guеst Опубликовано 9 июня, 2018 · Жалоба Только что, 7sergeynazarov7 сказал: Не находит по этой команде. о а какой версии у вас Дебиан? cat /etc/debian_version еще ip a ip r Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 30 minutes ago, guеst said: о а какой версии у вас Дебиан? cat /etc/debian_version еще ip a ip r iptables -F роутер стал недоступен, пришлось перезагружать 1 minute ago, 7sergeynazarov7 said: iptables -F роутер стал недоступен, пришлось перезагружать 7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба 1 минуту назад, 7sergeynazarov7 сказал: iptables -F роутер стал недоступен, пришлось перезагружать ну это потому что у вас *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] а попробуйте раз у вас в цепочке INPUT в конце # ############## FULL REJECT ############################ -A INPUT -p tcp -m tcp -j REJECT --reject-with tcp-reset -A INPUT -j REJECT поставить *filter :INPUT ACCEPT [0:0] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 1 minute ago, guеst said: ну это потому что у вас *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] Как без потери связи с ним, находится далеко просто. Аккуратно выключить правила, чтоб посмотреть из-за них или нет ? 5 minutes ago, guеst said: ну это потому что у вас *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] а попробуйте раз у вас в цепочке INPUT в конце # ############## FULL REJECT ############################ -A INPUT -p tcp -m tcp -j REJECT --reject-with tcp-reset -A INPUT -j REJECT поставить *filter :INPUT ACCEPT [0:0] Сделал *filter :INPUT ACCEPT [0:0] :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] # ------ loopback На тестовом пк по прежнему не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба поставить *filter :INPUT ACCEPT [0:0] и перестартануть iptables в Debian 7 , возможно, /etc/init.d/iptables-persistent start / stop но я не уверен, нету 7 под рукой... если нету такой комманды, то кто-то может руками скрипт загрузочный заделал, а может в rc.local засунул ...а может и еще как. Надо искать/вспоминать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 6 minutes ago, 7sergeynazarov7 said: Как без потери связи с ним, находится далеко просто. Аккуратно выключить правила, чтоб посмотреть из-за них или нет ? Сделал *filter :INPUT ACCEPT [0:0] :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] # ------ loopback На тестовом пк по прежнему не работает. Это не полный вывод, дописал строчку к тому что было. 2 minutes ago, guеst said: поставить *filter :INPUT ACCEPT [0:0] и перестартануть iptables в Debian 7 , возможно, /etc/init.d/iptables-persistent start / stop но я не уверен, нету 7 под рукой... если нету такой комманды, то кто-то может руками скрипт загрузочный заделал, а может в rc.local засунул ...а может и еще как. Надо искать/вспоминать iptables-restore /etc/iptables-filter.conf так подойдет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 (изменено) · Жалоба 8 минут назад, 7sergeynazarov7 сказал: Это не полный вывод, дописал строчку к тому что было. ну вот теперь, теоритически когда вы сбросите правила iptables, то он не обрубит и вам доступ на него. Но надо найти где у вас и чем загружаются правила в iptables /etc/init.d/iptables-persistent или руками скрипт загрузочный кто заделал, а может в rc.local засунул..... 9 минут назад, 7sergeynazarov7 сказал: iptables-restore /etc/iptables-filter.conf так подойдет ? да, так тоже пойдёт конечно Изменено 9 июня, 2018 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 3 minutes ago, guеst said: ну вот теперь, теоритически когда вы сбросите правила iptables, то он не обрубит и вам доступ на него. Но надо найти где у вас и чем загружаются правила в iptables /etc/init.d/iptables-persisten или руками скрипт загрузочный кто заделал, а может в rc.local засунул..... root@rnat1:/home/user# cat /etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. sysctl -p modprobe ip_gre modprobe ip_nat_pptp /etc/rc.chroot-fs-mount /etc/rc.chroot-bind9-start exit 0 Куда то засунули хорошо. 1 minute ago, 7sergeynazarov7 said: root@rnat1:/home/user# cat /etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. sysctl -p modprobe ip_gre modprobe ip_nat_pptp /etc/rc.chroot-fs-mount /etc/rc.chroot-bind9-start exit 0 Куда то засунули хорошо. root@rnat1:/home/user# locate iptables /data0/chroot_1/sbin/iptables /data0/chroot_1/sbin/iptables-restore /data0/chroot_1/sbin/iptables-save /data0/chroot_1/usr/bin/iptables-xml /data0/chroot_1/usr/sbin/iptables-apply /data0/chroot_1/usr/share/iptables /data0/chroot_1/usr/share/doc/iptables /data0/chroot_1/usr/share/doc/iptables/INCOMPATIBILITIES /data0/chroot_1/usr/share/doc/iptables/README.Debian /data0/chroot_1/usr/share/doc/iptables/changelog.Debian.gz /data0/chroot_1/usr/share/doc/iptables/changelog.gz /data0/chroot_1/usr/share/doc/iptables/copyright /data0/chroot_1/usr/share/iptables/iptables.xslt /data0/chroot_1/usr/share/lintian/overrides/iptables /data0/chroot_1/usr/share/man/man8/iptables-apply.8.gz /data0/chroot_1/usr/share/man/man8/iptables-restore.8.gz /data0/chroot_1/usr/share/man/man8/iptables-save.8.gz /data0/chroot_1/usr/share/man/man8/iptables-xml.8.gz /data0/chroot_1/usr/share/man/man8/iptables.8.gz /data0/chroot_1/usr/share/mime/text/x-iptables.xml /data0/chroot_1/var/cache/apt/archives/iptables_1.4.14-3.1_amd64.deb /data0/chroot_1/var/lib/dpkg/info/iptables.list /data0/chroot_1/var/lib/dpkg/info/iptables.md5sums /data0/chroot_1/var/lib/dpkg/info/iptables.postinst /data0/chroot_1/var/lib/dpkg/info/iptables.postrm /data0/chroot_1/var/lib/dpkg/info/iptables.shlibs /etc/iptables-filter.conf /etc/iptables-mangle.conf /etc/iptables-nat.conf /home/rimidal/DNS/iptables-filter.conf /home/rimidal/DNS/iptables-mangle.conf /home/rimidal/DNS/iptables-nat.conf /sbin/iptables /sbin/iptables-restore /sbin/iptables-save /usr/bin/iptables-xml /usr/sbin/iptables-apply /usr/share/iptables /usr/share/bash-completion/completions/iptables /usr/share/doc/iptables /usr/share/doc/iptables/INCOMPATIBILITIES /usr/share/doc/iptables/README.Debian /usr/share/doc/iptables/changelog.Debian.gz /usr/share/doc/iptables/changelog.gz /usr/share/doc/iptables/copyright /usr/share/iptables/iptables.xslt /usr/share/lintian/overrides/iptables /usr/share/man/man8/iptables-apply.8.gz /usr/share/man/man8/iptables-restore.8.gz /usr/share/man/man8/iptables-save.8.gz /usr/share/man/man8/iptables-xml.8.gz /usr/share/man/man8/iptables.8.gz /usr/share/mime/text/x-iptables.xml /var/lib/dpkg/info/iptables.list /var/lib/dpkg/info/iptables.md5sums /var/lib/dpkg/info/iptables.postinst /var/lib/dpkg/info/iptables.postrm /var/lib/dpkg/info/iptables.shlibs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба service --status-all 5 минут назад, 7sergeynazarov7 сказал: /etc/iptables-mangle.conf а тут у вас ничего никуда не перенаправляется на обработку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 1 minute ago, guеst said: service --status-all а тут у вас ничего никуда не перенаправляется на обработку? root@rnat1:/sbin# cat /etc/iptables-mangle.conf *mangle :PREROUTING ACCEPT [0:0] # ----- ANTI-HACK ----- -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP # #-A PREROUTING -p tcp ! -s 10.0.101.100 --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan4 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan4 -j TEE --gateway 172.16.34.1 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT Just now, 7sergeynazarov7 said: root@rnat1:/sbin# cat /etc/iptables-mangle.conf *mangle :PREROUTING ACCEPT [0:0] # ----- ANTI-HACK ----- -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP # #-A PREROUTING -p tcp ! -s 10.0.101.100 --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan4 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan4 -j TEE --gateway 172.16.34.1 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT root@rnat1:/sbin# service --status-all [ + ] acpid [ + ] atd [ + ] bacula-fd [ - ] bootlogs [ ? ] bootmisc.sh [ ? ] checkfs.sh [ ? ] checkroot-bootclean.sh [ - ] checkroot.sh [ - ] console-setup [ + ] cron [ + ] dbus [ - ] exim4 [ ? ] fprobe-ulog [ - ] hostname.sh [ ? ] hwclock.sh [ - ] kbd [ - ] keyboard-setup [ ? ] killprocs [ ? ] kmod [ + ] mdadm [ + ] mdadm-raid [ ? ] mdadm-waitidle [ - ] motd [ ? ] mountall-bootclean.sh [ ? ] mountall.sh [ ? ] mountdevsubfs.sh [ ? ] mountkernfs.sh [ ? ] mountnfs-bootclean.sh [ ? ] mountnfs.sh [ ? ] mtab.sh [ ? ] networking [ - ] procps [ ? ] quagga [ ? ] rc.local [ + ] resolvconf [ - ] rmnologin [ - ] rsync [ + ] rsyslog [ - ] schroot [ ? ] sendsigs [ + ] snmpd [ + ] ssh [ + ] udev [ ? ] udev-mtab [ ? ] umountfs [ ? ] umountnfs.sh [ ? ] umountroot [ - ] urandom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба ну в service --status-all никаких сервисов аля iptables/netfilter я не вижу значит где-то скриптом всё же правила загружаются ну что-то я уже иссяк на идеи попробуйте заменить -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT на -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -j ACCEPT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 (изменено) · Жалоба 4 minutes ago, guеst said: ну в service --status-all никаких сервисов аля iptables/netfilter я не вижу значит где-то скриптом всё же правила загружаются Обновление происходит iptables-restore /etc/iptables-filter.conf Изменено 9 июня, 2018 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба 1 минуту назад, 7sergeynazarov7 сказал: Обновление происходит iptables-restore /etc/iptables-filter.conf вы еще забываете про цепочки mangle и nat при загрузки значит и они где-то прописаны у вас оно точно в eth1 приходит? не vlan интерфейс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 1 minute ago, guеst said: вы еще забываете про цепочки mangle и nat при загрузки значит и они где-то прописаны root@rnat1:/sbin# cat /etc/iptables-mangle.conf *mangle :PREROUTING ACCEPT [0:0] # ----- ANTI-HACK ----- -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP # #-A PREROUTING -p tcp ! -s 10.0.101.100 --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan4 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan4 -j TEE --gateway 172.16.34.1 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT root@rnat1:/sbin# cat /etc/iptables-nat.conf *nat :PREROUTING ACCEPT [0:0] # ssh for support UTM5 #-A PREROUTING -s 77.72.80.1 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # -A PREROUTING -s 91.224.137.5 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # ------------- Доступ к биллингу для ФСБ #-A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 443 -j DNAT --to-destination 172.16.16.2:443 -A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 11758 -j DNAT --to-destination 172.16.16.2:11758 :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.0.0/8 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.1.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.16.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.31.0.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 :OUTPUT ACCEPT [0:0] COMMIT Just now, 7sergeynazarov7 said: root@rnat1:/sbin# cat /etc/iptables-mangle.conf *mangle :PREROUTING ACCEPT [0:0] # ----- ANTI-HACK ----- -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP # #-A PREROUTING -p tcp ! -s 10.0.101.100 --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan4 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan4 -j TEE --gateway 172.16.34.1 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT root@rnat1:/sbin# cat /etc/iptables-nat.conf *nat :PREROUTING ACCEPT [0:0] # ssh for support UTM5 #-A PREROUTING -s 77.72.80.1 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # -A PREROUTING -s 91.224.137.5 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # ------------- Доступ к биллингу для ФСБ #-A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 443 -j DNAT --to-destination 172.16.16.2:443 -A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 11758 -j DNAT --to-destination 172.16.16.2:11758 :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.0.0/8 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.1.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.16.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.31.0.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 :OUTPUT ACCEPT [0:0] COMMIT По тому же принципу и их можно обновлять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 21 minutes ago, guеst said: вы еще забываете про цепочки mangle и nat при загрузки значит и они где-то прописаны у вас оно точно в eth1 приходит? не vlan интерфейс? vlan6 сидит на eth1 iptables -F снова, закрыло доступ помогла отсроченная перезагрузка. root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110 tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 2 packets received by filter 0 packets dropped by kernel На этом пусто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба 3 минуты назад, 7sergeynazarov7 сказал: vlan6 Ха! дак а мы с вами прописывали то -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT зачем? вы сами то ориентируйтесь о чём речь и прописывайте правильно а там для vlan 6 то уже есть правило :) но оно тоже с нулевыми счетчиками что-то савсем не так где-то Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба Just now, guеst said: Ха! дак а мы с вами прописывали то -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT зачем? вы сами то ориентируйтесь о чём речь и прописывайте правильно а там для vlan 6 то уже есть правило :) тогда как заставить идти на vlan 6 root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110 tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 2 packets received by filter 0 packets dropped by kernel Убрал правила, все равно не попадает. Just now, 7sergeynazarov7 said: тогда как заставить идти на vlan 6 root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110 tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 2 packets received by filter 0 packets dropped by kernel Убрал правила, все равно не попадает. Уже 3 сутки воюю, ни как победить не получится, поэтому прощу помощи в разрешение этого вопроса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба Вам ИМХО проще доступ дать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 (изменено) · Жалоба 3 minutes ago, VolanD666 said: Вам ИМХО проще доступ дать Vlan6 вообще не принимает запросы ни от кого по TCP dump, но на vlan6 сидит ip dns-а 172.16.24.1, eth1 нет ip, все запросы с обращением слушает eth1 18 minutes ago, guеst said: Ха! дак а мы с вами прописывали то -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT зачем? вы сами то ориентируйтесь о чём речь и прописывайте правильно а там для vlan 6 то уже есть правило :) но оно тоже с нулевыми счетчиками что-то савсем не так где-то Какие еще варианты, подскажите пожалуйста ? Изменено 9 июня, 2018 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 9 июня, 2018 · Жалоба 50 минут назад, 7sergeynazarov7 сказал: Какие еще варианты, подскажите пожалуйста ? Взять на работу администратора. Это будет быстрее, эффективнее и грамотнее. Ваше уравнение не имеет решения, так как в этой задаче больше неизвестных, чем условий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 13 июня, 2018 · Жалоба В 09.06.2018 в 16:13, 7sergeynazarov7 сказал: Vlan6 вообще не принимает запросы ни от кого по TCP dump, но на vlan6 сидит ip dns-а 172.16.24.1, eth1 нет ip, все запросы с обращением слушает eth1 Какие еще варианты, подскажите пожалуйста ? а vlan6 интерфейс у вас получается принимает тэгированные пакеты? а в каком месте на него теги навешиваются? не может у вас в тестовой схеме просто то что приходит со стороны 10.10.0.110 не маркируется VLAN ID 6 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...