View previous topic :: View next topic |
Author |
Message |
Johnny_Bit Apprentice
Joined: 30 Aug 2005 Posts: 246 Location: Poland
|
Posted: Wed Mar 22, 2006 3:58 pm Post subject: [IPTABLES] Konfiguracja NATa |
|
|
Robiłem wg. home router guide routerka, z tą różnicą że zmieniłem interfejsy sieciowe (tzn. eth0 do WAN a eth1 do LAN), analogicznie robiłem przy konfiguracji nata.
Problem jest taki że z komputerów klienckich można pingować poza siecią adresy, ale przeglądarki za cholere nie mogą przeglądać stron web, a ftp zwraca błąd 10050 (chyba błąd socketów, czy synchronizacji). Oto plik konfiguracji nata:
Code: | nano -w /var/lib/iptables/rules-save
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*raw
:PREROUTING ACCEPT [546771:738539922]
:OUTPUT ACCEPT [379265:34876128]
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*nat
:PREROUTING ACCEPT [3880:258408]
:POSTROUTING ACCEPT [746:50143]
:OUTPUT ACCEPT [1958:125770]
[1232:78304] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*mangle
:PREROUTING ACCEPT [546771:738539922]
:INPUT ACCEPT [546697:738525740]
:FORWARD ACCEPT [74:14182]
:OUTPUT ACCEPT [379265:34876128]
:POSTROUTING ACCEPT [379516:34914932]
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
# Generated by iptables-save v1.3.4 on Wed Mar 22 16:46:03 2006
*filter
:INPUT ACCEPT [498751:724602985]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [379254:34875297]
[43675:13655324] -A INPUT -i lo -j ACCEPT
[940:100020] -A INPUT -i eth1 -j ACCEPT
[5:1410] -A INPUT -i ! eth1 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A INPUT -i ! eth1 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[3274:161552] -A INPUT -i ! eth1 -p tcp -m tcp --dport 0:1023 -j DROP
[41:3198] -A INPUT -i ! eth1 -p udp -m udp --dport 0:1023 -j DROP
[0:0] -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth1 -j DROP
[62:13462] -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT
[12:720] -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
COMMIT
# Completed on Wed Mar 22 16:46:03 2006
|
|
|
Back to top |
|
|
szolek Guru
Joined: 30 Mar 2005 Posts: 570 Location: Brzóza Królewska
|
Posted: Wed Mar 22, 2006 5:44 pm Post subject: |
|
|
Code: | echo 1 > /proc/sys/net/ipv4/ip_forward |
|
|
Back to top |
|
|
Johnny_Bit Apprentice
Joined: 30 Aug 2005 Posts: 246 Location: Poland
|
Posted: Wed Mar 22, 2006 8:28 pm Post subject: |
|
|
z tego co pamiętam tak zrobiłem (nie robiłem tego u siebie w domu), bo jakby inaczej dało się pingować zewnętrzne adresy i orzymywać odpowiedź, a zarazem czemu skoro można pingować przeglądarki czy ftp nie chcą współpracować. |
|
Back to top |
|
|
Raku Bodhisattva
Joined: 28 Feb 2004 Posts: 2374 Location: Poland
|
Posted: Wed Mar 22, 2006 9:28 pm Post subject: |
|
|
pingowanie działa po adresach IP czy po nazwach domen?
