Перейти к содержимому
Калькуляторы

Доступ из LAN на интерфейс WAN. Веб сервер.

Есть сервер. 2 сетевухи: 10.0.0.1/24 и 154.0.4.56/24.

Когда сервер был на centos мог из локалки 10,0,0,1.24 попасть на 154.0.4.56.

Перенес все на дебин.

Из локалки не могу даже пингануть 154.0.4.56.

 

Файрвол скопирован с центоси.

80 порт открыт и с анонимайзеров заходит.

Трассировка до 154.0.4.56 заканчивается на первом хопе на шлюзе.

Со шлюза 154.0.4.56 пингуется.

Комп с которого пингую натится на адрес 154.0.4.55

 

Где собака зарыта?

 

Может где-то в sysctl?

Помогите, пожалуйста, разобраться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RP отключить, форвадинг включить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ivan_83, для каких интерфейсов?

 

sysctl -a | grep rp_f
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth1.rp_filter = 1
net.ipv4.conf.eth1.arp_filter = 0

 

sysctl -a | grep forward
net.ipv4.conf.all.forwarding = 0
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 0
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 0
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 0
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 0
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.ip_forward = 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ivan_83,

В sysctl.conf:

net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0
net.ipv4.ip_forward=1

Проблема осталась.

 

 

sysctl.conf: http://pastebin.com/72f8Ht08

interfaces: http://pastebin.com/R80hSweY

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

kamae1ka

iptables-save
# Generated by iptables-save v1.4.14 on Mon May 18 13:08:53 2015
*filter
:INPUT ACCEPT [17459:2449162]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [34954:16391396]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 81 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.200.4/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -s 192.168.200.8/32 -p tcp -m tcp --dport 22333 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6969 -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 6969 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon May 18 13:08:53 2015

 

Повторюсь. Нат на этой машине не нужен. У нее просто 2 интерфейса.

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:INPUT ACCEPT [17459:2449162]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [34954:16391396]

 

а зачем тогда ACCEPT в правилах?

 

вывод?

netstat -ln | grep 80

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

kamae1ka, пока разбираю проблему - оставил.

netstat -ln | grep 80 
tcp6       0      0 :::80                   :::*                    LISTEN     
udp6       0      0 fe80::230:48ff:fec1:123 :::*                               
udp6       0      0 fe80::230:48ff:fec1:123 :::*                               

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну... попробуй ipv6 октлючить

у меня

tcp        0      0 :::80                       :::*                        LISTEN

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

kamae1ka, не верно указана маска на внешнем интерфейсе сервера debian. Глупо. 24 вместо 28

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.