7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 8 minutes ago, guеst said: ну тут чётко видно, что запросы от 10.10.0.110 к 172.16.42.1 на порт 53 идут, а вот ответа обратно ни одного только ответы на icmp udp port 53 unreachable зафильтрован у вас 53 порт смотрите iptables -L -n | grep 53 root@rnat1:/# iptables -L -n | grep 53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба :) значит не здесь, где-то раньше. например тут: 10.10.0.109 я из сети тоже не вижу у вас открытого 53 порта: Nmap scan report for a1366.adygtelecom.com (91.224.136.6) Host is up (0.042s latency). Not shown: 992 closed ports PORT STATE SERVICE VERSION 21/tcp open tcpwrapped 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 631/tcp filtered ipp 1720/tcp open tcpwrapped 2000/tcp open tcpwrapped 5060/tcp open tcpwrapped 5080/tcp open tcpwrapped точно где-то фильтруется, надо искать где Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 2 minutes ago, guеst said: :) значит не здесь, где-то раньше. например тут: 10.10.0.109 Это шлюз на Cisco ASR1001x, какими правилами возможно разрешить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба а вы знаете, я всё таки зря так сказал, вы же tcpdump уже на самом ДНС смотрели, и уже там нет ответа Значит до промежуточных роутеров еще и не дошло. Это сам ДНС не отвечает, точней отвечает, что icmp udp port 53 unreachable надо на нём всё таки смотреть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 6 minutes ago, guеst said: :) значит не здесь, где-то раньше. например тут: 10.10.0.109 я из сети тоже не вижу у вас открытого 53 порта: Nmap scan report for a1366.adygtelecom.com (91.224.136.6) Host is up (0.042s latency). Not shown: 992 closed ports PORT STATE SERVICE VERSION 21/tcp open tcpwrapped 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 631/tcp filtered ipp 1720/tcp open tcpwrapped 2000/tcp open tcpwrapped 5060/tcp open tcpwrapped 5080/tcp open tcpwrapped точно где-то фильтруется, надо искать где фильтруется только на Cisco ASR-1001x 10.10.0.109 это абонентский шлюз тестового ПК и фильтруется на самом DNS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 (изменено) · Жалоба а покажите весь конфиг iptables если что криминальное замажте только вставляйте как "Код" в форму поста Изменено 9 июня, 2018 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба Just now, guеst said: а покажите весь конфиг iptables если что криминальное замажте root@rnat1:/etc# cat iptables-filter.conf *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] # ------ loopback -A INPUT -i lo -j ACCEPT # ------ SMB REJECT -A INPUT -p tcp -m tcp --sport 139 -j REJECT -A INPUT -p tcp -m tcp --dport 139 -j REJECT -A INPUT -p tcp -m tcp --sport 445 -j REJECT -A INPUT -p tcp -m tcp --dport 445 -j REJECT -A INPUT -p udp -m udp --sport 137:138 -j REJECT -A INPUT -p udp -m udp --dport 137:138 -j REJECT # ------ IPP REJECT -A INPUT -p tcp -m tcp --dport 631 -j REJECT -A INPUT -p udp -m udp --dport 631 -j REJECT -A INPUT -p tcp -m tcp --sport 631 -j REJECT -A INPUT -p udp -m udp --sport 631 -j REJECT # # ############### FLOW ################ #-A INPUT -j ULOG # ############### Пресечь попытки обхода firewall ##################### -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOG -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A INPUT -s 91.224.137.4 -j REJECT -A INPUT -s 172.16.8.12 -j REJECT -A INPUT -s 172.31.0.10 -j REJECT # -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # ############## ICMP ################# -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # ############## BGP OSPF ############# -A INPUT -s 172.31.0.0/21 -d 172.31.0.0/21 -p tcp -m tcp --dport 179 -i vlan3 -j ACCEPT -A INPUT -s 172.31.0.0/21 -d 172.31.0.0/21 -p ospf -i vlan3 -j ACCEPT -A INPUT -s 91.224.137.0/28 -d 91.224.137.0/28 -p ospf -i vlan12 -j ACCEPT -A INPUT -s 224.0.0.0/8 -j ACCEPT -A INPUT -d 224.0.0.0/8 -j ACCEPT # ############## SSH-SERVER ########### -A INPUT -s 172.16.8.0/21 -p tcp -m tcp --dport 22 -j ACCEPT # ############## DNS-SERVER ########### #-A INPUT -s 172.16.0.0/12 -p tcp -m tcp --dport 53 -j ACCEPT #-A INPUT -s 172.16.0.0/12 -p udp -m udp --dport 53 -j ACCEPT # .... dns-server для клиентов #-A INPUT -d 172.16.24.0/24 -p tcp -m tcp --dport 53 -j ACCEPT #-A INPUT -d 172.16.24.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan6 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan6 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 53 -i vlan12 -j ACCEPT #-A INPUT -p udp -m udp --dport 53 -i vlan12 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan4 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan4 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan3 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan3 -j ACCEPT # ############## SNMP-SERVER ######## -A INPUT -s 172.16.8.16/32 -p udp -m udp --dport 161 -j ACCEPT -A INPUT -s 172.16.8.8/32 -p udp -m udp --dport 161 -j ACCEPT # ############## BACULA ######### -A INPUT -s 172.16.8.16 -p tcp -m tcp --dport 9102 -i vlan2 -j ACCEPT -A INPUT -s 172.16.8.16 -p tcp -m tcp --sport 9103 -i vlan2 -j ACCEPT # ############## FULL REJECT ############################ -A INPUT -p tcp -m tcp -j REJECT --reject-with tcp-reset -A INPUT -j REJECT # # # ------ loopback -A OUTPUT -o lo -j ACCEPT # ------ FLOW ----- #-A OUTPUT -j ULOG # -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # ------ icmp -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT # -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT # ------ BACULA -A OUTPUT -d 172.16.8.16 -p tcp -m tcp --sport 9102 -o vlan2 -j ACCEPT -A OUTPUT -d 172.16.8.16 -p tcp -m tcp --dport 9103 -o vlan2 -j ACCEPT # ------ full-accept -A OUTPUT -j ACCEPT # # # ------ Пресечь попытки обхода firewall -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP # ------ SMB REJECT -A FORWARD -p tcp -m tcp --sport 139 -j REJECT -A FORWARD -p tcp -m tcp --dport 139 -j REJECT -A FORWARD -p tcp -m tcp --sport 445 -j REJECT -A FORWARD -p tcp -m tcp --dport 445 -j REJECT -A FORWARD -p udp -m udp --sport 137:138 -j REJECT -A FORWARD -p udp -m udp --dport 137:138 -j REJECT # ------ IPP REJECT -A FORWARD -p tcp -m tcp --dport 631 -j REJECT -A FORWARD -p udp -m udp --dport 631 -j REJECT -A FORWARD -p tcp -m tcp --sport 631 -j REJECT -A FORWARD -p udp -m udp --sport 631 -j REJECT # ----- FLOW # ... Учёт трафика серверов за NAT -A FORWARD -s 172.16.0.0/12 -j ULOG -A FORWARD -d 172.16.0.0/12 -j ULOG # ... Учёт наличия "плохих" сетей #-A FORWARD -s 192.168.0.0/16 -j ULOG #-A FORWARD -d 192.168.0.0/16 -j ULOG # # ############## ICMP ################# -A FORWARD -s 10.0.101.0/24 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A FORWARD -s 10.0.101.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT # ... Управление коммутаторами, маршрутизаторами и доступ к сервисам серверов из сети предприятия -A FORWARD -s 10.0.101.0/24 -d 172.16.0.0/12 -j ACCEPT -A FORWARD -d 10.0.101.0/24 -s 172.16.0.0/12 -j ACCEPT # -A FORWARD -s 10.0.0.0/8 -d 172.16.24.0/24 -j ACCEPT -A FORWARD -s 10.0.0.0/8 -d 172.16.25.0/24 -j ACCEPT -A FORWARD -s 10.0.0.0/8 -d 172.16.26.0/24 -j ACCEPT # FSB allows in billing sysem -A FORWARD -s 10.0.0.250 -d 172.16.16.2 -p tcp --dport 443 -j ACCEPT -A FORWARD -s 10.0.0.250 -d 172.16.16.2 -p tcp --dport 11758 -j ACCEPT # Блок доступа к сетям управления из сетей клиентов -A FORWARD -s 10.0.0.0/8 -d 172.16.0.0/12 -j REJECT # Блок доступа к другим приватным сетям -A FORWARD -s 10.0.0.0/8 -d 192.168.0.0/16 -j REJECT # Блок межабонентского доступа -A FORWARD -s 10.0.0.0/8 -d 10.0.0.0/8 -j REJECT # ------------ Блокирование dport 25 у заражённых -A FORWARD ! -d 172.16.16.7 ! -s 172.16.16.7 -p tcp -m tcp --dport 25 -j LOG --log-level 4 --log-prefix "CTRL 25 port: " -A FORWARD ! -s 172.16.16.7 ! -d 172.16.16.7 -p tcp -m tcp --sport 25 -j LOG --log-level 4 --log-prefix "CTRL 25 port: " -A FORWARD -s 10.0.19.46 -p tcp -m tcp --dport 25 -j REJECT -A FORWARD -d 10.0.19.46 -p tcp -m tcp --sport 25 -j REJECT -A FORWARD -s 10.0.16.162 -p tcp -m tcp --dport 25 -j REJECT -A FORWARD -d 10.0.16.162 -p tcp -m tcp --sport 25 -j REJECT # ------------ Forward GRE (PPPTP) -A FORWARD -s 10.0.0.0/8 -p gre -j ACCEPT -A FORWARD -d 10.0.0.0/8 -p gre -j ACCEPT # -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # ------------ Приватные сети -A FORWARD -s 10.0.0.0/8 -j ACCEPT -A FORWARD -d 10.0.0.0/8 -j ACCEPT # ------------ Реальные сети -A FORWARD -s 91.224.136.0/24 -j ACCEPT -A FORWARD -d 91.224.136.0/24 -j ACCEPT -A FORWARD -s 91.224.137.0/24 -j ACCEPT -A FORWARD -d 91.224.137.0/24 -j ACCEPT # ------------ Ядро за NAT -A FORWARD -s 172.16.16.0/21 -j ACCEPT -A FORWARD -d 172.16.16.0/21 -j ACCEPT # ------------ Ядро за NAT -A FORWARD -s 172.16.1.0/21 -j ACCEPT -A FORWARD -d 172.16.1.0/21 -j ACCEPT # ------------ Ядро за NAT -A FORWARD -s 172.31.0.0/21 -j ACCEPT -A FORWARD -d 172.31.0.0/21 -j ACCEPT # # OTHER FULL REJECT -A FORWARD -p tcp -j REJECT --reject-with tcp-reset -A FORWARD -j REJECT COMMIT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 (изменено) · Жалоба ох, ну если я правильно всё увидел то # .... dns-server для клиентов #-A INPUT -d 172.16.24.0/24 -p tcp -m tcp --dport 53 -j ACCEPT #-A INPUT -d 172.16.24.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan6 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan6 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 53 -i vlan12 -j ACCEPT #-A INPUT -p udp -m udp --dport 53 -i vlan12 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan4 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan4 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan3 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan3 -j ACCEPT вот здесь у вас явно не разрешено, что с 10.10.0.110 с интерфейса -i eth1 можно обращаться к --dport 53 и т.к. по умолчанию у вас :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] то соответственно блочатся запросы. Ну во всяком случае мне так кажется по этому конфигу... при этом # ############## ICMP ################# -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT на пинги он отвечает всему и всем... Изменено 9 июня, 2018 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 3 minutes ago, guеst said: ох, ну если я правильно всё увидел то # .... dns-server для клиентов #-A INPUT -d 172.16.24.0/24 -p tcp -m tcp --dport 53 -j ACCEPT #-A INPUT -d 172.16.24.0/24 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan6 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan6 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 53 -i vlan12 -j ACCEPT #-A INPUT -p udp -m udp --dport 53 -i vlan12 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan4 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan4 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i vlan3 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -i vlan3 -j ACCEPT вот здесь у вас явно не разрешено, что с 10.10.0.110 с интерфейса -i eth1 можно обращаться к --dport 53 и т.к. по умолчанию у вас :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] то соответственно блочатся запросы. при это # ############## ICMP ################# -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT на пинги он отвечает всему и всем... Подскажите пожалуйста, как тогда правильно внести, ведь вроде эти строчки закоментированны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба ну если мы сейчас говорим конкретно про доступ 10.10.0.110 через интерфейс eth1 до 53 порта то наверно добавить в секцию # .... dns-server для клиентов -A INPUT -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT или -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 3 minutes ago, guеst said: ну если мы сейчас говорим конкретно про доступ 10.10.0.110 через интерфейс eth1 до 53 порта то наверно добавить в секцию # .... dns-server для клиентов -A INPUT -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT или -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A INPUT -s 10.10.0.110/32 -p tcp -m tcp --dport 53 -i eth1 -j ACCEPT Добавил сделал iptables-restore /etc/iptables-filter.conf root@rnat1:/# iptables -L -n | grep 53 ACCEPT udp -- 10.10.0.110 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 10.10.0.110 0.0.0.0/0 tcp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 root@rnat1:/# tcpdump -n -v -i eth1 host 10.10.0.110 tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 06:49:18.581352 IP (tos 0x0, ttl 127, id 12301, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:18.581397 IP (tos 0xc0, ttl 64, id 3706, offset 0, flags [none], proto ICMP (1), length 106) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86 IP (tos 0x0, ttl 127, id 12301, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:19.582250 IP (tos 0x0, ttl 127, id 12302, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:19.582295 IP (tos 0xc0, ttl 64, id 3768, offset 0, flags [none], proto ICMP (1), length 106) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86 IP (tos 0x0, ttl 127, id 12302, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:20.582796 IP (tos 0x0, ttl 127, id 12303, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:20.582839 IP (tos 0xc0, ttl 64, id 3887, offset 0, flags [none], proto ICMP (1), length 106) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86 IP (tos 0x0, ttl 127, id 12303, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:22.584021 IP (tos 0x0, ttl 127, id 12304, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:22.584067 IP (tos 0xc0, ttl 64, id 4105, offset 0, flags [none], proto ICMP (1), length 106) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86 IP (tos 0x0, ttl 127, id 12304, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:24.857898 IP (tos 0x0, ttl 127, id 12305, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:24.857948 IP (tos 0xc0, ttl 64, id 4287, offset 0, flags [none], proto ICMP (1), length 88) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68 IP (tos 0x0, ttl 127, id 12305, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:25.858206 IP (tos 0x0, ttl 127, id 12306, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:25.858253 IP (tos 0xc0, ttl 64, id 4448, offset 0, flags [none], proto ICMP (1), length 88) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68 IP (tos 0x0, ttl 127, id 12306, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:26.584882 IP (tos 0x0, ttl 127, id 12307, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:26.584930 IP (tos 0xc0, ttl 64, id 4574, offset 0, flags [none], proto ICMP (1), length 106) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 86 IP (tos 0x0, ttl 127, id 12307, offset 0, flags [none], proto UDP (17), length 78) 10.10.0.110.62499 > 172.16.24.1.53: 37053+ A? ff.kis.v2.scr.kaspersky-labs.com. (50) 06:49:26.614517 IP (tos 0x0, ttl 127, id 12309, offset 0, flags [none], proto UDP (17), length 55) 10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27) 06:49:26.614558 IP (tos 0xc0, ttl 64, id 4578, offset 0, flags [none], proto ICMP (1), length 83) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 63 IP (tos 0x0, ttl 127, id 12309, offset 0, flags [none], proto UDP (17), length 55) 10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27) 06:49:26.614562 IP (tos 0x0, ttl 127, id 12308, offset 0, flags [none], proto UDP (17), length 53) 10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25) 06:49:26.614591 IP (tos 0xc0, ttl 64, id 4579, offset 0, flags [none], proto ICMP (1), length 81) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 61 IP (tos 0x0, ttl 127, id 12308, offset 0, flags [none], proto UDP (17), length 53) 10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25) 06:49:26.614595 IP (tos 0x0, ttl 127, id 12310, offset 0, flags [none], proto UDP (17), length 59) 10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31) 06:49:26.614625 IP (tos 0xc0, ttl 64, id 4580, offset 0, flags [none], proto ICMP (1), length 87) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 67 IP (tos 0x0, ttl 127, id 12310, offset 0, flags [none], proto UDP (17), length 59) 10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31) 06:49:26.858644 IP (tos 0x0, ttl 127, id 12311, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:26.858687 IP (tos 0xc0, ttl 64, id 4593, offset 0, flags [none], proto ICMP (1), length 88) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68 IP (tos 0x0, ttl 127, id 12311, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:27.009039 IP (tos 0x0, ttl 127, id 12312, offset 0, flags [none], proto UDP (17), length 64) 10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36) 06:49:27.009085 IP (tos 0xc0, ttl 64, id 4622, offset 0, flags [none], proto ICMP (1), length 92) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 72 IP (tos 0x0, ttl 127, id 12312, offset 0, flags [none], proto UDP (17), length 64) 10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36) 06:49:27.614343 IP (tos 0x0, ttl 127, id 12313, offset 0, flags [none], proto UDP (17), length 59) 10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31) 06:49:27.614382 IP (tos 0x0, ttl 127, id 12314, offset 0, flags [none], proto UDP (17), length 55) 10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27) 06:49:27.614524 IP (tos 0x0, ttl 127, id 12315, offset 0, flags [none], proto UDP (17), length 53) 10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25) 06:49:27.699023 IP (tos 0x0, ttl 127, id 12316, offset 0, flags [none], proto UDP (17), length 72) 10.10.0.110.52412 > 172.16.24.1.53: 11679+ A? tiles.services.mozilla.com. (44) 06:49:28.009434 IP (tos 0x0, ttl 127, id 12317, offset 0, flags [none], proto UDP (17), length 64) 10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36) 06:49:28.009477 IP (tos 0xc0, ttl 64, id 4675, offset 0, flags [none], proto ICMP (1), length 92) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 72 IP (tos 0x0, ttl 127, id 12317, offset 0, flags [none], proto UDP (17), length 64) 10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36) 06:49:28.618409 IP (tos 0x0, ttl 127, id 12318, offset 0, flags [none], proto UDP (17), length 59) 10.10.0.110.62962 > 172.16.24.1.53: 29198+ A? www.google.ru. (31) 06:49:28.618453 IP (tos 0x0, ttl 127, id 12319, offset 0, flags [none], proto UDP (17), length 53) 10.10.0.110.58229 > 172.16.24.1.53: 53664+ A? mail.ru. (25) 06:49:28.618507 IP (tos 0x0, ttl 127, id 12320, offset 0, flags [none], proto UDP (17), length 55) 10.10.0.110.62479 > 172.16.24.1.53: 17978+ A? yandex.ru. (27) 06:49:28.698521 IP (tos 0x0, ttl 127, id 12321, offset 0, flags [none], proto UDP (17), length 72) 10.10.0.110.52412 > 172.16.24.1.53: 11679+ A? tiles.services.mozilla.com. (44) 06:49:28.859456 IP (tos 0x0, ttl 127, id 12322, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:28.859497 IP (tos 0xc0, ttl 64, id 4676, offset 0, flags [none], proto ICMP (1), length 88) 172.16.24.1 > 10.10.0.110: ICMP 172.16.24.1 udp port 53 unreachable, length 68 IP (tos 0x0, ttl 127, id 12322, offset 0, flags [none], proto UDP (17), length 60) 10.10.0.110.58693 > 172.16.24.1.53: 15519+ A? www.rambler.ru. (32) 06:49:29.011305 IP (tos 0x0, ttl 127, id 12323, offset 0, flags [none], proto UDP (17), length 64) 10.10.0.110.51946 > 172.16.24.1.53: 18701+ A? suggest.yandex.net. (36) 06:49:29.698586 IP (tos 0x0, ttl 127, id 12324, offset 0, flags [none], proto UDP (17), length 72) 10.10.0.110.52412 > 172.16.24.1.53: 11679+ A? tiles.services.mozilla.com. (44) ^C 38 packets captured 123 packets received by filter 17 packets dropped by kernel Не помогло, подскажите пожалуйста еще варианты... А то уже бьюсь 3 день Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба Сервис то запущен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 (изменено) · Жалоба кстати да %) Изменено 9 июня, 2018 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба Если потушить iptables, все начинает работать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба а вот так еще покажите iptables -L -n -v Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 июня, 2018 · Жалоба Только что, guеst сказал: а вот так еще покажите iptables -L -n -v Может сначала локализовать проблему? Понять что дело точно/не точно в iptables ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 1 minute ago, guеst said: а вот так еще покажите iptables -L -n -v root@rnat1:/# iptables -L -n -v Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:139 reject-with icmp-port-unreachable 4 160 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:445 reject-with icmp-port-unreachable 13 596 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 reject-with icmp-port-unreachable 21 4786 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:138 reject-with icmp-port-unreachable 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 reject-with icmp-port-unreachable 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:631 reject-with icmp-port-unreachable 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:631 reject-with icmp-port-unreachable 0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x03/0x03 LOG flags 0 level 4 0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x06 LOG flags 0 level 4 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x03/0x03 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x06 0 0 REJECT all -- * * 91.224.137.4 0.0.0.0/0 reject-with icmp-port-unreachable 0 0 REJECT all -- * * 172.16.8.12 0.0.0.0/0 reject-with icmp-port-unreachable 0 0 REJECT all -- * * 172.31.0.10 0.0.0.0/0 reject-with icmp-port-unreachable 68109 14M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0 319 19122 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ACCEPT tcp -- vlan3 * 172.31.0.0/21 172.31.0.0/21 tcp dpt:179 0 0 ACCEPT 89 -- vlan3 * 172.31.0.0/21 172.31.0.0/21 0 0 ACCEPT 89 -- vlan12 * 91.224.137.0/28 91.224.137.0/28 0 0 ACCEPT all -- * * 224.0.0.0/8 0.0.0.0/0 700 112K ACCEPT all -- * * 0.0.0.0/0 224.0.0.0/8 0 0 ACCEPT tcp -- * * 172.16.8.0/21 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT udp -- eth1 * 10.10.0.110 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- eth1 * 10.10.0.110 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT tcp -- vlan6 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT udp -- vlan6 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- vlan4 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT udp -- vlan4 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 769 44084 ACCEPT tcp -- vlan3 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 89552 5828K ACCEPT udp -- vlan3 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 50 4000 ACCEPT udp -- * * 172.16.8.16 0.0.0.0/0 udp dpt:161 0 0 ACCEPT udp -- * * 172.16.8.8 0.0.0.0/0 udp dpt:161 0 0 ACCEPT tcp -- vlan2 * 172.16.8.16 0.0.0.0/0 tcp dpt:9102 0 0 ACCEPT tcp -- vlan2 * 172.16.8.16 0.0.0.0/0 tcp spt:9103 154K 8873K REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp reject-with tcp-reset 85109 7062K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x03/0x03 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x06 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:139 reject-with icmp-port-unreachable 2 80 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:445 reject-with icmp-port-unreachable 154 7612 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 reject-with icmp-port-unreachable 6 468 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:138 reject-with icmp-port-unreachable 11 858 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 reject-with icmp-port-unreachable 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:631 reject-with icmp-port-unreachable 0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:631 reject-with icmp-port-unreachable 2364 217K ULOG all -- * * 172.16.0.0/12 0.0.0.0/0 ULOG copy_range 0 nlgroup 1 queue_threshold 1 6439 1001K ULOG all -- * * 0.0.0.0/0 172.16.0.0/12 ULOG copy_range 0 nlgroup 1 queue_threshold 1 0 0 ACCEPT icmp -- * * 10.0.101.0/24 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp -- * * 10.0.101.0/24 0.0.0.0/0 icmptype 8 0 0 ACCEPT all -- * * 10.0.101.0/24 172.16.0.0/12 0 0 ACCEPT all -- * * 172.16.0.0/12 10.0.101.0/24 100 6140 ACCEPT all -- * * 10.0.0.0/8 172.16.24.0/24 0 0 ACCEPT all -- * * 10.0.0.0/8 172.16.25.0/24 0 0 ACCEPT all -- * * 10.0.0.0/8 172.16.26.0/24 0 0 ACCEPT tcp -- * * 10.0.0.250 172.16.16.2 tcp dpt:443 0 0 ACCEPT tcp -- * * 10.0.0.250 172.16.16.2 tcp dpt:11758 1041 119K REJECT all -- * * 10.0.0.0/8 172.16.0.0/12 reject-with icmp-port-unreachable 0 0 REJECT all -- * * 10.0.0.0/8 192.168.0.0/16 reject-with icmp-port-unreachable 235 20644 REJECT all -- * * 10.0.0.0/8 10.0.0.0/8 reject-with icmp-port-unreachable 37 4084 LOG tcp -- * * !172.16.16.7 !172.16.16.7 tcp dpt:25 LOG flags 0 level 4 prefix "CTRL 25 port: " 41 2526 LOG tcp -- * * !172.16.16.7 !172.16.16.7 tcp spt:25 LOG flags 0 level 4 prefix "CTRL 25 port: " 0 0 REJECT tcp -- * * 10.0.19.46 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 10.0.19.46 tcp spt:25 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 10.0.16.162 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 10.0.16.162 tcp spt:25 reject-with icmp-port-unreachable 0 0 ACCEPT 47 -- * * 10.0.0.0/8 0.0.0.0/0 0 0 ACCEPT 47 -- * * 0.0.0.0/0 10.0.0.0/8 31M 31G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 1235K 82M ACCEPT all -- * * 10.0.0.0/8 0.0.0.0/0 4524 575K ACCEPT all -- * * 0.0.0.0/0 10.0.0.0/8 2270K 423M ACCEPT all -- * * 91.224.136.0/24 0.0.0.0/0 448K 563M ACCEPT all -- * * 0.0.0.0/0 91.224.136.0/24 0 0 ACCEPT all -- * * 91.224.137.0/24 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 91.224.137.0/24 845 64009 ACCEPT all -- * * 172.16.16.0/21 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 172.16.16.0/21 10 1110 ACCEPT all -- * * 172.16.0.0/21 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 172.16.0.0/21 102 7782 ACCEPT all -- * * 172.31.0.0/21 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 172.31.0.0/21 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 287K 67M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 1844K 111M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 7320K 1373M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * vlan2 0.0.0.0/0 172.16.8.16 tcp spt:9102 0 0 ACCEPT tcp -- * vlan2 0.0.0.0/0 172.16.8.16 tcp dpt:9103 1182K 102M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба счетчики 0 0 ACCEPT udp -- eth1 * 10.10.0.110 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- eth1 * 10.10.0.110 0.0.0.0/0 tcp dpt:53 нулевые, в них не попало. 5 минут назад, VolanD666 сказал: Может сначала локализовать проблему? Понять что дело точно/не точно в iptables ? ну остаётся только так Я просто думал у него это боевой сервак, на котором iptables если останавливать, то сервисы клиентам могут перестать предоставляться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 2 minutes ago, guеst said: счетчики 0 0 ACCEPT udp -- eth1 * 10.10.0.110 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- eth1 * 10.10.0.110 0.0.0.0/0 tcp dpt:53 нулевые, в них не попало. ну остаётся только так Я просто думал у него это боевой сервак, на котором iptables если останавливать, то сервисы клиентам могут перестать предоставляться... Это боевой, сейчас попробую так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба кстати вы показали ж только таблицу *filter а в *nat нет ничего, в PRE/POST ROUTING ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 (изменено) · Жалоба 5 minutes ago, guеst said: кстати вы показали ж только таблицу *filter а в *nat нет ничего, в PRE/POST ROUTING ? root@rnat1:/etc# cat iptables-nat.conf *nat :PREROUTING ACCEPT [0:0] # ssh for support UTM5 #-A PREROUTING -s 77.72.80.1 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # -A PREROUTING -s 91.224.137.5 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # ------------- Доступ к биллингу для #-A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 443 -j DNAT --to-destination 172.16.16.2:443 -A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 11758 -j DNAT --to-destination 172.16.16.2:11758 :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.0.0/8 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.1.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.16.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.31.0.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 :OUTPUT ACCEPT [0:0] COMMIT Как правильно выключить в Debian ? Не нахожу команды, чтоб востановить сразу как проверю ? Изменено 9 июня, 2018 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба /etc/init.d/iptables stop /etc/init.d/iptables start наверно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба 1 minute ago, guеst said: /etc/init.d/iptables stop /etc/init.d/iptables start наверно? Не находит по этой команде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 9 июня, 2018 · Жалоба да что-то вроде ничего криминального... но покажите еще вывод команды ip a и netstat -lnp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 9 июня, 2018 · Жалоба Just now, guеst said: да что-то вроде ничего криминального... но покажите еще вывод команды ip a и netstat -lnp tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 30098/named tcp 0 0 127.0.0.1:2601 0.0.0.0:* LISTEN 2835/zebra tcp 0 0 127.0.0.1:2604 0.0.0.0:* LISTEN 2952/ospfd tcp 0 0 172.16.8.12:9102 0.0.0.0:* LISTEN 3054/bacula-fd tcp 0 0 91.224.136.6:53 0.0.0.0:* LISTEN 30098/named tcp 0 0 172.16.24.1:53 0.0.0.0:* LISTEN 30098/named tcp 0 0 172.16.8.12:53 0.0.0.0:* LISTEN 30098/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 30098/named tcp 0 0 172.16.8.12:22 0.0.0.0:* LISTEN 3094/sshd udp 0 0 91.224.136.6:53 0.0.0.0:* 30098/named udp 0 0 172.16.24.1:53 0.0.0.0:* 30098/named udp 0 0 172.16.8.12:53 0.0.0.0:* 30098/named udp 0 0 127.0.0.1:53 0.0.0.0:* 30098/named udp 0 0 0.0.0.0:50252 0.0.0.0:* 2584/rsyslogd udp 0 0 172.16.8.12:161 0.0.0.0:* 3048/snmpd udp 0 0 127.0.0.1:161 0.0.0.0:* 3048/snmpd raw 0 0 0.0.0.0:89 0.0.0.0:* 7 2952/ospfd raw6 0 0 :::58 :::* 7 2835/zebra Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 6424 2746/acpid /var/run/acpid.socket unix 2 [ ACC ] STREAM LISTENING 6479 3055/dbus-daemon /var/run/dbus/system_bus_socket unix 2 [ ACC ] STREAM LISTENING 5972 2952/ospfd /var/run/quagga/ospfd.vty unix 2 [ ACC ] SEQPACKET LISTENING 4755 398/udevd /run/udev/control unix 2 [ ACC ] STREAM LISTENING 8435 2835/zebra /var/run/quagga/zserv.api unix 2 [ ACC ] STREAM LISTENING 8439 2835/zebra /var/run/quagga/zebra.vty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...