lousx Опубликовано 18 мая, 2015 · Жалоба Есть сервер. 2 сетевухи: 10.0.0.1/24 и 154.0.4.56/24. Когда сервер был на centos мог из локалки 10,0,0,1.24 попасть на 154.0.4.56. Перенес все на дебин. Из локалки не могу даже пингануть 154.0.4.56. Файрвол скопирован с центоси. 80 порт открыт и с анонимайзеров заходит. Трассировка до 154.0.4.56 заканчивается на первом хопе на шлюзе. Со шлюза 154.0.4.56 пингуется. Комп с которого пингую натится на адрес 154.0.4.55 Где собака зарыта? Может где-то в sysctl? Помогите, пожалуйста, разобраться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 мая, 2015 · Жалоба RP отключить, форвадинг включить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2015 · Жалоба Ivan_83, для каких интерфейсов? sysctl -a | grep rp_f net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.all.arp_filter = 0 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.default.arp_filter = 0 net.ipv4.conf.lo.rp_filter = 1 net.ipv4.conf.lo.arp_filter = 0 net.ipv4.conf.eth0.rp_filter = 1 net.ipv4.conf.eth0.arp_filter = 0 net.ipv4.conf.eth1.rp_filter = 1 net.ipv4.conf.eth1.arp_filter = 0 sysctl -a | grep forward net.ipv4.conf.all.forwarding = 0 net.ipv4.conf.all.mc_forwarding = 0 net.ipv4.conf.default.forwarding = 0 net.ipv4.conf.default.mc_forwarding = 0 net.ipv4.conf.lo.forwarding = 0 net.ipv4.conf.lo.mc_forwarding = 0 net.ipv4.conf.eth0.forwarding = 0 net.ipv4.conf.eth0.mc_forwarding = 0 net.ipv4.conf.eth1.forwarding = 0 net.ipv4.conf.eth1.mc_forwarding = 0 net.ipv4.ip_forward = 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2015 (изменено) · Жалоба Ivan_83, В sysctl.conf: net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 net.ipv4.ip_forward=1 Проблема осталась. sysctl.conf: http://pastebin.com/72f8Ht08 interfaces: http://pastebin.com/R80hSweY Изменено 18 мая, 2015 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kamae1ka Опубликовано 18 мая, 2015 · Жалоба ну покажи вывод фаервола Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2015 (изменено) · Жалоба kamae1ka iptables-save # Generated by iptables-save v1.4.14 on Mon May 18 13:08:53 2015 *filter :INPUT ACCEPT [17459:2449162] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [34954:16391396] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 81 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s 192.168.200.4/32 -p tcp -m tcp --dport 22333 -j ACCEPT -A INPUT -s 192.168.200.8/32 -p tcp -m tcp --dport 22333 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6969 -j ACCEPT -A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 6969 -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Mon May 18 13:08:53 2015 Повторюсь. Нат на этой машине не нужен. У нее просто 2 интерфейса. Изменено 18 мая, 2015 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kamae1ka Опубликовано 18 мая, 2015 · Жалоба :INPUT ACCEPT [17459:2449162]:FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [34954:16391396] а зачем тогда ACCEPT в правилах? вывод? netstat -ln | grep 80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2015 · Жалоба kamae1ka, пока разбираю проблему - оставил. netstat -ln | grep 80 tcp6 0 0 :::80 :::* LISTEN udp6 0 0 fe80::230:48ff:fec1:123 :::* udp6 0 0 fe80::230:48ff:fec1:123 :::* Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kamae1ka Опубликовано 18 мая, 2015 · Жалоба tcp6 0 0 :::80 :::* LISTEN а на 4 протоколе как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2015 · Жалоба kamae1ka, это полный вывод netstat -ln | grep 80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kamae1ka Опубликовано 18 мая, 2015 · Жалоба ну... попробуй ipv6 октлючить у меня tcp 0 0 :::80 :::* LISTEN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2015 · Жалоба Всем спасибо! Разобрался. Мой косяк! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kamae1ka Опубликовано 18 мая, 2015 · Жалоба lousx, что было? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 18 мая, 2015 · Жалоба kamae1ka, не верно указана маска на внешнем интерфейсе сервера debian. Глупо. 24 вместо 28 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...