Доступ из LAN на интерфейс WAN. Веб сервер.

[lousx]

Есть сервер. 2 сетевухи: 10.0.0.1/24 и 154.0.4.56/24.

Когда сервер был на centos мог из локалки 10,0,0,1.24 попасть на 154.0.4.56.

Перенес все на дебин.

Из локалки не могу даже пингануть 154.0.4.56.

 

Файрвол скопирован с центоси.

80 порт открыт и с анонимайзеров заходит.

Трассировка до 154.0.4.56 заканчивается на первом хопе на шлюзе.

Со шлюза 154.0.4.56 пингуется.

Комп с которого пингую натится на адрес 154.0.4.55

 

Где собака зарыта?

 

Может где-то в sysctl?

Помогите, пожалуйста, разобраться.

[Ivan_83]

RP отключить, форвадинг включить.

[lousx]

Ivan_83, для каких интерфейсов?

 

sysctl -a | grep rp_f
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth1.rp_filter = 1
net.ipv4.conf.eth1.arp_filter = 0

 

sysctl -a | grep forward
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 0
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 0
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 0
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 0
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.ip_forward = 0

[lousx]

Ivan_83,

В sysctl.conf:

net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0
net.ipv4.ip_forward=1

Проблема осталась.

 

 

sysctl.conf: http://pastebin.com/72f8Ht08

interfaces: http://pastebin.com/R80hSweY

Edited May 18, 2015 by lousx

[kamae1ka]

ну покажи вывод фаервола

[lousx]

kamae1ka

iptables-save
# Generated by iptables-save v1.4.14 on Mon May 18 13:08:53 2015
*filter
:INPUT ACCEPT [17459:2449162]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34954:16391396]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 81 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.200.4/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -s 192.168.200.8/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6969 -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 6969 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon May 18 13:08:53 2015

 

Повторюсь. Нат на этой машине не нужен. У нее просто 2 интерфейса.

Edited May 18, 2015 by lousx

[kamae1ka]

:INPUT ACCEPT [17459:2449162]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [34954:16391396]

 

а зачем тогда ACCEPT в правилах?

 

вывод?

netstat -ln | grep 80

[lousx]

kamae1ka, пока разбираю проблему - оставил.

netstat -ln | grep 80 
tcp6       0      0 :::80                   :::*                    LISTEN     
udp6       0      0 fe80::230:48ff:fec1:123 :::*                               
udp6       0      0 fe80::230:48ff:fec1:123 :::*                               

[kamae1ka]

tcp6       0      0 :::80                   :::*                    LISTEN   

а на 4 протоколе как?

[lousx]

kamae1ka, это полный вывод netstat -ln | grep 80

[kamae1ka]

ну... попробуй ipv6 октлючить

у меня

tcp        0      0 :::80                       :::*                        LISTEN

[lousx]

Всем спасибо! Разобрался. Мой косяк!

[kamae1ka]

lousx, что было?

[lousx]

kamae1ka, не верно указана маска на внешнем интерфейсе сервера debian. Глупо. 24 вместо 28