DNS CIsco ASR1001-x

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

8 minutes ago, guеst said:

ну тут чётко видно, что запросы от 10.10.0.110 к 172.16.42.1 на порт 53 идут, а вот ответа обратно ни одного

только ответы на icmp udp port 53 unreachable

зафильтрован у вас 53 порт

смотрите

iptables -L -n | grep 53

root@rnat1:/# iptables -L -n | grep 53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

:)

значит не здесь, где-то раньше.

например тут:

10.10.0.109

я из сети тоже не вижу у вас открытого 53 порта:

Nmap scan report for a1366.adygtelecom.com (91.224.136.6)
Host is up (0.042s latency).
Not shown: 992 closed ports
PORT     STATE    SERVICE      VERSION
21/tcp   open     tcpwrapped
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
631/tcp  filtered ipp
1720/tcp open     tcpwrapped
2000/tcp open     tcpwrapped
5060/tcp open     tcpwrapped
5080/tcp open     tcpwrapped

точно где-то фильтруется, надо искать где

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

2 minutes ago, guеst said:

:)

значит не здесь, где-то раньше.

например тут:

10.10.0.109

Это шлюз на Cisco ASR1001x, какими правилами возможно разрешить ?

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

а вы знаете, я всё таки зря так сказал,

вы же tcpdump уже на самом ДНС смотрели, и уже там нет ответа

Значит до промежуточных роутеров еще и не дошло. Это сам ДНС не отвечает, точней отвечает, что

icmp udp port 53 unreachable

надо на нём всё таки смотреть

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

6 minutes ago, guеst said:
:)

значит не здесь, где-то раньше.

например тут:

10.10.0.109

я из сети тоже не вижу у вас открытого 53 порта:
Nmap scan report for a1366.adygtelecom.com (91.224.136.6)
Host is up (0.042s latency).
Not shown: 992 closed ports
PORT     STATE    SERVICE      VERSION
21/tcp   open     tcpwrapped
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
631/tcp  filtered ipp
1720/tcp open     tcpwrapped
2000/tcp open     tcpwrapped
5060/tcp open     tcpwrapped
5080/tcp open     tcpwrapped
точно где-то фильтруется, надо искать где

фильтруется только на Cisco ASR-1001x 10.10.0.109 это абонентский шлюз тестового ПК и фильтруется на самом DNS.

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 (изменено) · Жалоба

а покажите весь конфиг iptables

если что криминальное замажте

только вставляйте как "Код" в форму поста

Изменено 9 июня, 2018 пользователем guеst

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

Just now, guеst said:

а покажите весь конфиг iptables

если что криминальное замажте

root@rnat1:/etc# cat iptables-filter.conf
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# ------ loopback
-A INPUT                                                -i lo   -j ACCEPT
# ------ SMB REJECT
-A INPUT                        -p tcp -m tcp --sport 139               -j REJECT
-A INPUT                       -p tcp -m tcp --dport 139               -j REJECT
-A INPUT                        -p tcp -m tcp --sport 445               -j REJECT
-A INPUT                        -p tcp -m tcp --dport 445               -j REJECT
-A INPUT                        -p udp -m udp --sport 137:138               -j REJECT
-A INPUT                        -p udp -m udp --dport 137:138               -j REJECT
# ------ IPP REJECT
-A INPUT                        -p tcp -m tcp --dport 631               -j REJECT
-A INPUT                        -p udp -m udp --dport 631               -j REJECT
-A INPUT                        -p tcp -m tcp --sport 631               -j REJECT
-A INPUT                        -p udp -m udp --sport 631               -j REJECT
#
# ############### FLOW ################
#-A INPUT                                                   -j ULOG
# ############### Пресечь попытки обхода firewall #####################
-A INPUT                        -p tcp --tcp-flags SYN,FIN SYN,FIN            -j LOG
-A INPUT                        -p tcp --tcp-flags SYN,RST SYN,RST            -j LOG
-A INPUT                        -p tcp --tcp-flags SYN,FIN SYN,FIN            -j DROP
-A INPUT                        -p tcp --tcp-flags SYN,RST SYN,RST            -j DROP
-A INPUT    -s 91.224.137.4                                           -j REJECT
-A INPUT    -s 172.16.8.12                                           -j REJECT
-A INPUT    -s 172.31.0.10                                           -j REJECT

