[guеst]

Только что, 7sergeynazarov7 сказал:

Не находит по этой команде.

о а какой версии у вас Дебиан? 

cat /etc/debian_version

 

еще

ip a

ip r

[7sergeynazarov7]

30 minutes ago, guеst said:

о а какой версии у вас Дебиан? 

cat /etc/debian_version

 

еще

ip a

ip r

iptables -F роутер стал недоступен, пришлось перезагружать

 

1 minute ago, 7sergeynazarov7 said:

iptables -F роутер стал недоступен, пришлось перезагружать

7

[guеst]

1 минуту назад, 7sergeynazarov7 сказал:

iptables -F роутер стал недоступен, пришлось перезагружать

ну это потому что у вас 

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

 

 

а попробуйте 

раз у вас в цепочке INPUT в конце 

# ############## FULL REJECT ############################
-A INPUT                             -p tcp -m tcp                    -j REJECT --reject-with tcp-reset
-A INPUT                                                     -j REJECT

поставить 

*filter
:INPUT ACCEPT [0:0]

[7sergeynazarov7]

1 minute ago, guеst said:

ну это потому что у вас 

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

 

Как без потери связи с ним, находится далеко просто. Аккуратно выключить правила, чтоб посмотреть из-за них или нет ?

 

5 minutes ago, guеst said:

ну это потому что у вас 

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

 

 

а попробуйте 

раз у вас в цепочке INPUT в конце 

# ############## FULL REJECT ############################
-A INPUT                             -p tcp -m tcp                    -j REJECT --reject-with tcp-reset
-A INPUT                                                     -j REJECT

поставить 

*filter
:INPUT ACCEPT [0:0]

Сделал

*filter
:INPUT ACCEPT [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# ------ loopback
На тестовом пк по прежнему не работает.

[guеst]

поставить 

*filter
:INPUT ACCEPT [0:0]

и перестартануть iptables

в Debian 7 , возможно, /etc/init.d/iptables-persistent start / stop

но я не уверен, нету 7 под рукой...

если нету такой комманды, то кто-то может руками скрипт загрузочный заделал, а может в rc.local засунул

...а может и еще как. Надо искать/вспоминать

[7sergeynazarov7]

6 minutes ago, 7sergeynazarov7 said:

Как без потери связи с ним, находится далеко просто. Аккуратно выключить правила, чтоб посмотреть из-за них или нет ?

 

Сделал

*filter
:INPUT ACCEPT [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
# ------ loopback
На тестовом пк по прежнему не работает.

Это не полный вывод, дописал строчку к тому что было.

 

2 minutes ago, guеst said:

поставить 

*filter
:INPUT ACCEPT [0:0]

и перестартануть iptables

в Debian 7 , возможно, /etc/init.d/iptables-persistent start / stop

но я не уверен, нету 7 под рукой...

если нету такой комманды, то кто-то может руками скрипт загрузочный заделал, а может в rc.local засунул

...а может и еще как. Надо искать/вспоминать

iptables-restore /etc/iptables-filter.conf 
так подойдет ?

[guеst]

8 минут назад, 7sergeynazarov7 сказал:

Это не полный вывод, дописал строчку к тому что было.

ну вот теперь, теоритически когда вы сбросите  правила iptables, то он не обрубит и вам доступ на него.

Но надо найти где у вас и чем загружаются правила в iptables

 /etc/init.d/iptables-persistent

или

руками скрипт загрузочный кто заделал, а может в rc.local засунул.....

 

9 минут назад, 7sergeynazarov7 сказал:

iptables-restore /etc/iptables-filter.conf 
так подойдет ?

да, так тоже пойдёт конечно

Изменено 9 июня, 2018 пользователем guеst

[7sergeynazarov7]

3 minutes ago, guеst said:

ну вот теперь, теоритически когда вы сбросите  правила iptables, то он не обрубит и вам доступ на него.

Но надо найти где у вас и чем загружаются правила в iptables

 /etc/init.d/iptables-persisten

или

руками скрипт загрузочный кто заделал, а может в rc.local засунул.....

root@rnat1:/home/user# cat /etc/rc.local 
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sysctl -p

modprobe ip_gre
modprobe ip_nat_pptp

/etc/rc.chroot-fs-mount
/etc/rc.chroot-bind9-start

exit 0
Куда то засунули хорошо. 

 

1 minute ago, 7sergeynazarov7 said:

root@rnat1:/home/user# cat /etc/rc.local 
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sysctl -p

modprobe ip_gre
modprobe ip_nat_pptp

/etc/rc.chroot-fs-mount
/etc/rc.chroot-bind9-start

exit 0
Куда то засунули хорошо. 

root@rnat1:/home/user# locate iptables 
/data0/chroot_1/sbin/iptables
/data0/chroot_1/sbin/iptables-restore
/data0/chroot_1/sbin/iptables-save
/data0/chroot_1/usr/bin/iptables-xml
/data0/chroot_1/usr/sbin/iptables-apply
/data0/chroot_1/usr/share/iptables
/data0/chroot_1/usr/share/doc/iptables
/data0/chroot_1/usr/share/doc/iptables/INCOMPATIBILITIES
/data0/chroot_1/usr/share/doc/iptables/README.Debian
/data0/chroot_1/usr/share/doc/iptables/changelog.Debian.gz
/data0/chroot_1/usr/share/doc/iptables/changelog.gz
/data0/chroot_1/usr/share/doc/iptables/copyright
/data0/chroot_1/usr/share/iptables/iptables.xslt
/data0/chroot_1/usr/share/lintian/overrides/iptables
/data0/chroot_1/usr/share/man/man8/iptables-apply.8.gz
/data0/chroot_1/usr/share/man/man8/iptables-restore.8.gz
/data0/chroot_1/usr/share/man/man8/iptables-save.8.gz
/data0/chroot_1/usr/share/man/man8/iptables-xml.8.gz
/data0/chroot_1/usr/share/man/man8/iptables.8.gz
/data0/chroot_1/usr/share/mime/text/x-iptables.xml
/data0/chroot_1/var/cache/apt/archives/iptables_1.4.14-3.1_amd64.deb
/data0/chroot_1/var/lib/dpkg/info/iptables.list
/data0/chroot_1/var/lib/dpkg/info/iptables.md5sums
/data0/chroot_1/var/lib/dpkg/info/iptables.postinst
/data0/chroot_1/var/lib/dpkg/info/iptables.postrm
/data0/chroot_1/var/lib/dpkg/info/iptables.shlibs
/etc/iptables-filter.conf
/etc/iptables-mangle.conf
/etc/iptables-nat.conf
/home/rimidal/DNS/iptables-filter.conf
/home/rimidal/DNS/iptables-mangle.conf
/home/rimidal/DNS/iptables-nat.conf
/sbin/iptables
/sbin/iptables-restore
/sbin/iptables-save
/usr/bin/iptables-xml
/usr/sbin/iptables-apply
/usr/share/iptables
/usr/share/bash-completion/completions/iptables
/usr/share/doc/iptables
/usr/share/doc/iptables/INCOMPATIBILITIES
/usr/share/doc/iptables/README.Debian
/usr/share/doc/iptables/changelog.Debian.gz
/usr/share/doc/iptables/changelog.gz
/usr/share/doc/iptables/copyright
/usr/share/iptables/iptables.xslt
/usr/share/lintian/overrides/iptables
/usr/share/man/man8/iptables-apply.8.gz
/usr/share/man/man8/iptables-restore.8.gz
/usr/share/man/man8/iptables-save.8.gz
/usr/share/man/man8/iptables-xml.8.gz
/usr/share/man/man8/iptables.8.gz
/usr/share/mime/text/x-iptables.xml
/var/lib/dpkg/info/iptables.list
/var/lib/dpkg/info/iptables.md5sums
/var/lib/dpkg/info/iptables.postinst
/var/lib/dpkg/info/iptables.postrm
/var/lib/dpkg/info/iptables.shlibs
 

[guеst]

service --status-all

 

5 минут назад, 7sergeynazarov7 сказал:

/etc/iptables-mangle.conf

а тут у вас ничего никуда не перенаправляется на обработку?

[7sergeynazarov7]

1 minute ago, guеst said:

service --status-all

 

а тут у вас ничего никуда не перенаправляется на обработку?

root@rnat1:/sbin# cat /etc/iptables-mangle.conf
*mangle
:PREROUTING ACCEPT [0:0]

# ----- ANTI-HACK -----
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j LOG
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j LOG
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j DROP
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j DROP
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j DROP
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j DROP

# 
#-A PREROUTING    -p tcp ! -s 10.0.101.100 --dport 80    -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan4    -j TEE --gateway 172.16.34.1

-A PREROUTING    -p udp -m udp --dport 53        -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p udp -m udp --dport 53        -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING    -p tcp --dport 80            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 80            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING                        -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING                        -i vlan4    -j TEE --gateway 172.16.34.1

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
 

 

Just now, 7sergeynazarov7 said:

root@rnat1:/sbin# cat /etc/iptables-mangle.conf
*mangle
:PREROUTING ACCEPT [0:0]

# ----- ANTI-HACK -----
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j LOG
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j LOG
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j DROP
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j DROP
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j DROP
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j DROP

# 
#-A PREROUTING    -p tcp ! -s 10.0.101.100 --dport 80    -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan4    -j TEE --gateway 172.16.34.1

-A PREROUTING    -p udp -m udp --dport 53        -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p udp -m udp --dport 53        -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING    -p tcp --dport 80            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 80            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING                        -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING                        -i vlan4    -j TEE --gateway 172.16.34.1

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
 

root@rnat1:/sbin# service --status-all
 [ + ]  acpid
 [ + ]  atd
 [ + ]  bacula-fd
 [ - ]  bootlogs
 [ ? ]  bootmisc.sh
 [ ? ]  checkfs.sh
 [ ? ]  checkroot-bootclean.sh
 [ - ]  checkroot.sh
 [ - ]  console-setup
 [ + ]  cron
 [ + ]  dbus
 [ - ]  exim4
 [ ? ]  fprobe-ulog
 [ - ]  hostname.sh
 [ ? ]  hwclock.sh
 [ - ]  kbd
 [ - ]  keyboard-setup
 [ ? ]  killprocs
 [ ? ]  kmod
 [ + ]  mdadm
 [ + ]  mdadm-raid
 [ ? ]  mdadm-waitidle
 [ - ]  motd
 [ ? ]  mountall-bootclean.sh
 [ ? ]  mountall.sh
 [ ? ]  mountdevsubfs.sh
 [ ? ]  mountkernfs.sh
 [ ? ]  mountnfs-bootclean.sh
 [ ? ]  mountnfs.sh
 [ ? ]  mtab.sh
 [ ? ]  networking
 [ - ]  procps
 [ ? ]  quagga
 [ ? ]  rc.local
 [ + ]  resolvconf
 [ - ]  rmnologin
 [ - ]  rsync
 [ + ]  rsyslog
 [ - ]  schroot
 [ ? ]  sendsigs
 [ + ]  snmpd
 [ + ]  ssh
 [ + ]  udev
 [ ? ]  udev-mtab
 [ ? ]  umountfs
 [ ? ]  umountnfs.sh
 [ ? ]  umountroot
 [ - ]  urandom
 

[guеst]

ну в 

service --status-all

никаких сервисов аля iptables/netfilter  я не вижу

значит где-то скриптом всё же правила загружаются

 

ну что-то я уже иссяк на идеи

попробуйте заменить 

-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT

на 

-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -j ACCEPT

[7sergeynazarov7]

4 minutes ago, guеst said:

ну в 

service --status-all

никаких сервисов аля iptables/netfilter  я не вижу

значит где-то скриптом всё же правила загружаются

Обновление происходит iptables-restore /etc/iptables-filter.conf

Изменено 9 июня, 2018 пользователем 7sergeynazarov7

[guеst]

1 минуту назад, 7sergeynazarov7 сказал:

Обновление происходит iptables-restore /etc/iptables-filter.conf

 

вы еще забываете про цепочки mangle и nat

при загрузки значит и они где-то прописаны

 

у вас оно точно в eth1 приходит? не vlan интерфейс?

[7sergeynazarov7]

1 minute ago, guеst said:

вы еще забываете про цепочки mangle и nat

при загрузки значит и они где-то прописаны

root@rnat1:/sbin# cat /etc/iptables-mangle.conf 
*mangle
:PREROUTING ACCEPT [0:0]

# ----- ANTI-HACK -----
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j LOG
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j LOG
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j DROP
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j DROP
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j DROP
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j DROP

# 
#-A PREROUTING    -p tcp ! -s 10.0.101.100 --dport 80    -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan4    -j TEE --gateway 172.16.34.1

-A PREROUTING    -p udp -m udp --dport 53        -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p udp -m udp --dport 53        -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING    -p tcp --dport 80            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 80            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING                        -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING                        -i vlan4    -j TEE --gateway 172.16.34.1

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
root@rnat1:/sbin# cat /etc/iptables-nat.conf 
*nat
:PREROUTING ACCEPT [0:0]

# ssh for support UTM5
#-A PREROUTING    -s 77.72.80.1        -d 91.224.137.4        -p tcp    --dport 22    -j DNAT --to-destination 172.16.8.2:22
# -A PREROUTING    -s 91.224.137.5        -d 91.224.137.4        -p tcp    --dport 22    -j DNAT --to-destination 172.16.8.2:22

# ------------- Доступ к биллингу для ФСБ
#-A PREROUTING    -s 10.0.0.250        -d 172.16.26.2        -p tcp    --dport 443    -j DNAT --to-destination 172.16.16.2:443
-A PREROUTING    -s 10.0.0.250        -d 172.16.26.2        -p tcp    --dport 11758    -j DNAT --to-destination 172.16.16.2:11758

:POSTROUTING ACCEPT [0:0]
-A POSTROUTING    -s 10.0.0.0/8                    -o vlan12    -j SNAT --to-source 91.224.136.6
-A POSTROUTING    -s 172.16.1.0/21            -o vlan12    -j SNAT --to-source 91.224.136.6
-A POSTROUTING    -s 172.16.16.0/21    -d 10.0.0.0/8                -j RETURN
-A POSTROUTING    -s 172.16.16.0/21    -d 172.16.0.0/12            -j RETURN
-A POSTROUTING    -s 172.16.16.0/21    -d 192.168.0.0/16            -j RETURN
-A POSTROUTING    -s 172.16.16.0/21                -o vlan12    -j SNAT --to-source 91.224.136.6
-A POSTROUTING    -s 172.31.0.0/21    -d 10.0.0.0/8                -j RETURN
-A POSTROUTING    -s 172.31.0.0/21    -d 172.16.0.0/12            -j RETURN
-A POSTROUTING    -s 172.31.0.0/21    -d 192.168.0.0/16            -j RETURN
-A POSTROUTING    -s 172.31.0.0/21                -o vlan12    -j SNAT --to-source 91.224.136.6

:OUTPUT ACCEPT [0:0]
COMMIT
 

 

Just now, 7sergeynazarov7 said:

root@rnat1:/sbin# cat /etc/iptables-mangle.conf 
*mangle
:PREROUTING ACCEPT [0:0]

# ----- ANTI-HACK -----
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j LOG
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j LOG
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j LOG
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG    -j DROP
-A PREROUTING    -p tcp     --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE     -j DROP
-A PREROUTING    -p tcp    --tcp-flags SYN,RST SYN,RST            -j DROP
-A PREROUTING    -p tcp    --tcp-flags FIN,SYN FIN,SYN            -j DROP

# 
#-A PREROUTING    -p tcp ! -s 10.0.101.100 --dport 80    -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p tcp                     -i vlan4    -j TEE --gateway 172.16.34.1

-A PREROUTING    -p udp -m udp --dport 53        -i vlan3    -j TEE --gateway 172.16.34.1
-A PREROUTING    -p udp -m udp --dport 53        -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING    -p tcp --dport 80            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 80            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 443            -i vlan4    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING    -p tcp --dport 8001            -i vlan4    -j TEE --gateway 172.16.34.1

#-A PREROUTING                        -i vlan3    -j TEE --gateway 172.16.34.1
#-A PREROUTING                        -i vlan4    -j TEE --gateway 172.16.34.1

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
root@rnat1:/sbin# cat /etc/iptables-nat.conf 
*nat
:PREROUTING ACCEPT [0:0]

# ssh for support UTM5
#-A PREROUTING    -s 77.72.80.1        -d 91.224.137.4        -p tcp    --dport 22    -j DNAT --to-destination 172.16.8.2:22
# -A PREROUTING    -s 91.224.137.5        -d 91.224.137.4        -p tcp    --dport 22    -j DNAT --to-destination 172.16.8.2:22

# ------------- Доступ к биллингу для ФСБ
#-A PREROUTING    -s 10.0.0.250        -d 172.16.26.2        -p tcp    --dport 443    -j DNAT --to-destination 172.16.16.2:443
-A PREROUTING    -s 10.0.0.250        -d 172.16.26.2        -p tcp    --dport 11758    -j DNAT --to-destination 172.16.16.2:11758

:POSTROUTING ACCEPT [0:0]
-A POSTROUTING    -s 10.0.0.0/8                    -o vlan12    -j SNAT --to-source 91.224.136.6
-A POSTROUTING    -s 172.16.1.0/21            -o vlan12    -j SNAT --to-source 91.224.136.6
-A POSTROUTING    -s 172.16.16.0/21    -d 10.0.0.0/8                -j RETURN
-A POSTROUTING    -s 172.16.16.0/21    -d 172.16.0.0/12            -j RETURN
-A POSTROUTING    -s 172.16.16.0/21    -d 192.168.0.0/16            -j RETURN
-A POSTROUTING    -s 172.16.16.0/21                -o vlan12    -j SNAT --to-source 91.224.136.6
-A POSTROUTING    -s 172.31.0.0/21    -d 10.0.0.0/8                -j RETURN
-A POSTROUTING    -s 172.31.0.0/21    -d 172.16.0.0/12            -j RETURN
-A POSTROUTING    -s 172.31.0.0/21    -d 192.168.0.0/16            -j RETURN
-A POSTROUTING    -s 172.31.0.0/21                -o vlan12    -j SNAT --to-source 91.224.136.6

:OUTPUT ACCEPT [0:0]
COMMIT
 

По тому же принципу и их можно обновлять.

[7sergeynazarov7]

21 minutes ago, guеst said:

вы еще забываете про цепочки mangle и nat

при загрузки значит и они где-то прописаны

 

у вас оно точно в eth1 приходит? не vlan интерфейс?

vlan6 сидит на eth1

iptables -F снова, закрыло доступ помогла отсроченная перезагрузка.

 

root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110
tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
2 packets received by filter
0 packets dropped by kernel
На этом пусто.
 

[guеst]

3 минуты назад, 7sergeynazarov7 сказал:

vlan6

Ха!

дак а мы с вами прописывали то 

-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT

зачем? вы сами то ориентируйтесь о чём речь и прописывайте правильно

а там для vlan 6 то уже есть правило :)

 

но оно тоже с нулевыми счетчиками

что-то савсем не так где-то

[7sergeynazarov7]

Just now, guеst said:

Ха!

дак а мы с вами прописывали то 

-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT

зачем? вы сами то ориентируйтесь о чём речь и прописывайте правильно

а там для vlan 6 то уже есть правило :)

тогда как заставить идти на vlan 6

root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110
tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
2 packets received by filter
0 packets dropped by kernel

Убрал правила, все равно не попадает.

 

Just now, 7sergeynazarov7 said:

тогда как заставить идти на vlan 6

root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110
tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
2 packets received by filter
0 packets dropped by kernel

Убрал правила, все равно не попадает.

Уже 3 сутки воюю, ни как победить не получится, поэтому прощу помощи в разрешение этого вопроса.

[VolanD666]

Вам ИМХО проще доступ дать

[7sergeynazarov7]

3 minutes ago, VolanD666 said:

Вам ИМХО проще доступ дать

Vlan6 вообще не принимает запросы ни от кого по TCP dump, но на vlan6 сидит ip dns-а 172.16.24.1, eth1 нет ip, все запросы с обращением слушает eth1

 

18 minutes ago, guеst said:

Ха!

дак а мы с вами прописывали то 

-A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT

зачем? вы сами то ориентируйтесь о чём речь и прописывайте правильно

а там для vlan 6 то уже есть правило :)

 

но оно тоже с нулевыми счетчиками

что-то савсем не так где-то

Какие еще варианты, подскажите пожалуйста ?

Изменено 9 июня, 2018 пользователем 7sergeynazarov7

[Chrst]

50 минут назад, 7sergeynazarov7 сказал:

Какие еще варианты, подскажите пожалуйста ?

Взять на работу администратора. Это будет быстрее, эффективнее и грамотнее.

 

Ваше уравнение не имеет решения, так как в этой задаче больше неизвестных, чем условий.

[guеst]

В 09.06.2018 в 16:13, 7sergeynazarov7 сказал:

Vlan6 вообще не принимает запросы ни от кого по TCP dump, но на vlan6 сидит ip dns-а 172.16.24.1, eth1 нет ip, все запросы с обращением слушает eth1

 

Какие еще варианты, подскажите пожалуйста ?

 

а vlan6 интерфейс у вас получается принимает тэгированные пакеты?

а в каком месте на него теги навешиваются?

не может у вас в тестовой схеме просто то что приходит со стороны 10.10.0.110 не маркируется VLAN ID 6 ?