Jump to content
Калькуляторы

Доступ из LAN на интерфейс WAN. Веб сервер.

Есть сервер. 2 сетевухи: 10.0.0.1/24 и 154.0.4.56/24.

Когда сервер был на centos мог из локалки 10,0,0,1.24 попасть на 154.0.4.56.

Перенес все на дебин.

Из локалки не могу даже пингануть 154.0.4.56.

 

Файрвол скопирован с центоси.

80 порт открыт и с анонимайзеров заходит.

Трассировка до 154.0.4.56 заканчивается на первом хопе на шлюзе.

Со шлюза 154.0.4.56 пингуется.

Комп с которого пингую натится на адрес 154.0.4.55

 

Где собака зарыта?

 

Может где-то в sysctl?

Помогите, пожалуйста, разобраться.

Share this post


Link to post
Share on other sites

Ivan_83, для каких интерфейсов?

 

sysctl -a | grep rp_f
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth1.rp_filter = 1
net.ipv4.conf.eth1.arp_filter = 0

 

sysctl -a | grep forward
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 0
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 0
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 0
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 0
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.ip_forward = 0

Share this post


Link to post
Share on other sites

kamae1ka

iptables-save
# Generated by iptables-save v1.4.14 on Mon May 18 13:08:53 2015
*filter
:INPUT ACCEPT [17459:2449162]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34954:16391396]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 81 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.200.4/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -s 192.168.200.8/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6969 -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 6969 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon May 18 13:08:53 2015

 

Повторюсь. Нат на этой машине не нужен. У нее просто 2 интерфейса.

Edited by lousx

Share this post


Link to post
Share on other sites
:INPUT ACCEPT [17459:2449162]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [34954:16391396]

 

а зачем тогда ACCEPT в правилах?

 

вывод?

netstat -ln | grep 80

Share this post


Link to post
Share on other sites

kamae1ka, пока разбираю проблему - оставил.

netstat -ln | grep 80 
tcp6       0      0 :::80                   :::*                    LISTEN     
udp6       0      0 fe80::230:48ff:fec1:123 :::*                               
udp6       0      0 fe80::230:48ff:fec1:123 :::*                               

Share this post


Link to post
Share on other sites

tcp6       0      0 :::80                   :::*                    LISTEN   

а на 4 протоколе как?

Share this post


Link to post
Share on other sites

kamae1ka, это полный вывод netstat -ln | grep 80

Share this post


Link to post
Share on other sites

ну... попробуй ipv6 октлючить

у меня

tcp        0      0 :::80                       :::*                        LISTEN

Share this post


Link to post
Share on other sites

Всем спасибо! Разобрался. Мой косяк!

Share this post


Link to post
Share on other sites

kamae1ka, не верно указана маска на внешнем интерфейсе сервера debian. Глупо. 24 вместо 28

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this