pr0lan Опубликовано 1 октября, 2017 · Жалоба Нужно сделать доступным ДНС.. но просто уже голова не варит проверять. C GW пингуется х.х.х.3 со 192.168.10.34 - нет.. при этом iptables -L GW: Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 192.168.0.0/16 anywhere ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT all -- anywhere anywhere match-set setallow_real-3501 src ACCEPT tcp -- anywhere web182.default-host.net match-set setdisallow_real-3501 src tcp dpt:http ACCEPT tcp -- anywhere web182.default-host.net match-set setdisallow_real-3501 src tcp dpt:https DROP all -- anywhere anywhere match-set setdisallow_real-3501 src ACCEPT all -- anywhere anywhere match-set setallow_real-3201 src ACCEPT tcp -- anywhere web182.default-host.net match-set setdisallow_real-3201 src tcp dpt:http ACCEPT tcp -- anywhere web182.default-host.net match-set setdisallow_real-3201 src tcp dpt:https DROP all -- anywhere anywhere match-set setdisallow_real-3201 src ACCEPT all -- anywhere anywhere match-set setallow_real-3200 src ACCEPT tcp -- anywhere web182.default-host.net match-set setdisallow_real-3200 src tcp dpt:http ACCEPT tcp -- anywhere web182.default-host.net match-set setdisallow_real-3200 src tcp dpt:https DROP all -- anywhere anywhere match-set setdisallow_real-3200 src ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ctstate NEW Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 2 октября, 2017 (изменено) · Жалоба 1. Ваш днс знает то-нибудь про сеть 192.168.10.0/16? 2. Если нет, то настроена ли трансляция адресов на GW? 3. Смотрите счетчики: iptables -nvL 4. Логируйте отброшенные пакеты так: iptables -P FORWARD ACCEPT iptables -N FWDROP У всех нынешних правил с -j DROP поменяйте цель на -j FWDROP допишите в конце 2 правила: -A FORWARD -j LOGDROP -A FWDROP -j LOG --log-prefix "*FWDROPPED**: " мониторьте лог. Где - хз. В зависимости от системы /var/log/mesages|syslog|kern Изменено 2 октября, 2017 пользователем rz3dwy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 2 октября, 2017 (изменено) · Жалоба ACCEPT all -- 192.168.0.0/16 anywhere ACCEPT udp -- anywhere anywhere udp dpt:domain Кошмар какой. Тут хрен разберёшься. Давайте iptables-save сюда. А вообще, всё делается просто - запускаете на 192.168.10.34 бесконечный ping, а на шлюзе смотрите tcpdump'ом что у Вас происходит с пакетами от него. Сначала на внутреннем интерфейсе на всякий случай, что бы убедиться, что пакеты доходят до шлюза; потом не внешнем, что б увидеть уходят ли и nat'ятся ли, если надо. Изменено 2 октября, 2017 пользователем oleg_n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...