jeśli tylko to pierwsze, to juz chyba domyślasz się, co jest przyczyną? _________________ raku
Powered by Archlinux |
|
Back to top |
|
|
Johnny_Bit Apprentice
Joined: 30 Aug 2005 Posts: 246 Location: Poland
|
Posted: Thu Mar 23, 2006 10:37 am Post subject: |
|
|
ping działa zrówno po ip jak i po nazwach domen. Na serwerze jest nds cachujšcy, dhcp miga |
|
Back to top |
|
|
Raku Bodhisattva
Joined: 28 Feb 2004 Posts: 2374 Location: Poland
|
Posted: Thu Mar 23, 2006 11:55 am Post subject: |
|
|
pokaż jeszcze wynik działania iptables -L -v
i popraw sobie kodowanie, bo krzaczysz trochę _________________ raku
Powered by Archlinux |
|
Back to top |
|
|
mbar Veteran
Joined: 19 Jan 2005 Posts: 1990 Location: Poland
|
Posted: Thu Mar 23, 2006 2:24 pm Post subject: |
|
|
No chyba coś ściemniasz o robieniu według dokumentacji:
Code: | W przypadku dziwnych błędów (np. gdy tylko niektóre strony się wczytują) warto sprawdzić czy nie wystąpił problem z wielkością MTU. Szybki sposób na sprawdzenie tego to wykonanie następującego polecenia:
Listing 7.1: Rozwiązywanie problemów z MTU
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
|
|
|
Back to top |
|
|
Johnny_Bit Apprentice
Joined: 30 Aug 2005 Posts: 246 Location: Poland
|
Posted: Fri Mar 24, 2006 1:24 pm Post subject: |
|
|
Code: | iptables -L -v
Chain INPUT (policy ACCEPT 577K packets, 824M bytes)
pkts bytes target prot opt in out source destination
43796 14M ACCEPT all -- lo any anywhere anywhere
1622 180K ACCEPT all -- eth1 any anywhere anywhere
5 1410 REJECT udp -- !eth1 any anywhere anywhere udp dpt:bootps reject-with icmp-port-unreachable
0 0 REJECT udp -- !eth1 any anywhere anywhere udp dpt:domain reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:ssh
3274 162K DROP tcp -- !eth1 any anywhere anywhere tcp dpts:0:1023
41 3198 DROP udp -- !eth1 any anywhere anywhere udp dpts:0:1023
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- eth1 any anywhere 192.168.0.0/24
70 13894 ACCEPT all -- eth1 any 192.168.0.0/24 anywhere
16 960 ACCEPT all -- eth0 any anywhere 192.168.0.0/24
0 0 TCPMSS tcp -- any any anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT 440K packets, 40M bytes)
pkts bytes target prot opt in out source destination
|
I dalej lipa... na prawdę niesądze żeby to chodziło o chain FORWARD z polityką drop, bo przecież ma ACCEPT na wyjątkach, ping działa...
Co tu robić? |
|
Back to top |
|
|
mbar Veteran
Joined: 19 Jan 2005 Posts: 1990 Location: Poland
|
Posted: Fri Mar 24, 2006 3:50 pm Post subject: |
|
|
Johnny_Bit wrote: | naprawdę niesądze żeby to chodziło o chain FORWARD z polityką drop |
Hyhy, a to pewnie o to właśnie chodzi. Iptables przegląda tabelę od góry do dołu i jeśli natrafi na pasującą regułę, to od razu ją stosuje. A u ciebie pierwszą regułą, która pasuje do wszystkich pakietów jest DROP.
U mnie jest tak:
Code: | gateway ~ # iptables -L -v
Chain INPUT (policy ACCEPT 164M packets, 120G bytes)
pkts bytes target prot opt in out source destination
52694 3793K ACCEPT tcp -- ppp0 any anywhere anywhere tcp dpt:ssh
185 10350 ACCEPT tcp -- ppp0 any anywhere anywhere tcp dpt:ftp
1490 72680 ACCEPT tcp -- ppp0 any anywhere anywhere tcp dpt:http
450K 62M DROP tcp -- ppp0 any anywhere anywhere tcp dpts:0:1023
3727 423K DROP udp -- ppp0 any anywhere anywhere udp dpts:0:1023
Chain FORWARD (policy ACCEPT 215M packets, 142G bytes)
pkts bytes target prot opt in out source destination
7991K 390M TCPMSS tcp -- any any anywhere anywhere tcp flags:SYN,RST/SYN tcpmss match 1350:5000 TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT 191M packets, 354G bytes)
pkts bytes target prot opt in out source destination
|
Zauważ, DROP na końcu łańcucha. |
|
Back to top |
|
|
Johnny_Bit Apprentice
Joined: 30 Aug 2005 Posts: 246 Location: Poland
|
Posted: Fri Mar 24, 2006 5:08 pm Post subject: |
|
|
no, OK, to już widze. mógłbyś zapodać swoje iptables-rules? bo przecież w moim pierwszy jest właściwie accept, a drop jest na [0:0] |
|
Back to top |
|
|
Raku Bodhisattva
Joined: 28 Feb 2004 Posts: 2374 Location: Poland
|
Posted: Fri Mar 24, 2006 5:52 pm Post subject: |
|
|
mbar wrote: | Johnny_Bit wrote: | naprawdę niesądze żeby to chodziło o chain FORWARD z polityką drop |
Hyhy, a to pewnie o to właśnie chodzi. Iptables przegląda tabelę od góry do dołu i jeśli natrafi na pasującą regułę, to od razu ją stosuje. A u ciebie pierwszą regułą, która pasuje do wszystkich pakietów jest DROP. |
... a masz ze sobą jakieś wsparcie?
gdybyś popatrzył uważniej, zobaczyłbyś, że w ten pierwszy DROP w łańcuchu FORWARD nie złapał się jeszcze ani jeden pakiet, również w domyslnego DROPa nic nie wpadło. Natomiast kilka pakietów załapało się w dwie kolejne reguły (ruch wychodzący i wchodzący - prawdopodobnie ping). Tak więc błaźnisz się lekko z twoim lolem. Jak cfaniakować, to z dobrym zapleczem teoretycznym...
@Johnny_Bit: coś mało pakietów ci przeszło przez ten FORWARD. Spróbuj włączyć przeglądarkę WWW na klientach(cie) w LAN, tak aby można było popatrzeć na statystyki na poszczególnych regułach (czy jednak przypadkiem coś nie wpada w DROP).
Możesz też spróbować dla pewności z polityką FORWARD ustawioną na ACCEPT i wyczyszczonym łańcuchem FORWARD (tak, żeby puszczał wszystko).
Możesz też spróbować ostatnią regułę (tą zmieniającą mss) dać na początek FORWARDu
kolejne pytanie: czy nie próbujesz dzielić internetu na lewo? Może provider zabezpieczył sieć przed takim podziałem? _________________ raku
Powered by Archlinux |
|
Back to top |
|
|
mbar Veteran
Joined: 19 Jan 2005 Posts: 1990 Location: Poland
|
Posted: Fri Mar 24, 2006 6:38 pm Post subject: |
|
|
Raku wrote: | Możesz też spróbować dla pewności z polityką FORWARD ustawioną na ACCEPT i wyczyszczonym łańcuchem FORWARD (tak, żeby puszczał wszystko). |
Może właśnie od tego zaczniemy, a po wirtualnym pysku damy sobie później? A faktycznie nie zauważyłem 0 pakietów w drop.
Code: | # Generated by iptables-save v1.3.5 on Wed Mar 22 07:17:53 2006
*nat
:PREROUTING ACCEPT [1729121:139800148]
:POSTROUTING ACCEPT [2380284:122504028]
:OUTPUT ACCEPT [29443:4408283]
[1539609:76128010] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 400 -j DNAT --to-destination 10.0.1.31:400
[10387:2065256] -A PREROUTING -i ppp0 -p udp -m udp --dport 400 -j DNAT --to-destination 10.0.1.31:400
[36:2008] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.1.31:3389
[0:0] -A PREROUTING -i ppp0 -p udp -m udp --dport 3389 -j DNAT --to-destination 10.0.1.31:3389
[9:540] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.1.31:443
[1:40] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 10.0.1.31:22
[0:0] -A PREROUTING -i ppp0 -p udp -m udp --dport 2222 -j DNAT --to-destination 10.0.1.31:22
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 10.0.0.11:22
[0:0] -A PREROUTING -i ppp0 -p udp -m udp --dport 2223 -j DNAT --to-destination 10.0.0.11:22
[896124:79364725] -A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Mar 22 07:17:53 2006
# Generated by iptables-save v1.3.5 on Wed Mar 22 07:17:53 2006
*filter
:INPUT ACCEPT [155790170:114902894205]
:FORWARD ACCEPT [198499462:132485934134]
:OUTPUT ACCEPT [183504954:350556202413]
[51826:3739114] -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
[185:10350] -A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
[1325:64768] -A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
[408678:58082031] -A INPUT -i ppp0 -p tcp -m tcp --dport 0:1023 -j DROP
[3379:392825] -A INPUT -i ppp0 -p udp -m udp --dport 0:1023 -j DROP
