The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Fedora 11 за NAT'ом, не отвечает и не поддерживает соединени..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Fedora 11 за NAT'ом, не отвечает и не поддерживает соединени..."  +/
Сообщение от Drock (ok) on 31-Дек-09, 05:44 
Доброго всем предновогоднего утречка, итак есть проблема
отправляю натом 21 и 22 порт с  шлюза на машину в локалке, вижу tcpdump'ом, что пакеты доходят, однако федора просто не отвечает.
конфиги

[root@trancecity etc]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1A:4D:49:8B:35
          inet addr:172.21.21.230  Bcast:172.21.23.255  Mask:255.255.248.0
          inet6 addr: fe80::21a:4dff:fe49:8b35/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:60659 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3794 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4361069 (4.1 MiB)  TX bytes:407545 (397.9 KiB)
          Interrupt:28 Base address:0x2000

eth1      Link encap:Ethernet  HWaddr 00:18:E7:16:1A:D8
          inet addr:92.50.138.118  Bcast:92.50.138.119  Mask:255.255.255.252
          inet6 addr: fe80::218:e7ff:fe16:1ad8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:215191 errors:0 dropped:0 overruns:0 frame:0
          TX packets:227628 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:18882970 (18.0 MiB)  TX bytes:273145648 (260.4 MiB)
          Interrupt:19 Base address:0x6000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:703093 errors:0 dropped:0 overruns:0 frame:0
          TX packets:703093 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:839604235 (800.7 MiB)  TX bytes:839604235 (800.7 MiB)

[root@trancecity etc]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
92.50.138.116   0.0.0.0         255.255.255.252 U     0      0        0 eth1
172.21.16.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1
0.0.0.0         92.50.138.117   0.0.0.0         UG    0      0        0 eth1

[root@trancecity etc]# cat host.conf
#multi on
order hosts,bind
[root@trancecity etc]# cat hosts.allow
#
# hosts.allow   This file contains access rules which are used to
ALL : ALL
vsftpd : ALL

файл hosts.deny удален
iptables на машине выключен, нат поднят на другой машине
selinux отключен

лог тисипидампа

[root@trancecity ~]# tcpdump -vv port 21
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
07:43:56.823938 IP (tos 0x0, ttl 122, id 26152, offset 0, flags [DF], proto TCP (6), length 48) 172.27.16.63.55521 > trancecity.ru.ftp: S, cksum 0x9614 (correct), 3630079427:3630079427(0) win 8192 <mss 1360,nop,nop,sackOK>
07:43:59.821777 IP (tos 0x0, ttl 122, id 26155, offset 0, flags [DF], proto TCP (6), length 48) 172.27.16.63.55521 > trancecity.ru.ftp: S, cksum 0x9614 (correct), 3630079427:3630079427(0) win 8192 <mss 1360,nop,nop,sackOK>
07:44:05.821933 IP (tos 0x0, ttl 122, id 26158, offset 0, flags [DF], proto TCP (6), length 48) 172.27.16.63.55521 > trancecity.ru.ftp: S, cksum 0x9614 (correct), 3630079427:3630079427(0) win 8192 <mss 1360,nop,nop,sackOK>

172.21.21.230 - этот ип моей локалки

172.27.16.63 - данный ип - внутренний ип провайдера


iptables -t nat -A PREROUTING -d ххх.ххх.ххх.ххх -i eth0 -p tcp  --dport 8299 -j DNAT --to-destination 172.21.21.230:21
iptables -t nat -A PREROUTING -d ххх.ххх.ххх.ххх -i eth0 -p tcp  --dport 8298 -j DNAT --to-destination 172.21.21.230:22


Вопрос к знатокам - что делать то?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Fedora 11 за NAT'ом, не отвечает и не поддерживает соединени..."  +/
Сообщение от ze6ra (ok) on 31-Дек-09, 12:23 
>Доброго всем предновогоднего утречка, итак есть проблема
>отправляю натом 21 и 22 порт с  шлюза на машину в
>локалке, вижу tcpdump'ом, что пакеты доходят, однако федора просто не отвечает.
>Вопрос к знатокам - что делать то?

На первый взгляд тут много что делать, но перед новым годом особо не вчитывался поэтому на вскидку.
1. Не нравится таблица маршрутов. 172.27.16.63 поступает с eth0, а будет уходить через eth1 (default route), если правильно помню то ядро по умолчанию в fedore такое поведение блокирует и пакеты отбрасывает если ответный маршрут будет не через тот интерфейс через который пакет пришёл (поэтому ответов и нет пакеты просто не доставляются приложению). Через /proc и sysctl это отключается (net/ipv4/conf/*/rp_filter). Если это конечно так задумано иначе пропишите маршрут к локалке.
2. судя по портам за NAT ftp и ssh. Для ослеживания ftp не забыть загрузить модули ядра nf_nat_ftp и возможно nf_conntrack_ftp


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Fedora 11 за NAT'ом, не отвечает и не поддерживает соединени..."  +/
Сообщение от Drock (ok) on 03-Янв-10, 22:02 
Вы совершенно правы - это роут маршруты - заходило с одного места, а отдавалось в другое :).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру