Jump to content
Калькуляторы

Помогите с IPTABLES

Reply to this topic

pr0lan   

pr0lan
Posted

Нужно сделать доступным ДНС.. но просто уже голова не варит проверять.

C GW пингуется х.х.х.3  со 192.168.10.34 - нет.. при этом iptables -L GW:

 

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/16       anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     all  --  anywhere             anywhere             match-set setallow_real-3501 src
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3501 src tcp dpt:http
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3501 src tcp dpt:https
DROP       all  --  anywhere             anywhere             match-set setdisallow_real-3501 src
ACCEPT     all  --  anywhere             anywhere             match-set setallow_real-3201 src
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3201 src tcp dpt:http
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3201 src tcp dpt:https
DROP       all  --  anywhere             anywhere             match-set setdisallow_real-3201 src
ACCEPT     all  --  anywhere             anywhere             match-set setallow_real-3200 src
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3200 src tcp dpt:http
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3200 src tcp dpt:https
DROP       all  --  anywhere             anywhere             match-set setdisallow_real-3200 src
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             ctstate NEW
 

Диаграмма1.png

Share this post

Link to post
Share on other sites

rz3dwy   

rz3dwy
Posted (edited)

1. Ваш днс знает то-нибудь про сеть 192.168.10.0/16?

2. Если нет, то настроена ли трансляция адресов на GW?

3. Смотрите счетчики: iptables -nvL

4. Логируйте отброшенные пакеты так:

 

iptables -P FORWARD ACCEPT

iptables -N FWDROP

У всех нынешних правил с -j DROP поменяйте цель на -j FWDROP

допишите в конце 2 правила:

-A FORWARD  -j LOGDROP
-A FWDROP -j LOG --log-prefix "*FWDROPPED**: "

 

мониторьте лог. Где - хз. В зависимости от системы /var/log/mesages|syslog|kern

Edited by rz3dwy

Share this post

Link to post
Share on other sites

oleg_n   

oleg_n
Posted (edited) 
ACCEPT     all  --  192.168.0.0/16       anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain

Кошмар какой. Тут хрен разберёшься. Давайте iptables-save сюда.

 

А вообще, всё делается просто - запускаете на 192.168.10.34 бесконечный ping, а на шлюзе смотрите tcpdump'ом что у Вас происходит с пакетами от него. Сначала на внутреннем интерфейсе на всякий случай, что бы убедиться, что пакеты доходят до шлюза; потом не внешнем, что б увидеть уходят ли и nat'ятся ли, если надо.

Edited by oleg_n

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Программное обеспечение, биллинг и *unix системы