Jump to content
Калькуляторы

Помогите с IPTABLES

pr0lan   

pr0lan
Posted

Нужно сделать доступным ДНС.. но просто уже голова не варит проверять.

C GW пингуется х.х.х.3  со 192.168.10.34 - нет.. при этом iptables -L GW:

 

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/16       anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     all  --  anywhere             anywhere             match-set setallow_real-3501 src
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3501 src tcp dpt:http
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3501 src tcp dpt:https
DROP       all  --  anywhere             anywhere             match-set setdisallow_real-3501 src
ACCEPT     all  --  anywhere             anywhere             match-set setallow_real-3201 src
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3201 src tcp dpt:http
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3201 src tcp dpt:https
DROP       all  --  anywhere             anywhere             match-set setdisallow_real-3201 src
ACCEPT     all  --  anywhere             anywhere             match-set setallow_real-3200 src
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3200 src tcp dpt:http
ACCEPT     tcp  --  anywhere             web182.default-host.net  match-set setdisallow_real-3200 src tcp dpt:https
DROP       all  --  anywhere             anywhere             match-set setdisallow_real-3200 src
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             ctstate NEW
 

Диаграмма1.png

Share this post

Link to post
Share on other sites

rz3dwy   

rz3dwy
Posted (edited)

1. Ваш днс знает то-нибудь про сеть 192.168.10.0/16?

2. Если нет, то настроена ли трансляция адресов на GW?

3. Смотрите счетчики: iptables -nvL

4. Логируйте отброшенные пакеты так:

 

iptables -P FORWARD ACCEPT

iptables -N FWDROP

У всех нынешних правил с -j DROP поменяйте цель на -j FWDROP

допишите в конце 2 правила:

-A FORWARD  -j LOGDROP
-A FWDROP -j LOG --log-prefix "*FWDROPPED**: "

 

мониторьте лог. Где - хз. В зависимости от системы /var/log/mesages|syslog|kern

Edited by rz3dwy

Share this post

Link to post
Share on other sites

oleg_n   

oleg_n
Posted (edited) 
ACCEPT     all  --  192.168.0.0/16       anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain

Кошмар какой. Тут хрен разберёшься. Давайте iptables-save сюда.

 

А вообще, всё делается просто - запускаете на 192.168.10.34 бесконечный ping, а на шлюзе смотрите tcpdump'ом что у Вас происходит с пакетами от него. Сначала на внутреннем интерфейсе на всякий случай, что бы убедиться, что пакеты доходят до шлюза; потом не внешнем, что б увидеть уходят ли и nat'ятся ли, если надо.

Edited by oleg_n

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go to topic listing Программное обеспечение, биллинг и *unix системы