, в обе стороны.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "создать правило для forward"	+/–
	Сообщение от reader (ok) on 05-Мрт-14, 10:41
	>> у вас же есть логирование > А что логирование, и так понятно что ни одно правило не срабатывает > чтобы пропустить пакет. там показан заголовок заблокированного пакета, то есть то что нужно разрешить >[оверквотинг удален] > length 40 > #tcpdump -i vlan256 -n icmp > 10:39:05.966367 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 419, > length 40 > 10:39:05.966595 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 419, > length 40 > 10:39:07.466500 IP 192.168.0.1 > 192.168.0.2: ICMP echo request, id 1, seq 420, > length 40 > 10:39:07.466740 IP 192.168.0.2 > 192.168.0.1: ICMP echo reply, id 1, seq 420, > length 40 192.168.0.1 > 192.168.0.2 и запросы и ответы идут, только вот как они на eth0 у вас появились, vlan256 идет через eth0? 192.168.1.53 > 192.168.0.2 не прошел через шлюз хотя правило вроде есть? покажите sysctl -a\|grep forward и весь iptables-save белые адреса само собой измените >[оверквотинг удален] > 192.168.1.0 0.0.0.0 > 255.255.255.0 U 0 > 0 > 0 eth0 > 192.168.0.0 0.0.0.0 > 255.255.255.0 U 0 > 0 > 0 vlan256 > RDP, доступ к виндовым шарам и сервисам за роутером работают, в обе > стороны.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "создать правило для forward"	+/–
	Сообщение от mitay (ok) on 05-Мрт-14, 11:35
	В логе сие: FORWARD packet died: IN=vlan256 OUT=eth0 SRC=192.168.0.2 DST=192.168.1.53 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=819 PROTO=ICMP TYPE=0 CODE=0 ID=1 SEQ=10846 FORWARD packet died: IN=vlan256 OUT=eth0 SRC=192.168.0.2 DST=192.168.1.53 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=2298 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=2655 > 192.168.0.1 > 192.168.0.2 и запросы и ответы идут, только вот как они > на eth0 у вас появились, vlan256 идет через eth0? #cat /proc/net/vlan/config VLAN Dev name \| VLAN ID vlan256 \| 256 \| eth0 > 192.168.1.53 > 192.168.0.2 не прошел через шлюз хотя правило вроде есть? да > покажите sysctl -a\|grep forward и весь iptables-save белые адреса само собой измените #sysctl -a \| grep forward net.ipv4.conf.all.forwarding = 1 net.ipv4.conf.all.mc_forwarding = 0 net.ipv4.conf.default.forwarding = 1 net.ipv4.conf.default.mc_forwarding = 0 net.ipv4.conf.lo.forwarding = 1 net.ipv4.conf.lo.mc_forwarding = 0 net.ipv4.conf.eth0.forwarding = 1 net.ipv4.conf.eth0.mc_forwarding = 0 net.ipv4.conf.eth1.forwarding = 1 net.ipv4.conf.eth1.mc_forwarding = 0 net.ipv4.conf.vlan256.forwarding = 1 net.ipv4.conf.vlan256.mc_forwarding = 0 net.ipv4.conf.tun0.forwarding = 1 net.ipv4.conf.tun0.mc_forwarding = 0 net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 0 net.ipv6.conf.all.mc_forwarding = 0 net.ipv6.conf.default.forwarding = 0 net.ipv6.conf.default.mc_forwarding = 0 net.ipv6.conf.lo.forwarding = 0 net.ipv6.conf.lo.mc_forwarding = 0 net.ipv6.conf.eth0.forwarding = 0 net.ipv6.conf.eth0.mc_forwarding = 0 net.ipv6.conf.eth1.forwarding = 0 net.ipv6.conf.eth1.mc_forwarding = 0 net.ipv6.conf.vlan256.forwarding = 0 net.ipv6.conf.vlan256.mc_forwarding = 0 net.ipv6.conf.tun0.forwarding = 0 net.ipv6.conf.tun0.mc_forwarding = 0 #iptables-save mangle :PREROUTING ACCEPT [27020318:21672755150] :INPUT ACCEPT [23137147:18709445366] :FORWARD ACCEPT [3868810:2962530354] :OUTPUT ACCEPT [21572244:18681127573] :POSTROUTING ACCEPT [25429511:21642590953] COMMIT nat :PREROUTING ACCEPT [1097918:60771855] :POSTROUTING ACCEPT [628590:39771147] :OUTPUT ACCEPT [559147:35687666] COMMIT *filter :INPUT DROP [591866:33286352] :FORWARD DROP [12605:1157695] :OUTPUT ACCEPT [6:648] :bad_packets - [0:0] :bad_tcp_packets - [0:0] :door - [0:0] :icmp_packets - [0:0] :stage1 - [0:0] :stage2 - [0:0] :tcp_inbound - [0:0] :tcp_outbound - [0:0] :udp_inbound - [0:0] :udp_outbound - [0:0] -A INPUT -s 192.168.3.0/24 -i tun0 -j ACCEPT -A INPUT -d ip/32 -p tcp -m tcp --dport 1194 -j ACCEPT -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT -A INPUT -s 192.168.1.0/24 -i lo -j ACCEPT -A INPUT -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 10.15.32.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 192.168.0.2/32 -i vlan256 -j ACCEPT -A INPUT -s 192.168.0.2/32 -d 192.168.1.0/24 -j ACCEPT -A INPUT -j bad_packets -A INPUT -d 224.0.0.1/32 -j DROP -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT -A INPUT -d 192.168.1.255/32 -i eth0 -j ACCEPT -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth1 -p tcp -j tcp_inbound -A INPUT -i eth1 -p udp -j udp_inbound -A INPUT -i eth1 -p icmp -j icmp_packets -A INPUT -m pkttype --pkt-type broadcast -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 5 --name heaven --rsource -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j door -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "INPUT packet died: " -A FORWARD -j bad_packets -A FORWARD -i eth0 -o vlan256 -p tcp -j ACCEPT -A FORWARD -i tun0 -o vlan256 -p tcp -j ACCEPT -A FORWARD -i tun0 -o eth0 -p tcp -j ACCEPT -A FORWARD -i vlan256 -o eth0 -p tcp -j ACCEPT -A FORWARD -i vlan256 -o tun0 -p tcp -j ACCEPT -A FORWARD -i eth0 -o tun0 -p tcp -j ACCEPT -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp -j ACCEPT -A FORWARD -d 192.168.1.0/24 -i vlan256 -p tcp -j ACCEPT -A FORWARD -s 192.168.1.0/24 -o vlan256 -p tcp -j ACCEPT -A FORWARD -s 192.168.3.0/24 -o vlan256 -p tcp -j ACCEPT -A FORWARD -i eth0 -p tcp -j tcp_outbound -A FORWARD -i tun0 -p tcp -j tcp_outbound -A FORWARD -i eth0 -p udp -j udp_outbound -A FORWARD -i tun0 -p udp -j udp_outbound -A FORWARD -i eth0 -j ACCEPT -A FORWARD -i tun0 -j ACCEPT -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "FORWARD packet died: " -A OUTPUT -p icmp -m state --state INVALID -j DROP -A OUTPUT -s 127.0.0.1/32 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -s 192.168.1.1/32 -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -s 192.168.0.1/32 -j ACCEPT -A OUTPUT -o vlan256 -j ACCEPT -A OUTPUT -o eth1 -j ACCEPT -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: " -A bad_packets -s 192.168.1.0/24 -i eth1 -j LOG --log-prefix "Illegal source: " -A bad_packets -s 192.168.1.0/24 -i eth1 -j DROP -A bad_packets -m state --state INVALID -j LOG --log-prefix "Invalid packet: " -A bad_packets -m state --state INVALID -j DROP -A bad_packets -p tcp -j bad_tcp_packets -A bad_packets -j RETURN -A bad_tcp_packets -i eth0 -p tcp -j RETURN -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: " -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "Stealth scan: " -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "Stealth scan: " -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "Stealth scan: " -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "Stealth scan: " -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: " -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "Stealth scan: " -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP -A bad_tcp_packets -p tcp -j RETURN -A door -m recent --rcheck --seconds 5 --name knock2 --rsource -j stage2 -A door -m recent --rcheck --seconds 5 --name knock --rsource -j stage1 -A door -p tcp -m tcp --dport xxx -m recent --set --name knock --rsource -A icmp_packets -p icmp -f -j LOG --log-prefix "ICMP Fragment: " -A icmp_packets -p icmp -f -j DROP -A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT -A icmp_packets -p icmp -j RETURN -A stage1 -m recent --remove --name knock --rsource -A stage1 -p tcp -m tcp --dport xxx -m recent --set --name knock2 --rsource -A stage2 -m recent --remove --name knock2 --rsource -A stage2 -p tcp -m tcp --dport xxx -m recent --set --name heaven --rsource -A tcp_inbound -p tcp -m tcp --dport 80 -j ACCEPT -A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT -A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --sport 20 -j ACCEPT -A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT -A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT -A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT -A tcp_inbound -s 192.168.1.0/24 -i eth0 -p tcp -m tcp --dport 123 -j ACCEPT -A tcp_inbound -p tcp -j RETURN -A tcp_outbound -p tcp -j ACCEPT -A udp_inbound -s 192.168.1.0/24 -i eth0 -p udp -m udp --dport 53 -j ACCEPT -A udp_inbound -s 192.168.1.0/24 -i vlan256 -p udp -m udp --dport 53 -j ACCEPT -A udp_inbound -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT -A udp_inbound -s 10.5.3.0/24 -i tun0 -p udp -m udp --dport 53 -j ACCEPT -A udp_inbound -p udp -j RETURN -A udp_outbound -p udp -j ACCEPT Напомню что при политике FORWARD ACCEPT пакеты ходют.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "создать правило для forward"	+/–
	Сообщение от reader (ok) on 05-Мрт-14, 12:10
	>[оверквотинг удален] > -A FORWARD -s 192.168.1.0/24 -o vlan256 -p tcp -j ACCEPT > -A FORWARD -s 192.168.3.0/24 -o vlan256 -p tcp -j ACCEPT > -A FORWARD -i eth0 -p tcp -j tcp_outbound > -A FORWARD -i tun0 -p tcp -j tcp_outbound > -A FORWARD -i eth0 -p udp -j udp_outbound > -A FORWARD -i tun0 -p udp -j udp_outbound > -A FORWARD -i eth0 -j ACCEPT > -A FORWARD -i tun0 -j ACCEPT > -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT > -A FORWARD -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT если пинги от 192.168.1.53 не пойдут выполните iptables -I FORWARD -p icmp -j ACCEPT и проверте >[оверквотинг удален] > -j ACCEPT > -A udp_inbound -s 192.168.1.0/24 -i vlan256 -p udp -m udp --dport 53 > -j ACCEPT > -A udp_inbound -s 192.168.3.0/24 -i tun0 -p udp -m udp --dport 53 > -j ACCEPT > -A udp_inbound -s 10.5.3.0/24 -i tun0 -p udp -m udp --dport 53 > -j ACCEPT > -A udp_inbound -p udp -j RETURN > -A udp_outbound -p udp -j ACCEPT > Напомню что при политике FORWARD ACCEPT пакеты ходют.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "создать правило для forward"	+/–
	Сообщение от mitay (ok) on 05-Мрт-14, 13:03
	> -A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT после этого 0.2 стал отвечать 53-му, но сам пингвать не может. > если пинги от 192.168.1.53 не пойдут выполните > iptables -I FORWARD -p icmp -j ACCEPT > и проверте даже после этого.. и ещё странность с 1.53 на 0.2 отправлено 16 получено 16, но в логах 3 записи FORWARD packet died появились, второй раз - 2 записи на 33 пинга... почему так происходит? так же происходит и при пинге с 0.2 на 1.53 - отправлено 33, получено 0 - превышен интервал ожидания, в логах 3 записи FORWARD packet died. поменял политику FORWARD на ACCEPT - пинг пошел, поменял обратно - шел ещё с минуту, потом опять перестал. Неужели проблема в железе?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "создать правило для forward"	+/–
	Сообщение от reader (ok) on 05-Мрт-14, 13:19
	>> -A FORWARD -i vlan256 -m state --state RELATED,ESTABLISHED -j ACCEPT > после этого 0.2 стал отвечать 53-му, но сам пингвать не может. Потому что разрешено отвечать, а начинать соединение не разрешено. Если между vlan256 и eth0 ограничения на прохождение пакетов не нужны измените на -A FORWARD -i vlan256 -o eth0 -j ACCEPT >> если пинги от 192.168.1.53 не пойдут выполните >> iptables -I FORWARD -p icmp -j ACCEPT >> и проверте > даже после этого.. это уже странно > и ещё странность с 1.53 на 0.2 отправлено 16 получено 16, но > в логах 3 записи FORWARD packet died появились, второй раз - > 2 записи на 33 пинга... почему так происходит? > так же происходит и при пинге с 0.2 на 1.53 - отправлено > 33, получено 0 - превышен интервал ожидания, в логах 3 записи > FORWARD packet died. 3 записи из-за ограничения --limit 3/min --limit-burst 3 > поменял политику FORWARD на ACCEPT - пинг пошел, поменял обратно - шел > ещё с минуту, потом опять перестал. Неужели проблема в железе?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "создать правило для forward"	+/–
	Сообщение от mitay (ok) on 05-Мрт-14, 13:51
	Спасибо! Ключевая опция -p tcp, я её не заметил, считал что все протоколы разрешил. Глаз замылился.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору