Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » ipchains, iptables etc

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8

Открыть новую тему     Написать ответ в эту тему

drinkens



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые соконфетники. Вот, встала проблема с Linux - Gateway для сетки. Раньше с Линухом знаком был отдалённо. Теперь углубляюсь. Трудно, конечно после виндов (не знаю, может с непривычки) и не всё гладко. Поставил ASP Linux Baikal 7.2, почитал про IPChains. Экспериментирую - ipchains -L input,  - пишет - incompatible whis this kernel.  
При написании любых комманд по пересылке пакетов пишет - Protocol not available.
Если к этим коммандам добавлять -p [`all'], на следующей строчке появляется приглашение > , пропадает только после CTRL-C. Тяжко мне. Помогите разобратся. Проверил, ipchains стартован. И ещё, если есть, покажите ссылку какую-нибудь со скриптами для ipchains, мож поможет. Заранее спасибо.
 
P.S.  manы читаю - не понимаю ничаво

Всего записей: 32 | Зарегистр. 07-04-2003 | Отправлено: 16:37 07-04-2003 | Исправлено: drinkens, 17:34 07-04-2003
rootic

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Поставил ASP Linux Baikal 7.2

 
Помоему в 7.2 по умолчанию уже iptables

Всего записей: 21 | Зарегистр. 16-01-2003 | Отправлено: 14:54 08-04-2003
drinkens



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Оказалось да, Iptables работает. Но ситуация-с - Пишу IPTABLES -P INPUT ACCEPT
IPTABLES -P FORWARD ACCEPT IPTABLES -P OUTPUT ACCEPT - т.е. никаких запретов. Всё равно не ходят из сетки в интернет. Карточки сетевые настроены правильно. С любой сетевой тачки пингуются DNS-сервера провайдера (по-сути интернет уже), а ftp,http ... не ходит. Где в линухе глянуть можно на логи какие-нибудь - где пакеты пропадают. Кажется мне, что провайдер закрыл со своей стороны порты кроме прокси 3128 (по нему счас ходим в интернет через Winroute). Но не признаются, а настойчиво просят денег за вызов спецов, шоб енто починить. А нужно по-зарез ftp и icq. Шо робыть ??????
 

Всего записей: 32 | Зарегистр. 07-04-2003 | Отправлено: 21:41 08-04-2003
kuznets



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну дык правильно что не ходят, надо в сторону НАТ копать. У тебя порты открыты, а пакеты на рассылает на одресаты, т.к. пути к ним не прописаны!
Читаем и задаем вопросы: http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
Там в принципе расписано все максимально понятно + примеры.  
И еще распиши конкретней, своб проблему, что настроего что не настоено и как...  
логи у меня например /var/log/...

Всего записей: 180 | Зарегистр. 29-03-2002 | Отправлено: 00:00 09-04-2003 | Исправлено: kuznets, 00:04 09-04-2003
Gordon



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Тебе нужно сделать две вещи:
Я так понимаю, что у тебя за сервером стоит сетка?
Первым делом подымаешь НАТ, так как на внутренней сетке у тебя, скорее всего нет реальных адресов, делаешь это примерно так:  
iptables -t nat -A POSTROUTING -o имя_внешнего_интерфейса -s ip_адрес_или_диапазон_внутренней_сетки -j MASQUERADE
у меня это так: iptables -t nat -A POSTROUTING -o eth1 -s 10.0.1.0/24 -j MASQUERADE
 
шаг второй:
Разреши маршрутизацию:
echo "1" > /proc/sys/net/ipv4/ip_forward
 
И если, как ты говоришь, никаких правил фаервола нет и политики в ACCEPT то все должно работать.
 

Всего записей: 4 | Зарегистр. 08-04-2003 | Отправлено: 01:44 09-04-2003
drinkens



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всё сделал как ты написал - iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE, маршрутизацию включил - результата ноль. В таблицах INPUT, OUTPUT, FORWARD - ни одной записи нет (Я их очистил -F, а затем задал всем трём таблицам политики ACCEPT). Log  нету в \var\log. Как же посмотреть - где гибнут пакеты. Может запись в лог где-то нужно включить, или они где-то в другом месте лежат.

Всего записей: 32 | Зарегистр. 07-04-2003 | Отправлено: 13:44 09-04-2003
Gordon



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Приветствую!
Да странно, может у тебя что-то с дистрибутивом?
Ну попробуй, для уверенности, сделать еще следующее:
 
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
#
iptables -X
iptables -t nat -X
iptables -t mangle -X
 
после сделай те комманды, которые ты делал раньше:
 iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
 
echo "1" > /proc/sys/net/ipv4/ip_forward
 
а так делается лог:
iptables -A [INPUT или OUTPUT или FORWARD] -j LOG --log-level DEBUG --log-prefix "IPT packet: "
 
И опиши свою конффигурацию. Проблема может быть даже в дровах к сетевухам.
Ты пользвуешь радио-интернетом, ну вобщем расскажи поподробнее, возможно проблема не в фаерволе.
Удачи!
 
С уважением,
Евгений Ким.

Всего записей: 4 | Зарегистр. 08-04-2003 | Отправлено: 17:32 09-04-2003
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
drinkens
Опиши какие адреса у тебя в сети. Какие на обеих интерфейсах роутера.
Какой адрес у тебя данный провайдером и всю остальную инфу которую дал тебе провайдер.
Выведи нам результат команды route print
Не забудь прописать дефолт-шлюз на рабочих станциях (адрес внутреннего инт роутера), а когда пропишешь - попробуй с них пропинговать оба интерфейса роутера.
 
Пингуется ли провайдерский ip ?
 
Не боись - разберемся
 
З.Ы. еще раз проверь файл /proc/sys/net/ipv4/ip_forward на наличие в нем "1" и рестартни систему после прописания ее туда.

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 20:05 09-04-2003
kuznets



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Модули все подключены?

Всего записей: 180 | Зарегистр. 29-03-2002 | Отправлено: 22:20 09-04-2003
drinkens



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Файл  /etc/sysconfig/network
 
NETWORKING=yes
HOSTNAME=Linux
GATEWAY=192.168.1.102         #(роутер провайдера)
DNS1=212.9.224.1                       #(ДНС провайдера)
DNS2=212.9.224.2                       #(ДНС провайдера)
 
   Файл   /etc/sysconfig/network-scripts/ifcfg-eth0 (сетка)
 
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.0.62
NETMASK=255.255.255.0
NETWORK=192.168.0.0
BROADCAST=192.168.0.255
 
     Файл   /etc/sysconfig/network-scripts/ifcfg-eth1 (и-нет)
 
DEVICE=eth1
ONBOOT=yes
IPADDR=192.168.1.151
NETMASK=255.255.255.0
NETWORK=192.168.1.0
BROADCAST=192.168.1.255
 
     Комманда    route-
 
Kernel IP routing table
Destination     Gateway             Genmask                Flags MetricRef    Use   Iface
192.168.1.0     *                         255.255.255.0         U     0         0        0       eth1
192.168.0.0     *                         255.255.255.0         U     0         0        0       eth0
127.0.0.0         *                         255.0.0.0                 U     0         0        0       lo
default             192.168.1.102    0.0.0.0                     UG  0         0        0       eth1
 
Далее запускаю скрипт:
 
#!/bin/bash
# IPTABLES configuration
IPTABLES="/sbin/iptables"
 
# Module loading
 
# needed to initialy load modules
 
/sbin/depmod -a
 
# Required modules
 
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
 
# Required proc configuration
echo "Required proc..."
 
echo "1" > /proc/sys/net/ipv4/ip_forward
 
# Set policies
 
echo "Set policies"
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
#
 
$IPTABLES -F  
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
 
 
 
echo "Enable simple IP Forwarding and NAT"
 
$IPTABLES -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
 
$IPTABLES -A INPUT -j LOG --log-level DEBUG --log-prefix "IPT Packet:"
$IPTABLES -A OUTPUT -j LOG --log-level DEBUG --log-prefix "IPT Packet:"
 
 
 
Что происходит : Пингуются роутер провайдера, мой роутер, ДНС-Сервера провайдера с любой машины в сети. Всё остальное в сети не пингуется. При пинге, например yandex.ru, выдаёт его айпишник (всё-таки резолвит его откуда-то), а затем пишет – Host unrichable. То же происходит и в ИЕ с любой машины в сети. Пишу например адрес – www.rambler.ru. Начинается процесс, внизу появляется надпись Connecting to 81.19.66.109, далее висим минут 5, и говорит что не может открыть страницу. В логе пишет вот что :
 
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22457 DF PROTO=TCP SPT=2140 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24677 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22457 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22462 DF PROTO=TCP SPT=2140 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24678 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22462 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22468 DF PROTO=TCP SPT=2140 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24679 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22468 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22474 DF PROTO=TCP SPT=2141 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24680 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22474 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22477 DF PROTO=TCP SPT=2141 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24681 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22477 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22493 DF PROTO=TCP SPT=2141 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24682 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22493 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22518 DF PROTO=TCP SPT=2144 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24683 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22518 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22523 DF PROTO=TCP SPT=2144 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24684 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22523 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=105 TOS=0x00 PREC=0x00 TTL=127 ID=22524 PROTO=UDP SPT=2146 DPT=53 LEN=85  
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=180 TOS=0x00 PREC=0x00 TTL=60 ID=50595 PROTO=UDP SPT=53 DPT=2146 LEN=160  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=79 TOS=0x00 PREC=0x00 TTL=127 ID=22526 PROTO=UDP SPT=2147 DPT=53 LEN=59  
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=154 TOS=0x00 PREC=0x00 TTL=60 ID=50637 PROTO=UDP SPT=53 DPT=2147 LEN=134  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=121 TOS=0x00 PREC=0x00 TTL=127 ID=22527 PROTO=UDP SPT=2148 DPT=53 LEN=101  
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=196 TOS=0x00 PREC=0x00 TTL=60 ID=50650 PROTO=UDP SPT=53 DPT=2148 LEN=176  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=22528 PROTO=UDP SPT=2149 DPT=53 LEN=40  
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=147 TOS=0x00 PREC=0x00 TTL=60 ID=50684 PROTO=UDP SPT=53 DPT=2149 LEN=127  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22529 DF PROTO=TCP SPT=2150 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24685 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22529 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN= OUT=eth0 SRC=192.168.0.62 DST=192.168.0.61 LEN=88 TOS=0x00 PREC=0xC0 TTL=255 ID=32402 PROTO=ICMP TYPE=11 CODE=0 [SRC=192.168.0.61 DST=212.9.224.2 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=22538 DF PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=19200 ]  
IPT Packet:IN= OUT=eth0 SRC=192.168.0.62 DST=192.168.0.61 LEN=88 TOS=0x00 PREC=0xC0 TTL=255 ID=32403 PROTO=ICMP TYPE=11 CODE=0 [SRC=192.168.0.61 DST=212.9.224.2 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=22539 DF PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=19456 ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22542 DF PROTO=TCP SPT=2150 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24686 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22542 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22547 DF PROTO=TCP SPT=2144 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24687 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22547 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22552 DF PROTO=TCP SPT=2150 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24688 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22552 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22573 DF PROTO=TCP SPT=2153 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24689 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22573 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22579 DF PROTO=TCP SPT=2153 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24690 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22579 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=22581 PROTO=UDP SPT=2154 DPT=53 LEN=45  
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=349 TOS=0x00 PREC=0x00 TTL=60 ID=55876 PROTO=UDP SPT=53 DPT=2154 LEN=329  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22582 DF PROTO=TCP SPT=2155 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24691 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22582 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22587 DF PROTO=TCP SPT=2155 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0  
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24692 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22587 DF PROTO=TCP INCOMPLETE [8 bytes] ]  
 
Ну как, есть соображения ?

Всего записей: 32 | Зарегистр. 07-04-2003 | Отправлено: 14:26 10-04-2003
EndoR



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
drinkens
не, пиши такие правила -  
$IPTABLES -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to-source <внешний IP>
p.s. и маршрутизацию все-таки включи
 
to all
народ, а что такое rx и tx bytes в ifconfig??
 
Добавлено
эээ...  кстати..   а тебе надо абсолютно все туда кидать? может определишься, какие порты кидать, а какие нет?

----------
Fear is an efficient tool of management.

Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 16:10 10-04-2003
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Файл   /etc/sysconfig/network-scripts/ifcfg-eth1 (и-нет)  
 
DEVICE=eth1  
ONBOOT=yes  
IPADDR=192.168.1.151  
NETMASK=255.255.255.0  
NETWORK=192.168.1.0  
BROADCAST=192.168.1.255

 
Это не "(и-нет)". Это локальная сеть провайдера.
Тебе вообще нужен не роутер а бридж и в своей локалке выставить адреса 192.168.1.0/24
Попробуй выставить эти адреса на локальные машины, прописать дефолт шлюз 192.168.1.102 и воткнуть свой (и-нет) себе просто в свитч/хаб.
 
если тебе все таки нужно будет юзать свои адреса, надо будет чуть чуть по другому настроить НАТ.

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 18:03 10-04-2003
drinkens



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да, наверное бридж не сгодится, так как я хочу настроить в firewall со всеми правилами. Сначала так и поступил - не работало. Сейчас хочу просто без всяких правил попасть через эту тачку в интернет, а потом уж добавлять правила firewall.
 
Добавлено
Ну вот, поэкспериментировал. Значит так, взял компьютер в сетке. Прописал на нём дефолт шлюз 192.168.1.102 В DNS записал сервера 212.9.224.1 & 212.9.224.2. Адрес сетевушки сменил на 192.168.1.152. + подключил всё это дело в сетку провайдера (ISDN Hub Router ZyXEL c 4 сосками для лана), поведение точно такое, как и через линукс-машину. Пингуются только ДНС-сервера провайдера + 192.168.1.102. Опять подворачивается мысль, что провайдер закрыл все порты, кроме 3128 (через прокси работает всё нормально). Может есть способ глянуть какие порты у них открыты, а какие закрыты. Просто мистика какая-то.   Мож имеют они меня просто.

Всего записей: 32 | Зарегистр. 07-04-2003 | Отправлено: 18:10 10-04-2003
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Так у тебя и с Линуксовой машины ничего не работает? (кроме пинга и ДНС)
Тогда само собой это провайдер тебя лажает!
Нет смысла настраивать все это если даже шлюзовая машина ничего не видит!
Видимо провайдер у тебя предоставляет только proxy доступ.
Тогда особо файрволить нечего - просто установи на linux'e squid, сделай прозрачное проксирование, остальные порты закрой и наслаждайся проксёвым интернетом.

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 06:10 11-04-2003
drinkens



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дело в том, что нужны порты 5190 и 21 (ftp+icq). Они не работают через прокси. Провайдеры божатся и клянутся, что у нас всё открыто и проблема в нашем шлюзе. Они мило согласились приехать к нам и за 50 баков починить всё. Но я не собираюсь платить эти деньги просто так. Ведь мне кажется что проблема не у нас. Они приедут, в это же время включат нам закрытые порты, - и дело в шляпе, денюшки заработали. А фиг им. Есть ли способ 100% уличить их в подставе и начать ругатся по-серьёзному (пока ещё сохраняется вероятность что у меня что-то не фурычит)

Всего записей: 32 | Зарегистр. 07-04-2003 | Отправлено: 15:08 11-04-2003
Gordon



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всем привет!
Я тут, не было меня.
Я смотрю, что ситуация похожа на ту, когда из человека делают идиота. Но я не уверен в этом на 100%, может дествительно в чем-то проблема.
Я бы на твоем месте, взял бы подлючил виндовую машину, где настроить неправильно, что в туалет сходить мимо. Все бы настроил на виндах, и протестировал "связь". после этого сделал бы выводы. И если виноваты провайдеры - мило с ними бы поговарил, если не повелись бы уже разговаривал с начальством, показав все "улики" по этому делу.
 
 
А по поводу связи: говоришь пинги идут?  а обмен информацией не получается?
 
У меня была такая проблемка, когда работал на госпредприятии: купили хабы 10Мбит. поставили. проверили - все ок(проверяли пингами, да и чат стоял, по моему sechat - все работало). Но оказалось что все остальное не рботает. - оказалось что вышел из строя один из хабов. Микросхема полетела. Мелкие пакеты пропускает, а побольше - большая комбинация из трех пальцев!  
 
Так что советую тебе обратиться к друзьям, которые могут тебе помочь, а если таковых по близости нету - возьми у кого-нибудь : другую сетевуху, другой свич или хаб, проверить обжимку коннекторов, ну вобщем все проверить.
 
Удачи!
Если че - пиши

Всего записей: 4 | Зарегистр. 08-04-2003 | Отправлено: 06:37 12-04-2003
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
У меня была такая проблемка, когда работал на госпредприятии: купили хабы 10Мбит. поставили. проверили - все ок(проверяли пингами, да и чат стоял, по моему sechat - все работало). Но оказалось что все остальное не рботает. - оказалось что вышел из строя один из хабов. Микросхема полетела. Мелкие пакеты пропускает, а побольше - большая комбинация из трех пальцев!    

Не надо лишнего, прочитай внимательно - www через прокси работает!
 
А вот первая половина правильная, настрой все - покажи начальству что не работает, если после приезда настройщиков все "заработает" - вот тебе и улики.

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 10:13 12-04-2003
drinkens



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем большой большой привет. Настроение сегодня то, что нада. Закончился вчера мой кошмар с и-нетом. Позвонил по Вашему совету в милую контору IP Telecom, выслушал опять песню о том что надо рыть в своей сетке, но после того как я сказал что мне по....... ети байки и то, что я на 100% уверен в своей непричастности, меня куда-то переключили (додумались блин, наконец-то), там другой парень опять сказал, что всё Ок, но он, чтобы мне хоть как-то полегчало сейчас всё заново проверит. Проверял он енто дело минут 20 (я висел всё время на телефоне). Вижу, ICQ моё поднялось (парень что-то лабает дальше, наверное уже всё закончил, но время тянет, чтобы найти слова для оправдания). Я ему говорю-хорош, всё работает, что же ето было ?. На что мне мило отвечают - " Да, блин мы тут на новые роутеры переходили, забыли вас прописать" - Во, блин. Далее на все мои нехорошие слова у него находилось в ответ только одно слово - "Бывает, шо зробыш!".  Теперь всё работает и через наш старый шлюз (Винда) и через моё новое Линуксоподобное детище. Правда пока всё открыто, приступаю к написанию правил фаервола. Со временем, если всё гладко получится, перейду на линукс полностью. Что для почты посоветуете, уважаемые. Да, и всем спасибо за советы, много вы умных для меня вещей подсказали с меня (Киев)

Всего записей: 32 | Зарегистр. 07-04-2003 | Отправлено: 17:27 12-04-2003
Gordon



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Рад за тебя!

Всего записей: 4 | Зарегистр. 08-04-2003 | Отправлено: 21:44 12-04-2003
Dust



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Забавно но факт - стал я ковыряться в своем роутере и вырубил NAT - инет как работал так и работает... Безобразие
 
Может объяснит кто - почему достаточно одного форвардинга?
 
Добавлено
ЗЫ Сквид НЕ работает, да и всякие контры нормально бегают - дело не в проксе...

Всего записей: 460 | Зарегистр. 01-03-2002 | Отправлено: 14:55 02-05-2003
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » ipchains, iptables etc


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru