- Проблемы с iptablels,
 stakado, 12:11 , 02-Фев-10 (1)>И почему-то при выводе команды iptables -L он долго думает и выводит
>как-то по частямДолго думает и выводит по частям из-за того, что пытается резолвить ИП-адреса в имена, а днс видимо не доступен. Проверить так ли это можно посмотрев iptables без резолвинга имен (iptables -L -n) или же проверить работоспособность самого dns'а. Насчёи же самого НАТа - покажи что у тя в таблице nat:
iptables -t nat -L -nv
- Проблемы с iptablels, fate29, 12:30 , 02-Фев-10 (2)
>[оверквотинг удален]
>>как-то по частям
>
>Долго думает и выводит по частям из-за того, что пытается резолвить ИП-адреса
>в имена, а днс видимо не доступен. Проверить так ли это
>можно посмотрев iptables без резолвинга имен (iptables -L -n) или же
>проверить работоспособность самого dns'а.
>
>Насчёи же самого НАТа - покажи что у тя в таблице nat:
>
>iptables -t nat -L -nv странно сейчас у меня керио раздает инет там прописаны те же dns что и на linux, все работает ок.
Вот вывод команды iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4890 to:192.168.1.1
0 0 DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:44333 to:192.168.1.1
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:44333 to:192.168.1.1
Chain POSTROUTING (policy ACCEPT 34 packets, 2166 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * * 192.168.1.1 0.0.0.0/0 to:ХХХ.ХХХ.ХХХ.ХХХ Chain OUTPUT (policy ACCEPT 34 packets, 2166 bytes)
pkts bytes target prot opt in out source destination
- Проблемы с iptablels, ALex_hha, 13:44 , 02-Фев-10 (3)
Странный какой то нат, а почему только один адрес 192.168.1.1?
- Проблемы с iptablels, fate29, 14:19 , 02-Фев-10 (4)
>Странный какой то нат, а почему только один адрес 192.168.1.1? потому что у меня с линукса провод идет в керио
т.е. линукс с iptables внешний firewall а керио внутренний
- Проблемы с iptablels, reader, 14:30 , 02-Фев-10 (5)
>>Странный какой то нат, а почему только один адрес 192.168.1.1?
>
>потому что у меня с линукса провод идет в керио
>т.е. линукс с iptables внешний firewall а керио внутренний а шлюзом на машине с керио кто указан
- Проблемы с iptablels, stakado, 14:49 , 02-Фев-10 (6)
>[оверквотинг удален]
> *
>192.168.1.1 0.0.0.0/0
> to:ХХХ.ХХХ.ХХХ.ХХХ
>
>
>Chain OUTPUT (policy ACCEPT 34 packets, 2166 bytes)
> pkts bytes target prot opt in
> out source
>
> destination И вправду какой-то странный нат. Что тут получается:
snat: пакет приходит от 192.168.1.1, в нем подменяется адрес источника на ххх.ххх.ххх.ххх (насколько я понимаю внешний адрес) и отправляется дальше. Т.е. это исходящие пакеты из сети.
Значит должен быть соответствующий dnat:
пакет приходит из инета (0.0.0.0/24) на внешнюю сетевуху (наскока я понял eth1) и у него должен менятся адрес получателя на 192.168.1.1. У тебя указано 3 правила, которые работают для портов 4890/tcp и 44333/tcp+udp. Если тебе нужно пробрасывать лишь эти порты, то оно должно работать. Но ни протокол icmp (как и прочие), ни какие другие отличные от вышеуказанных портов натится не будут. Т.е. даже пинг в инет не пойдёт. Не проще ли использовать маскарад вместо всего вышеуказнного?
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.1 -j MASQUERADE Ну или дописать правило для dnat'a к вышеуказанному snat'у, но на все порты и протоколы:
iptables -t nat -A PREROUTING -i eth1 -d XXX.XXX.XXX.XXX -j DNAT --to-destination 192.168.1.1 По идее должно работать, если в чём-нить не ошибся и всё пральна понял.
- Проблемы с iptablels, fate29, 15:04 , 02-Фев-10 (7)
>[оверквотинг удален]
>Не проще ли использовать маскарад вместо всего вышеуказнного?
>iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.1 -j MASQUERADE
>
>Ну или дописать правило для dnat'a к вышеуказанному snat'у, но на все
>порты и протоколы:
>iptables -t nat -A PREROUTING -i eth1 -d XXX.XXX.XXX.XXX -j DNAT --to-destination
>192.168.1.1
>
>По идее должно работать, если в чём-нить не ошибся и всё пральна
>понял. зачем мне DNAT весь разрещать? замечу что все это у меня работало, до недавнего времени ((
т.е. с внутреннего интерфейса linux (192.168.1.2) пачкорд выходил и входил в внешний интерфейс керио (192.168.1.1)
- Проблемы с iptablels, stakado, 15:49 , 02-Фев-10 (8)
>зачем мне DNAT весь разрещать?
>
>замечу что все это у меня работало, до недавнего времени ((
>т.е. с внутреннего интерфейса linux (192.168.1.2) пачкорд выходил и входил в внешний
>интерфейс керио (192.168.1.1) В таком случае проверять что уходит на 192.168.1.1:
tcpdumi -ni eth0 host 192.168.1.1
(я подразумеваю, что внутренняя сеть eth0, если нет - исправьте).
Если тут ничего нет - то смотреть по портам приходят ли вообще запросы на внешнюю сеть:
tcpdump -ni eth1 port 44333 or 4890 Если же на 192.168.1.1 с сетевухи eth0 уходят нормально пакеты, тогда на Керио смотреть что приходит (под виндой это можно сделать с помощью утилиты wireshark). И далее смотреть на каком этапе не проходят пакеты, делать выводы и искать ошибку.
- Проблемы с iptablels, stakado, 15:51 , 02-Фев-10 (9)
>[оверквотинг удален]
>Если тут ничего нет - то смотреть по портам приходят ли вообще
>запросы на внешнюю сеть:
>tcpdump -ni eth1 port 44333 or 4890
>
>Если же на 192.168.1.1 с сетевухи eth0 уходят нормально пакеты, тогда на
>Керио смотреть что приходит (под виндой это можно сделать с помощью
>утилиты wireshark).
>
>И далее смотреть на каком этапе не проходят пакеты, делать выводы и
>искать ошибку. Кстати, а политика на цепочку FORWARD (таблица filter) какая стоит? Нет ли в ней запрещающих правил?
- Проблемы с iptablels, fate29, 16:01 , 02-Фев-10 (10)
>Кстати, а политика на цепочку FORWARD (таблица filter) какая стоит? Нет ли
>в ней запрещающих правил? вот что у меня в FORWARD Chain FORWARD (policy DROP)
target prot opt source destination
bad_tcp_pakets tcp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 192.168.1.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 85.21.143.133 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4890
- Проблемы с iptablels, Koba LTD, 17:41 , 02-Фев-10 (11)
>[оверквотинг удален]
>ACCEPT all -- 0.0.0.0/0
> 0.0.0.0/0
> state RELATED,ESTABLISHED
>
>ACCEPT all -- 85.21.143.133
> 0.0.0.0/0
>ACCEPT tcp -- 0.0.0.0/0
> 0.0.0.0/0
> tcp dpt:4890
>route -n
в студию плиз есчо
- Проблемы с iptablels, fate29, 18:15 , 02-Фев-10 (12)
>[оверквотинг удален]
>>
>>ACCEPT all -- 85.21.143.133
>> 0.0.0.0/0
>>ACCEPT tcp -- 0.0.0.0/0
>> 0.0.0.0/0
>> tcp dpt:4890
>>
>
>route -n
>в студию плиз есчо всем спасибо за ответы.
Причина то оказалось банально смешной, я на внешнем интерфейсе керио из-за невнимательности прописывал не правильный gateway
|
Версия для распечатки
Проблемы с iptablels, 
