Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in

  FAQ | Search | Memberlist | Usergroups | Statistics | Profile | Log in to check your private messages | Log in | Register

[IPTABLES] Konfiguracja NATa
 View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish)
View previous topic :: View next topic  
Author Message
Johnny_Bit
Apprentice
Apprentice


Joined: 30 Aug 2005
Posts: 246
Location: Poland
PostPosted: Wed Mar 22, 2006 3:58 pm    Post subject: [IPTABLES] Konfiguracja NATa Reply with quote
Robiłem wg. home router guide routerka, z tą różnicą że zmieniłem interfejsy sieciowe (tzn. eth0 do WAN a eth1 do LAN), analogicznie robiłem przy konfiguracji nata.

Problem jest taki że z komputerów klienckich można pingować poza siecią adresy, ale przeglądarki za cholere nie mogą przeglądać stron web, a ftp zwraca błąd 10050 (chyba błąd socketów, czy synchronizacji). Oto plik konfiguracji nata:
Code:
nano -w /var/lib/iptables/rules-save
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*raw
:PREROUTING ACCEPT [546771:738539922]
:OUTPUT ACCEPT [379265:34876128]
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*nat
:PREROUTING ACCEPT [3880:258408]
:POSTROUTING ACCEPT [746:50143]
:OUTPUT ACCEPT [1958:125770]
[1232:78304] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*mangle
:PREROUTING ACCEPT [546771:738539922]
:INPUT ACCEPT [546697:738525740]
:FORWARD ACCEPT [74:14182]
:OUTPUT ACCEPT [379265:34876128]
:POSTROUTING ACCEPT [379516:34914932]
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*filter
:INPUT ACCEPT [498751:724602985]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [379254:34875297]
[43675:13655324] -A INPUT -i lo -j ACCEPT
[940:100020] -A INPUT -i eth1 -j ACCEPT
[5:1410] -A INPUT -i ! eth1 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A INPUT -i ! eth1 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[3274:161552] -A INPUT -i ! eth1 -p tcp -m tcp --dport 0:1023 -j DROP
[41:3198] -A INPUT -i ! eth1 -p udp -m udp --dport 0:1023 -j DROP
[0:0] -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth1 -j DROP
[62:13462] -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT
[12:720] -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
Back to top
View user's profile Send private message
szolek
Guru
Guru


Joined: 30 Mar 2005
Posts: 570
Location: Brzóza Królewska
PostPosted: Wed Mar 22, 2006 5:44 pm    Post subject: Reply with quote
Code:
echo 1 > /proc/sys/net/ipv4/ip_forward
Back to top
View user's profile Send private message
Johnny_Bit
Apprentice
Apprentice


Joined: 30 Aug 2005
Posts: 246
Location: Poland
PostPosted: Wed Mar 22, 2006 8:28 pm    Post subject: Reply with quote
z tego co pamiętam tak zrobiłem (nie robiłem tego u siebie w domu), bo jakby inaczej dało się pingować zewnętrzne adresy i orzymywać odpowiedź, a zarazem czemu skoro można pingować przeglądarki czy ftp nie chcą współpracować.
Back to top
View user's profile Send private message
Raku
Bodhisattva
Bodhisattva


Joined: 28 Feb 2004
Posts: 2374
Location: Poland
PostPosted: Wed Mar 22, 2006 9:28 pm    Post subject: Reply with quote
pingowanie działa po adresach IP czy po nazwach domen?
jeśli tylko to pierwsze, to juz chyba domyślasz się, co jest przyczyną?
_________________
raku

Powered by Archlinux ;-)
Back to top
View user's profile Send private message
Johnny_Bit
Apprentice
Apprentice


Joined: 30 Aug 2005
Posts: 246
Location: Poland
PostPosted: Thu Mar 23, 2006 10:37 am    Post subject: Reply with quote
ping działa zrówno po ip jak i po nazwach domen. Na serwerze jest nds cachujšcy, dhcp œmiga
Back to top
View user's profile Send private message
Raku
Bodhisattva
Bodhisattva


Joined: 28 Feb 2004
Posts: 2374
Location: Poland
PostPosted: Thu Mar 23, 2006 11:55 am    Post subject: Reply with quote
pokaż jeszcze wynik działania iptables -L -v
i popraw sobie kodowanie, bo krzaczysz trochę ;-)
_________________
raku

Powered by Archlinux ;-)
Back to top
View user's profile Send private message
mbar
Veteran
Veteran


Joined: 19 Jan 2005
Posts: 1990
Location: Poland
PostPosted: Thu Mar 23, 2006 2:24 pm    Post subject: Reply with quote
No chyba coś ściemniasz o robieniu według dokumentacji:

Code:
W przypadku dziwnych błędów (np. gdy tylko niektóre strony się wczytują) warto sprawdzić czy nie wystąpił problem z wielkością MTU. Szybki sposób na sprawdzenie tego to wykonanie następującego polecenia:

Listing 7.1: Rozwiązywanie problemów z MTU

# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Back to top
View user's profile Send private message
Johnny_Bit
Apprentice
Apprentice


Joined: 30 Aug 2005
Posts: 246
Location: Poland
PostPosted: Fri Mar 24, 2006 1:24 pm    Post subject: Reply with quote
Code:
 iptables -L -v
Chain INPUT (policy ACCEPT 577K packets, 824M bytes)
 pkts bytes target     prot opt in     out     source               destination
43796   14M ACCEPT     all  --  lo     any     anywhere             anywhere
 1622  180K ACCEPT     all  --  eth1   any     anywhere             anywhere
    5  1410 REJECT     udp  --  !eth1  any     anywhere             anywhere            udp dpt:bootps reject-with icmp-port-unreachable
    0     0 REJECT     udp  --  !eth1  any     anywhere             anywhere            udp dpt:domain reject-with icmp-port-unreachable
    0     0 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh
 3274  162K DROP       tcp  --  !eth1  any     anywhere             anywhere            tcp dpts:0:1023
   41  3198 DROP       udp  --  !eth1  any     anywhere             anywhere            udp dpts:0:1023

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  eth1   any     anywhere             192.168.0.0/24
   70 13894 ACCEPT     all  --  eth1   any     192.168.0.0/24       anywhere
   16   960 ACCEPT     all  --  eth0   any     anywhere             192.168.0.0/24
    0     0 TCPMSS     tcp  --  any    any     anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT 440K packets, 40M bytes)
 pkts bytes target     prot opt in     out     source               destination


I dalej lipa... na prawdę niesądze żeby to chodziło o chain FORWARD z polityką drop, bo przecież ma ACCEPT na wyjątkach, ping działa...

Co tu robić?
Back to top
View user's profile Send private message
mbar
Veteran
Veteran


Joined: 19 Jan 2005
Posts: 1990
Location: Poland
PostPosted: Fri Mar 24, 2006 3:50 pm    Post subject: Reply with quote
Johnny_Bit wrote:
naprawdę niesądze żeby to chodziło o chain FORWARD z polityką drop


Hyhy, a to pewnie o to właśnie chodzi. Iptables przegląda tabelę od góry do dołu i jeśli natrafi na pasującą regułę, to od razu ją stosuje. A u ciebie pierwszą regułą, która pasuje do wszystkich pakietów jest DROP. :lol:

U mnie jest tak:
Code:
gateway ~ # iptables -L -v
Chain INPUT (policy ACCEPT 164M packets, 120G bytes)
 pkts bytes target     prot opt in     out     source               destination
52694 3793K ACCEPT     tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:ssh
  185 10350 ACCEPT     tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:ftp
 1490 72680 ACCEPT     tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:http
 450K   62M DROP       tcp  --  ppp0   any     anywhere             anywhere            tcp dpts:0:1023
 3727  423K DROP       udp  --  ppp0   any     anywhere             anywhere            udp dpts:0:1023

Chain FORWARD (policy ACCEPT 215M packets, 142G bytes)
 pkts bytes target     prot opt in     out     source               destination
7991K  390M TCPMSS     tcp  --  any    any     anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1350:5000 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT 191M packets, 354G bytes)
 pkts bytes target     prot opt in     out     source               destination



Zauważ, DROP na końcu łańcucha.
Back to top
View user's profile Send private message
Johnny_Bit
Apprentice
Apprentice


Joined: 30 Aug 2005
Posts: 246
Location: Poland
PostPosted: Fri Mar 24, 2006 5:08 pm    Post subject: Reply with quote
no, OK, to już widze. mógłbyś zapodać swoje iptables-rules? bo przecież w moim pierwszy jest właściwie accept, a drop jest na [0:0]
Back to top
View user's profile Send private message
Raku
Bodhisattva
Bodhisattva


Joined: 28 Feb 2004
Posts: 2374
Location: Poland
PostPosted: Fri Mar 24, 2006 5:52 pm    Post subject: Reply with quote
mbar wrote:
Johnny_Bit wrote:
naprawdę niesądze żeby to chodziło o chain FORWARD z polityką drop


Hyhy, a to pewnie o to właśnie chodzi. Iptables przegląda tabelę od góry do dołu i jeśli natrafi na pasującą regułę, to od razu ją stosuje. A u ciebie pierwszą regułą, która pasuje do wszystkich pakietów jest DROP. :lol:

... a masz ze sobą jakieś wsparcie?

gdybyś popatrzył uważniej, zobaczyłbyś, że w ten pierwszy DROP w łańcuchu FORWARD nie złapał się jeszcze ani jeden pakiet, również w domyslnego DROPa nic nie wpadło. Natomiast kilka pakietów załapało się w dwie kolejne reguły (ruch wychodzący i wchodzący - prawdopodobnie ping). Tak więc błaźnisz się lekko z twoim lolem. Jak cfaniakować, to z dobrym zapleczem teoretycznym...

@Johnny_Bit: coś mało pakietów ci przeszło przez ten FORWARD. Spróbuj włączyć przeglądarkę WWW na klientach(cie) w LAN, tak aby można było popatrzeć na statystyki na poszczególnych regułach (czy jednak przypadkiem coś nie wpada w DROP).
Możesz też spróbować dla pewności z polityką FORWARD ustawioną na ACCEPT i wyczyszczonym łańcuchem FORWARD (tak, żeby puszczał wszystko).
Możesz też spróbować ostatnią regułę (tą zmieniającą mss) dać na początek FORWARDu
kolejne pytanie: czy nie próbujesz dzielić internetu na lewo? Może provider zabezpieczył sieć przed takim podziałem?
_________________
raku

Powered by Archlinux ;-)
Back to top
View user's profile Send private message
mbar
Veteran
Veteran


Joined: 19 Jan 2005
Posts: 1990
Location: Poland
PostPosted: Fri Mar 24, 2006 6:38 pm    Post subject: Reply with quote
Raku wrote:
Możesz też spróbować dla pewności z polityką FORWARD ustawioną na ACCEPT i wyczyszczonym łańcuchem FORWARD (tak, żeby puszczał wszystko).


Może właśnie od tego zaczniemy, a po wirtualnym pysku damy sobie później? A faktycznie nie zauważyłem 0 pakietów w drop.

Code:
# Generated by iptables-save v1.3.5 on Wed Mar 22 07:17:53 2006
*nat
:PREROUTING ACCEPT [1729121:139800148]
:POSTROUTING ACCEPT [2380284:122504028]
:OUTPUT ACCEPT [29443:4408283]
[1539609:76128010] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 400 -j DNAT --to-destination 10.0.1.31:400
[10387:2065256] -A PREROUTING -i ppp0 -p udp -m udp --dport 400 -j DNAT --to-destination 10.0.1.31:400
[36:2008] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.1.31:3389
[0:0] -A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 10.0.1.31:3389
[9:540] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.1.31:443
[1:40] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 10.0.1.31:22
[0:0] -A PREROUTING -i ppp0 -p udp -m udp --dport 2222 -j DNAT --to-destination 10.0.1.31:22
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 10.0.0.11:22
[0:0] -A PREROUTING -i ppp0 -p udp -m udp --dport 2223 -j DNAT --to-destination 10.0.0.11:22
[896124:79364725] -A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Mar 22 07:17:53 2006
# Generated by iptables-save v1.3.5 on Wed Mar 22 07:17:53 2006
*filter
:INPUT ACCEPT [155790170:114902894205]
:FORWARD ACCEPT [198499462:132485934134]
:OUTPUT ACCEPT [183504954:350556202413]
[51826:3739114] -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
[185:10350] -A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
[1325:64768] -A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
[408678:58082031] -A INPUT -i ppp0 -p tcp -m tcp --dport 0:1023 -j DROP
[3379:392825] -A INPUT -i ppp0 -p udp -m udp --dport 0:1023 -j DROP
[7262751:354078136] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1350:5000 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Mar 22 07:17:53 2006
Back to top
View user's profile Send private message
wuja
Guru
Guru


Joined: 16 Jan 2005
Posts: 323
Location: Szczecin
PostPosted: Fri Mar 24, 2006 8:34 pm    Post subject: Reply with quote
Podłączę się. Też robiłem wg http://www.gentoo.org/doc/pl/home-router-howto.xml, też eth0 - WAN, eth1 - LAN. Cała rodzina znosi mi bez przerwy różne komputery do naprawy/reinstalacji itp. i do tego mi potrzebne to udostępnianie. Problem w tym, że są dwie takie oporne maszynki (i co dziwne, były to laptopy), które nijak nie chcą podłaczyć sie do mnie i pobrać IP.
Code:
# Generated by iptables-save v1.3.5 on Fri Mar 24 17:23:15 2006
*filter
:INPUT ACCEPT [26050153:17520472724]
:FORWARD DROP [1:295]
:OUTPUT ACCEPT [27047739:15586224035]
:check_flags - [0:0]
:established_connections - [0:0]
:icmp_allowed_in - [0:0]
:icmp_allowed_out - [0:0]
[439681:32856317] -A INPUT -i lo -j ACCEPT
[266878:54093880] -A INPUT -i eth1 -j ACCEPT
[342736:128460224] -A INPUT -i ! eth1 -p udp -m udp --dport 67 -j REJECT --reject$
[0:0] -A INPUT -i ! eth1 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-po$
[4:204] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[5187:252612] -A INPUT -i ! eth1 -p tcp -m tcp --dport 0:1023 -j DROP
[3834578:839586118] -A INPUT -i ! eth1 -p udp -m udp --dport 0:1023 -j DROP
[0:0] -A FORWARD -d 192.168.0.0/255.255.0.0 -i eth1 -j DROP
[420605:25730113] -A FORWARD -s 192.168.0.0/255.255.0.0 -i eth1 -j ACCEPT
[669495:987825638] -A FORWARD -d 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT
COMMIT
# Completed on Fri Mar 24 17:23:15 2006
# Generated by iptables-save v1.3.5 on Fri Mar 24 17:23:15 2006
*mangle
:PREROUTING ACCEPT [50255954:28209398341]
:INPUT ACCEPT [44463916:25922814973]
:FORWARD ACCEPT [1413820:1296513806]
:OUTPUT ACCEPT [37592423:21705954578]
:POSTROUTING ACCEPT [39011667:23002967658]
COMMIT
# Completed on Fri Mar 24 17:23:15 2006
# Generated by iptables-save v1.3.5 on Fri Mar 24 17:23:15 2006
*nat
:PREROUTING ACCEPT [11407983:2361403465]
:POSTROUTING ACCEPT [324073:9518166]
:OUTPUT ACCEPT [726316:37186760]
[257764:18850997] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 24 17:23:15 2006
Code:
 iptables -L -v
Chain INPUT (policy ACCEPT 26M packets, 18G bytes)
 pkts bytes target     prot opt in     out     source               destination
 441K   33M ACCEPT     all  --  lo     any     anywhere             anywhere
 267K   54M ACCEPT     all  --  eth1   any     anywhere             anywhere
 345K  129M REJECT     udp  --  !eth1  any     anywhere             anywhere            udp dpt:bootps reject-with icmp-port-unreachable
    0     0 REJECT     udp  --  !eth1  any     anywhere             anywhere            udp dpt:domain reject-with icmp-port-unreachable
    4   204 ACCEPT     tcp  --  eth0   any     anywhere             anywhere            tcp dpt:ssh
 5203  253K DROP       tcp  --  !eth1  any     anywhere             anywhere            tcp dpts:0:1023
3876K  849M DROP       udp  --  !eth1  any     anywhere             anywhere            udp dpts:0:1023

Chain FORWARD (policy DROP 1 packets, 295 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  eth1   any     anywhere             192.168.0.0/16
 421K   26M ACCEPT     all  --  eth1   any     192.168.0.0/16       anywhere
 669K  988M ACCEPT     all  --  eth0   any     anywhere             192.168.0.0/16

Chain OUTPUT (policy ACCEPT 27M packets, 16G bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain check_flags (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain established_connections (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain icmp_allowed_in (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain icmp_allowed_out (0 references)
 pkts bytes target     prot opt in     out     source               destination
Coś spieprzyłem? :?:
_________________
Pozdrowienia
Wojtek
www.wojciechgracz.pl
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Polskie forum (Polish) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum



 Links: forums.gentoo.org | www.gentoo.org | bugs.gentoo.org | wiki.gentoo.org | forum-mods@gentoo.org

Copyright 2001-2024 Gentoo Foundation, Inc. Designed by Kyle Manna © 2003; Style derived from original subSilver theme. | Hosting by Gossamer Threads Inc. © | Powered by phpBB 2.0.23-gentoo-p11 © 2001, 2002 phpBB Group
Privacy Policy