#
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# ############## ICMP #################
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# ############## BGP OSPF #############
-A INPUT    -s 172.31.0.0/21   -d 172.31.0.0/21   -p tcp -m tcp --dport 179   -i vlan3   -j ACCEPT
-A INPUT    -s 172.31.0.0/21   -d 172.31.0.0/21   -p ospf               -i vlan3   -j ACCEPT
-A INPUT    -s 91.224.137.0/28   -d 91.224.137.0/28   -p ospf               -i vlan12   -j ACCEPT
-A INPUT    -s 224.0.0.0/8                                           -j ACCEPT
-A INPUT    -d 224.0.0.0/8                                           -j ACCEPT

# ############## SSH-SERVER ###########
-A INPUT -s 172.16.8.0/21 -p tcp -m tcp --dport 22 -j ACCEPT

# ############## DNS-SERVER ###########
#-A INPUT   -s 172.16.0.0/12               -p tcp -m tcp --dport 53           -j ACCEPT
#-A INPUT    -s 172.16.0.0/12               -p udp -m udp --dport 53           -j ACCEPT
# .... dns-server для клиентов
#-A INPUT               -d 172.16.24.0/24   -p tcp -m tcp --dport 53           -j ACCEPT
#-A INPUT                -d 172.16.24.0/24   -p udp -m udp --dport 53           -j ACCEPT
-A INPUT                           -p tcp -m tcp --dport 53   -i vlan6   -j ACCEPT
-A INPUT                            -p udp -m udp --dport 53   -i vlan6   -j ACCEPT
#-A INPUT                           -p tcp -m tcp --dport 53   -i vlan12   -j ACCEPT
#-A INPUT                            -p udp -m udp --dport 53   -i vlan12   -j ACCEPT
-A INPUT                           -p tcp -m tcp --dport 53   -i vlan4   -j ACCEPT
-A INPUT                            -p udp -m udp --dport 53   -i vlan4   -j ACCEPT
-A INPUT                           -p tcp -m tcp --dport 53   -i vlan3   -j ACCEPT
-A INPUT                            -p udp -m udp --dport 53   -i vlan3   -j ACCEPT

# ############## SNMP-SERVER ########
-A INPUT    -s 172.16.8.16/32               -p udp -m udp --dport 161           -j ACCEPT
-A INPUT    -s 172.16.8.8/32               -p udp -m udp --dport 161           -j ACCEPT
# ############## BACULA #########
-A INPUT   -s 172.16.8.16                   -p tcp -m tcp --dport 9102   -i vlan2   -j ACCEPT
-A INPUT   -s 172.16.8.16                   -p tcp -m tcp --sport 9103   -i vlan2   -j ACCEPT
# ############## FULL REJECT ############################
-A INPUT                            -p tcp -m tcp                   -j REJECT --reject-with tcp-reset
-A INPUT                                                    -j REJECT
#
#
# ------ loopback
-A OUTPUT                                               -o lo   -j ACCEPT
# ------ FLOW -----
#-A OUTPUT                                                   -j ULOG
#
-A OUTPUT   -m state --state RELATED,ESTABLISHED                               -j ACCEPT
# ------ icmp
-A OUTPUT                            -p icmp -m icmp --icmp-type 0           -j ACCEPT
-A OUTPUT                            -p icmp -m icmp --icmp-type 8           -j ACCEPT
#
-A OUTPUT                        -p tcp -m tcp --dport 80               -j ACCEPT
-A OUTPUT                        -p tcp -m tcp --dport 443               -j ACCEPT
# ------ BACULA
-A OUTPUT    -d 172.16.8.16               -p tcp -m tcp --sport 9102       -o vlan2   -j ACCEPT
-A OUTPUT    -d 172.16.8.16               -p tcp -m tcp --dport 9103       -o vlan2   -j ACCEPT
# ------ full-accept
-A OUTPUT                                                    -j ACCEPT
#
#
# ------ Пресечь попытки обхода firewall
-A FORWARD                        -p tcp --tcp-flags SYN,FIN SYN,FIN            -j DROP
-A FORWARD                        -p tcp --tcp-flags SYN,RST SYN,RST            -j DROP
# ------ SMB REJECT
-A FORWARD                        -p tcp -m tcp --sport 139               -j REJECT
-A FORWARD                        -p tcp -m tcp --dport 139               -j REJECT
-A FORWARD                        -p tcp -m tcp --sport 445               -j REJECT
-A FORWARD                        -p tcp -m tcp --dport 445               -j REJECT
-A FORWARD                        -p udp -m udp --sport 137:138               -j REJECT
-A FORWARD                        -p udp -m udp --dport 137:138               -j REJECT
# ------ IPP REJECT
-A FORWARD                        -p tcp -m tcp --dport 631               -j REJECT
-A FORWARD                        -p udp -m udp --dport 631               -j REJECT
-A FORWARD                        -p tcp -m tcp --sport 631               -j REJECT
-A FORWARD                        -p udp -m udp --sport 631               -j REJECT
# ----- FLOW
# ... Учёт трафика серверов за NAT
-A FORWARD    -s 172.16.0.0/12                                       -j ULOG
-A FORWARD                -d 172.16.0.0/12                           -j ULOG
# ... Учёт наличия "плохих" сетей
#-A FORWARD    -s 192.168.0.0/16                                       -j ULOG
#-A FORWARD                -d 192.168.0.0/16                           -j ULOG
#
# ############## ICMP #################
-A FORWARD    -s 10.0.101.0/24               -p icmp -m icmp --icmp-type 0            -j ACCEPT
-A FORWARD    -s 10.0.101.0/24               -p icmp -m icmp --icmp-type 8            -j ACCEPT

# ... Управление коммутаторами, маршрутизаторами и доступ к сервисам серверов из сети предприятия
-A FORWARD    -s 10.0.101.0/24   -d 172.16.0.0/12                           -j ACCEPT
-A FORWARD    -d 10.0.101.0/24   -s 172.16.0.0/12                           -j ACCEPT
#
-A FORWARD    -s 10.0.0.0/8       -d 172.16.24.0/24                           -j ACCEPT
-A FORWARD    -s 10.0.0.0/8       -d 172.16.25.0/24                           -j ACCEPT
-A FORWARD    -s 10.0.0.0/8       -d 172.16.26.0/24                           -j ACCEPT

# FSB allows in billing sysem
-A FORWARD -s 10.0.0.250 -d 172.16.16.2 -p tcp --dport 443 -j ACCEPT
-A FORWARD -s 10.0.0.250 -d 172.16.16.2 -p tcp --dport 11758 -j ACCEPT

# Блок доступа к сетям управления из сетей клиентов
-A FORWARD    -s 10.0.0.0/8       -d 172.16.0.0/12                           -j REJECT
# Блок доступа к другим приватным сетям
-A FORWARD    -s 10.0.0.0/8       -d 192.168.0.0/16                           -j REJECT
# Блок межабонентского доступа
-A FORWARD    -s 10.0.0.0/8       -d 10.0.0.0/8                               -j REJECT
# ------------ Блокирование dport 25 у заражённых
-A FORWARD   ! -d 172.16.16.7   ! -s 172.16.16.7   -p tcp -m tcp --dport 25           -j LOG --log-level 4 --log-prefix "CTRL 25 port: "
-A FORWARD   ! -s 172.16.16.7   ! -d 172.16.16.7   -p tcp -m tcp --sport 25           -j LOG --log-level 4 --log-prefix "CTRL 25 port: "
-A FORWARD   -s 10.0.19.46       -p tcp -m tcp --dport 25                       -j REJECT
-A FORWARD   -d 10.0.19.46       -p tcp -m tcp --sport 25                       -j REJECT
-A FORWARD   -s 10.0.16.162       -p tcp -m tcp --dport 25                       -j REJECT
-A FORWARD   -d 10.0.16.162       -p tcp -m tcp --sport 25                       -j REJECT
# ------------ Forward GRE (PPPTP)
-A FORWARD   -s 10.0.0.0/8       -p gre                                   -j ACCEPT
-A FORWARD   -d 10.0.0.0/8       -p gre                                   -j ACCEPT
#
-A FORWARD    -m state --state RELATED,ESTABLISHED                                -j ACCEPT
# ------------ Приватные сети
-A FORWARD    -s 10.0.0.0/8                                           -j ACCEPT
-A FORWARD    -d 10.0.0.0/8                                           -j ACCEPT
# ------------ Реальные сети
-A FORWARD    -s 91.224.136.0/24                                       -j ACCEPT
-A FORWARD    -d 91.224.136.0/24                                       -j ACCEPT
-A FORWARD    -s 91.224.137.0/24                                       -j ACCEPT
-A FORWARD    -d 91.224.137.0/24                                       -j ACCEPT
# ------------ Ядро за NAT
-A FORWARD   -s 172.16.16.0/21                                       -j ACCEPT
-A FORWARD   -d 172.16.16.0/21                                       -j ACCEPT
# ------------ Ядро за NAT
-A FORWARD   -s 172.16.1.0/21                                       -j ACCEPT
-A FORWARD   -d 172.16.1.0/21                                       -j ACCEPT
# ------------ Ядро за NAT
-A FORWARD   -s 172.31.0.0/21                                       -j ACCEPT
-A FORWARD   -d 172.31.0.0/21                                       -j ACCEPT

#
# OTHER FULL REJECT
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset
-A FORWARD -j REJECT
COMMIT

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 (изменено) · Жалоба

ох, ну если я правильно всё увидел то

# .... dns-server для клиентов
#-A INPUT                -d 172.16.24.0/24    -p tcp -m tcp --dport 53            -j ACCEPT
#-A INPUT                 -d 172.16.24.0/24    -p udp -m udp --dport 53            -j ACCEPT
-A INPUT                            -p tcp -m tcp --dport 53    -i vlan6    -j ACCEPT
-A INPUT                             -p udp -m udp --dport 53    -i vlan6    -j ACCEPT
#-A INPUT                            -p tcp -m tcp --dport 53    -i vlan12    -j ACCEPT
#-A INPUT                             -p udp -m udp --dport 53    -i vlan12    -j ACCEPT
-A INPUT                            -p tcp -m tcp --dport 53    -i vlan4    -j ACCEPT
-A INPUT                             -p udp -m udp --dport 53    -i vlan4    -j ACCEPT
-A INPUT                            -p tcp -m tcp --dport 53    -i vlan3    -j ACCEPT
-A INPUT                             -p udp -m udp --dport 53    -i vlan3    -j ACCEPT

вот здесь у вас явно не разрешено, что с 10.10.0.110 с интерфейса -i eth1 можно обращаться к --dport 53

и т.к. по умолчанию у вас

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

то соответственно блочатся запросы.

Ну во всяком случае мне так кажется по этому конфигу...

при этом

# ############## ICMP #################
-A INPUT                             -p icmp -m icmp --icmp-type 0             -j ACCEPT
-A INPUT                             -p icmp -m icmp --icmp-type 8             -j ACCEPT

на пинги он отвечает всему и всем...

Изменено 9 июня, 2018 пользователем guеst

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

3 minutes ago, guеst said:

ох, ну если я правильно всё увидел то


# .... dns-server для клиентов
#-A INPUT                -d 172.16.24.0/24    -p tcp -m tcp --dport 53            -j ACCEPT
#-A INPUT                 -d 172.16.24.0/24    -p udp -m udp --dport 53            -j ACCEPT
-A INPUT                            -p tcp -m tcp --dport 53    -i vlan6    -j ACCEPT
-A INPUT                             -p udp -m udp --dport 53    -i vlan6    -j ACCEPT
#-A INPUT                            -p tcp -m tcp --dport 53    -i vlan12    -j ACCEPT
#-A INPUT                             -p udp -m udp --dport 53    -i vlan12    -j ACCEPT
-A INPUT                            -p tcp -m tcp --dport 53    -i vlan4    -j ACCEPT
-A INPUT                             -p udp -m udp --dport 53    -i vlan4    -j ACCEPT
-A INPUT                            -p tcp -m tcp --dport 53    -i vlan3    -j ACCEPT
-A INPUT                             -p udp -m udp --dport 53    -i vlan3    -j ACCEPT

вот здесь у вас явно не разрешено, что с 10.10.0.110 с интерфейса -i eth1 можно обращаться к --dport 53

и т.к. по умолчанию у вас


:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

то соответственно блочатся запросы.

при это


# ############## ICMP #################
-A INPUT                             -p icmp -m icmp --icmp-type 0             -j ACCEPT
-A INPUT                             -p icmp -m icmp --icmp-type 8             -j ACCEPT

на пинги он отвечает всему и всем...

Подскажите пожалуйста, как тогда правильно внести, ведь вроде эти строчки закоментированны.

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

ну если мы сейчас говорим конкретно про доступ 10.10.0.110 через интерфейс eth1 до 53 порта то наверно добавить в секцию

# .... dns-server для клиентов

-A INPUT -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT
или
-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

3 minutes ago, guеst said:
ну если мы сейчас говорим конкретно про доступ 10.10.0.110 через интерфейс eth1 до 53 порта то наверно добавить в секцию

# .... dns-server для клиентов
-A INPUT -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT
или
-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT

-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT
Добавил сделал iptables-restore /etc/iptables-filter.conf

root@rnat1:/# iptables -L -n | grep 53
ACCEPT udp -- 10.10.0.110 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 10.10.0.110 0.0.0.0/0 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

root@rnat1:/# tcpdump -n -v -i eth1 host 10.10.0.110
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
06:49:18.581352 IP (tos 0x0, ttl 127, id 12301, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:18.581397 IP (tos 0xc0, ttl 64, id 3706, offset 0, flags [none], proto ICMP (1), length 106)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86
   IP (tos 0x0, ttl 127, id 12301, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:19.582250 IP (tos 0x0, ttl 127, id 12302, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:19.582295 IP (tos 0xc0, ttl 64, id 3768, offset 0, flags [none], proto ICMP (1), length 106)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86
   IP (tos 0x0, ttl 127, id 12302, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:20.582796 IP (tos 0x0, ttl 127, id 12303, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:20.582839 IP (tos 0xc0, ttl 64, id 3887, offset 0, flags [none], proto ICMP (1), length 106)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86
   IP (tos 0x0, ttl 127, id 12303, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:22.584021 IP (tos 0x0, ttl 127, id 12304, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:22.584067 IP (tos 0xc0, ttl 64, id 4105, offset 0, flags [none], proto ICMP (1), length 106)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86
   IP (tos 0x0, ttl 127, id 12304, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:24.857898 IP (tos 0x0, ttl 127, id 12305, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:24.857948 IP (tos 0xc0, ttl 64, id 4287, offset 0, flags [none], proto ICMP (1), length 88)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68
   IP (tos 0x0, ttl 127, id 12305, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:25.858206 IP (tos 0x0, ttl 127, id 12306, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:25.858253 IP (tos 0xc0, ttl 64, id 4448, offset 0, flags [none], proto ICMP (1), length 88)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68
   IP (tos 0x0, ttl 127, id 12306, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:26.584882 IP (tos 0x0, ttl 127, id 12307, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:26.584930 IP (tos 0xc0, ttl 64, id 4574, offset 0, flags [none], proto ICMP (1), length 106)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86
   IP (tos 0x0, ttl 127, id 12307, offset 0, flags [none], proto UDP (17), length 78)
10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50)
06:49:26.614517 IP (tos 0x0, ttl 127, id 12309, offset 0, flags [none], proto UDP (17), length 55)
10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27)
06:49:26.614558 IP (tos 0xc0, ttl 64, id 4578, offset 0, flags [none], proto ICMP (1), length 83)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 63
   IP (tos 0x0, ttl 127, id 12309, offset 0, flags [none], proto UDP (17), length 55)
10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27)
06:49:26.614562 IP (tos 0x0, ttl 127, id 12308, offset 0, flags [none], proto UDP (17), length 53)
10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25)
06:49:26.614591 IP (tos 0xc0, ttl 64, id 4579, offset 0, flags [none], proto ICMP (1), length 81)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 61
   IP (tos 0x0, ttl 127, id 12308, offset 0, flags [none], proto UDP (17), length 53)
10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25)
06:49:26.614595 IP (tos 0x0, ttl 127, id 12310, offset 0, flags [none], proto UDP (17), length 59)
10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31)
06:49:26.614625 IP (tos 0xc0, ttl 64, id 4580, offset 0, flags [none], proto ICMP (1), length 87)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 67
   IP (tos 0x0, ttl 127, id 12310, offset 0, flags [none], proto UDP (17), length 59)
10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31)
06:49:26.858644 IP (tos 0x0, ttl 127, id 12311, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:26.858687 IP (tos 0xc0, ttl 64, id 4593, offset 0, flags [none], proto ICMP (1), length 88)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68
   IP (tos 0x0, ttl 127, id 12311, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:27.009039 IP (tos 0x0, ttl 127, id 12312, offset 0, flags [none], proto UDP (17), length 64)
10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36)
06:49:27.009085 IP (tos 0xc0, ttl 64, id 4622, offset 0, flags [none], proto ICMP (1), length 92)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 72
   IP (tos 0x0, ttl 127, id 12312, offset 0, flags [none], proto UDP (17), length 64)
10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36)
06:49:27.614343 IP (tos 0x0, ttl 127, id 12313, offset 0, flags [none], proto UDP (17), length 59)
10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31)
06:49:27.614382 IP (tos 0x0, ttl 127, id 12314, offset 0, flags [none], proto UDP (17), length 55)
10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27)
06:49:27.614524 IP (tos 0x0, ttl 127, id 12315, offset 0, flags [none], proto UDP (17), length 53)
10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25)
06:49:27.699023 IP (tos 0x0, ttl 127, id 12316, offset 0, flags [none], proto UDP (17), length 72)
10.10.0.110.52412 > 172.16.24.1.53: 11679+ A? tiles.services.mozilla.com. (44)
06:49:28.009434 IP (tos 0x0, ttl 127, id 12317, offset 0, flags [none], proto UDP (17), length 64)
10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36)
06:49:28.009477 IP (tos 0xc0, ttl 64, id 4675, offset 0, flags [none], proto ICMP (1), length 92)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 72
   IP (tos 0x0, ttl 127, id 12317, offset 0, flags [none], proto UDP (17), length 64)
10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36)
06:49:28.618409 IP (tos 0x0, ttl 127, id 12318, offset 0, flags [none], proto UDP (17), length 59)
10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31)
06:49:28.618453 IP (tos 0x0, ttl 127, id 12319, offset 0, flags [none], proto UDP (17), length 53)
10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25)
06:49:28.618507 IP (tos 0x0, ttl 127, id 12320, offset 0, flags [none], proto UDP (17), length 55)
10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27)
06:49:28.698521 IP (tos 0x0, ttl 127, id 12321, offset 0, flags [none], proto UDP (17), length 72)
10.10.0.110.52412 > 172.16.24.1.53: 11679+ A? tiles.services.mozilla.com. (44)
06:49:28.859456 IP (tos 0x0, ttl 127, id 12322, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:28.859497 IP (tos 0xc0, ttl 64, id 4676, offset 0, flags [none], proto ICMP (1), length 88)
172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68
   IP (tos 0x0, ttl 127, id 12322, offset 0, flags [none], proto UDP (17), length 60)
10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32)
06:49:29.011305 IP (tos 0x0, ttl 127, id 12323, offset 0, flags [none], proto UDP (17), length 64)
10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36)
06:49:29.698586 IP (tos 0x0, ttl 127, id 12324, offset 0, flags [none], proto UDP (17), length 72)
10.10.0.110.52412 > 172.16.24.1.53: 11679+ A? tiles.services.mozilla.com. (44)
^C
38 packets captured
123 packets received by filter
17 packets dropped by kernel

Не помогло, подскажите пожалуйста еще варианты... А то уже бьюсь 3 день

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

VolanD666

Опубликовано 9 июня, 2018 · Жалоба

Сервис то запущен?

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 (изменено) · Жалоба

кстати да %)

Изменено 9 июня, 2018 пользователем guеst

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

VolanD666

Опубликовано 9 июня, 2018 · Жалоба

Если потушить iptables, все начинает работать?

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

а вот так еще покажите

iptables -L -n -v

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

VolanD666

Опубликовано 9 июня, 2018 · Жалоба

Только что, guеst сказал:

а вот так еще покажите

iptables -L -n -v

Может сначала локализовать проблему? Понять что дело точно/не точно в iptables ?

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

1 minute ago, guеst said:

а вот так еще покажите

iptables -L -n -v

root@rnat1:/# iptables -L -n -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:139 reject-with icmp-port-unreachable
4 160 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:445 reject-with icmp-port-unreachable
13 596 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 reject-with icmp-port-unreachable
21 4786 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:138 reject-with icmp-port-unreachable
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 reject-with icmp-port-unreachable
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:631 reject-with icmp-port-unreachable
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:631 reject-with icmp-port-unreachable
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x03/0x03 LOG flags 0 level 4
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x06 LOG flags 0 level 4
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x03/0x03
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x06
0 0 REJECT all -- * * 91.224.137.4 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.16.8.12 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 172.31.0.10 0.0.0.0/0 reject-with icmp-port-unreachable
68109 14M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0
319 19122 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
0 0 ACCEPT tcp -- vlan3 * 172.31.0.0/21 172.31.0.0/21 tcp dpt:179
0 0 ACCEPT 89 -- vlan3 * 172.31.0.0/21 172.31.0.0/21
0 0 ACCEPT 89 -- vlan12 * 91.224.137.0/28 91.224.137.0/28
0 0 ACCEPT all -- * * 224.0.0.0/8 0.0.0.0/0
700 112K ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/8
0 0 ACCEPT tcp -- * * 172.16.8.0/21 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- eth1 * 10.10.0.110 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth1 * 10.10.0.110 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- vlan6 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- vlan6 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- vlan4 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- vlan4 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
769 44084 ACCEPT tcp -- vlan3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
89552 5828K ACCEPT udp -- vlan3 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
50 4000 ACCEPT udp -- * * 172.16.8.16 0.0.0.0/0 udp dpt:161
0 0 ACCEPT udp -- * * 172.16.8.8 0.0.0.0/0 udp dpt:161
0 0 ACCEPT tcp -- vlan2 * 172.16.8.16 0.0.0.0/0 tcp dpt:9102
0 0 ACCEPT tcp -- vlan2 * 172.16.8.16 0.0.0.0/0 tcp spt:9103
154K 8873K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp reject-with tcp-reset
85109 7062K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x03/0x03
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x06
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:139 reject-with icmp-port-unreachable
2 80 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:445 reject-with icmp-port-unreachable
154 7612 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 reject-with icmp-port-unreachable
6 468 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:138 reject-with icmp-port-unreachable
11 858 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 reject-with icmp-port-unreachable
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:631 reject-with icmp-port-unreachable
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:631 reject-with icmp-port-unreachable
2364 217K ULOG all -- * * 172.16.0.0/12 0.0.0.0/0 ULOG copy_range 0 nlgroup 1 queue_threshold 1
6439 1001K ULOG all -- * * 0.0.0.0/0 172.16.0.0/12 ULOG copy_range 0 nlgroup 1 queue_threshold 1
0 0 ACCEPT icmp -- * * 10.0.101.0/24 0.0.0.0/0 icmptype 0
0 0 ACCEPT icmp -- * * 10.0.101.0/24 0.0.0.0/0 icmptype 8
0 0 ACCEPT all -- * * 10.0.101.0/24 172.16.0.0/12
0 0 ACCEPT all -- * * 172.16.0.0/12 10.0.101.0/24
100 6140 ACCEPT all -- * * 10.0.0.0/8 172.16.24.0/24
0 0 ACCEPT all -- * * 10.0.0.0/8 172.16.25.0/24
0 0 ACCEPT all -- * * 10.0.0.0/8 172.16.26.0/24
0 0 ACCEPT tcp -- * * 10.0.0.250 172.16.16.2 tcp dpt:443
0 0 ACCEPT tcp -- * * 10.0.0.250 172.16.16.2 tcp dpt:11758
1041 119K REJECT all -- * * 10.0.0.0/8 172.16.0.0/12 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 10.0.0.0/8 192.168.0.0/16 reject-with icmp-port-unreachable
235 20644 REJECT all -- * * 10.0.0.0/8 10.0.0.0/8 reject-with icmp-port-unreachable
37 4084 LOG tcp -- * * !172.16.16.7 !172.16.16.7 tcp dpt:25 LOG flags 0 level 4 prefix "CTRL 25 port: "
41 2526 LOG tcp -- * * !172.16.16.7 !172.16.16.7 tcp spt:25 LOG flags 0 level 4 prefix "CTRL 25 port: "
0 0 REJECT tcp -- * * 10.0.19.46 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 10.0.19.46 tcp spt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 10.0.16.162 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 10.0.16.162 tcp spt:25 reject-with icmp-port-unreachable
0 0 ACCEPT 47 -- * * 10.0.0.0/8 0.0.0.0/0
0 0 ACCEPT 47 -- * * 0.0.0.0/0 10.0.0.0/8
31M 31G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1235K 82M ACCEPT all -- * * 10.0.0.0/8 0.0.0.0/0
4524 575K ACCEPT all -- * * 0.0.0.0/0 10.0.0.0/8
2270K 423M ACCEPT all -- * * 91.224.136.0/24 0.0.0.0/0
448K 563M ACCEPT all -- * * 0.0.0.0/0 91.224.136.0/24
0 0 ACCEPT all -- * * 91.224.137.0/24 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 91.224.137.0/24
845 64009 ACCEPT all -- * * 172.16.16.0/21 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 172.16.16.0/21
10 1110 ACCEPT all -- * * 172.16.0.0/21 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 172.16.0.0/21
102 7782 ACCEPT all -- * * 172.31.0.0/21 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 172.31.0.0/21
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
287K 67M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
1844K 111M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
7320K 1373M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * vlan2 0.0.0.0/0 172.16.8.16 tcp spt:9102
0 0 ACCEPT tcp -- * vlan2 0.0.0.0/0 172.16.8.16 tcp dpt:9103
1182K 102M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

счетчики

0 0 ACCEPT udp -- eth1 * 10.10.0.110 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth1 * 10.10.0.110 0.0.0.0/0 tcp dpt:53

нулевые, в них не попало.

5 минут назад, VolanD666 сказал:

Может сначала локализовать проблему? Понять что дело точно/не точно в iptables ?

ну остаётся только так

Я просто думал у него это боевой сервак, на котором iptables если останавливать, то сервисы клиентам могут перестать предоставляться...

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

2 minutes ago, guеst said:

счетчики

0 0 ACCEPT udp -- eth1 * 10.10.0.110 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth1 * 10.10.0.110 0.0.0.0/0 tcp dpt:53

нулевые, в них не попало.

ну остаётся только так

Я просто думал у него это боевой сервак, на котором iptables если останавливать, то сервисы клиентам могут перестать предоставляться...

Это боевой, сейчас попробую так.

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

кстати

вы показали ж только таблицу

*filter

а в

*nat

нет ничего, в PRE/POST ROUTING ?

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 (изменено) · Жалоба

5 minutes ago, guеst said:

кстати

вы показали ж только таблицу

*filter

а в

*nat

нет ничего, в PRE/POST ROUTING ?

root@rnat1:/etc# cat iptables-nat.conf
*nat
:PREROUTING ACCEPT [0:0]

# ssh for support UTM5
#-A PREROUTING -s 77.72.80.1 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22
# -A PREROUTING -s 91.224.137.5 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22

# ------------- Доступ к биллингу для
#-A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 443 -j DNAT --to-destination 172.16.16.2:443
-A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 11758 -j DNAT --to-destination 172.16.16.2:11758

:POSTROUTING ACCEPT [0:0]
-A POSTROUTING   -s 10.0.0.0/8                   -o vlan12   -j SNAT --to-source 91.224.136.6
-A POSTROUTING   -s 172.16.1.0/21           -o vlan12   -j SNAT --to-source 91.224.136.6
-A POSTROUTING   -s 172.16.16.0/21   -d 10.0.0.0/8               -j RETURN
-A POSTROUTING   -s 172.16.16.0/21   -d 172.16.0.0/12           -j RETURN
-A POSTROUTING   -s 172.16.16.0/21   -d 192.168.0.0/16           -j RETURN
-A POSTROUTING   -s 172.16.16.0/21               -o vlan12   -j SNAT --to-source 91.224.136.6
-A POSTROUTING   -s 172.31.0.0/21   -d 10.0.0.0/8               -j RETURN
-A POSTROUTING   -s 172.31.0.0/21   -d 172.16.0.0/12           -j RETURN
-A POSTROUTING   -s 172.31.0.0/21   -d 192.168.0.0/16           -j RETURN
-A POSTROUTING   -s 172.31.0.0/21               -o vlan12   -j SNAT --to-source 91.224.136.6

:OUTPUT ACCEPT [0:0]
COMMIT

Как правильно выключить в Debian ? Не нахожу команды, чтоб востановить сразу как проверю ?

Изменено 9 июня, 2018 пользователем 7sergeynazarov7

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

/etc/init.d/iptables stop

/etc/init.d/iptables start наверно?

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

1 minute ago, guеst said:

/etc/init.d/iptables stop

/etc/init.d/iptables start наверно?

Не находит по этой команде.

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

guеst

Опубликовано 9 июня, 2018 · Жалоба

да

что-то вроде ничего криминального... но

покажите еще вывод команды

ip a

и

netstat -lnp

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

7sergeynazarov7

Опубликовано 9 июня, 2018 · Жалоба

Just now, guеst said:

да

что-то вроде ничего криминального... но

покажите еще вывод команды

ip a

и

netstat -lnp

tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 30098/named
tcp 0 0 127.0.0.1:2601 0.0.0.0:* LISTEN 2835/zebra
tcp 0 0 127.0.0.1:2604 0.0.0.0:* LISTEN 2952/ospfd
tcp 0 0 172.16.8.12:9102 0.0.0.0:* LISTEN 3054/bacula-fd
tcp 0 0 91.224.136.6:53 0.0.0.0:* LISTEN 30098/named
tcp 0 0 172.16.24.1:53 0.0.0.0:* LISTEN 30098/named
tcp 0 0 172.16.8.12:53 0.0.0.0:* LISTEN 30098/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 30098/named
tcp 0 0 172.16.8.12:22 0.0.0.0:* LISTEN 3094/sshd
udp 0 0 91.224.136.6:53 0.0.0.0:* 30098/named
udp 0 0 172.16.24.1:53 0.0.0.0:* 30098/named
udp 0 0 172.16.8.12:53 0.0.0.0:* 30098/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 30098/named
udp 0 0 0.0.0.0:50252 0.0.0.0:* 2584/rsyslogd
udp 0 0 172.16.8.12:161 0.0.0.0:* 3048/snmpd
udp 0 0 127.0.0.1:161 0.0.0.0:* 3048/snmpd
raw 0 0 0.0.0.0:89 0.0.0.0:* 7 2952/ospfd
raw6 0 0 :::58 :::* 7 2835/zebra
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 6424 2746/acpid /var/run/acpid.socket
unix 2 [ ACC ] STREAM LISTENING 6479 3055/dbus-daemon /var/run/dbus/system_bus_socket
unix 2 [ ACC ] STREAM LISTENING 5972 2952/ospfd /var/run/quagga/ospfd.vty
unix 2 [ ACC ] SEQPACKET LISTENING 4755 398/udevd /run/udev/control
unix 2 [ ACC ] STREAM LISTENING 8435 2835/zebra /var/run/quagga/zserv.api
unix 2 [ ACC ] STREAM LISTENING 8439 2835/zebra /var/run/quagga/zebra.vty

Войти

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Join the conversation