[7262751:354078136] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1350:5000 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Mar 22 07:17:53 2006
|
|
|
Back to top |
|
|
wuja Guru
Joined: 16 Jan 2005 Posts: 323 Location: Szczecin
|
Posted: Fri Mar 24, 2006 8:34 pm Post subject: |
|
|
Podłączę się. Też robiłem wg http://www.gentoo.org/doc/pl/home-router-howto.xml, też eth0 - WAN, eth1 - LAN. Cała rodzina znosi mi bez przerwy różne komputery do naprawy/reinstalacji itp. i do tego mi potrzebne to udostępnianie. Problem w tym, że są dwie takie oporne maszynki (i co dziwne, były to laptopy), które nijak nie chcą podłaczyć sie do mnie i pobrać IP. Code: | # Generated by iptables-save v1.3.5 on Fri Mar 24 17:23:15 2006
*filter
:INPUT ACCEPT [26050153:17520472724]
:FORWARD DROP [1:295]
:OUTPUT ACCEPT [27047739:15586224035]
:check_flags - [0:0]
:established_connections - [0:0]
:icmp_allowed_in - [0:0]
:icmp_allowed_out - [0:0]
[439681:32856317] -A INPUT -i lo -j ACCEPT
[266878:54093880] -A INPUT -i eth1 -j ACCEPT
[342736:128460224] -A INPUT -i ! eth1 -p udp -m udp --dport 67 -j REJECT --reject$
[0:0] -A INPUT -i ! eth1 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-po$
[4:204] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[5187:252612] -A INPUT -i ! eth1 -p tcp -m tcp --dport 0:1023 -j DROP
[3834578:839586118] -A INPUT -i ! eth1 -p udp -m udp --dport 0:1023 -j DROP
[0:0] -A FORWARD -d 192.168.0.0/255.255.0.0 -i eth1 -j DROP
[420605:25730113] -A FORWARD -s 192.168.0.0/255.255.0.0 -i eth1 -j ACCEPT
[669495:987825638] -A FORWARD -d 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT
COMMIT
# Completed on Fri Mar 24 17:23:15 2006
# Generated by iptables-save v1.3.5 on Fri Mar 24 17:23:15 2006
*mangle
:PREROUTING ACCEPT [50255954:28209398341]
:INPUT ACCEPT [44463916:25922814973]
:FORWARD ACCEPT [1413820:1296513806]
:OUTPUT ACCEPT [37592423:21705954578]
:POSTROUTING ACCEPT [39011667:23002967658]
COMMIT
# Completed on Fri Mar 24 17:23:15 2006
# Generated by iptables-save v1.3.5 on Fri Mar 24 17:23:15 2006
*nat
:PREROUTING ACCEPT [11407983:2361403465]
:POSTROUTING ACCEPT [324073:9518166]
:OUTPUT ACCEPT [726316:37186760]
[257764:18850997] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 24 17:23:15 2006 |
Code: | iptables -L -v
Chain INPUT (policy ACCEPT 26M packets, 18G bytes)
pkts bytes target prot opt in out source destination
441K 33M ACCEPT all -- lo any anywhere anywhere
267K 54M ACCEPT all -- eth1 any anywhere anywhere
345K 129M REJECT udp -- !eth1 any anywhere anywhere udp dpt:bootps reject-with icmp-port-unreachable
0 0 REJECT udp -- !eth1 any anywhere anywhere udp dpt:domain reject-with icmp-port-unreachable
4 204 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:ssh
5203 253K DROP tcp -- !eth1 any anywhere anywhere tcp dpts:0:1023
3876K 849M DROP udp -- !eth1 any anywhere anywhere udp dpts:0:1023
Chain FORWARD (policy DROP 1 packets, 295 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- eth1 any anywhere 192.168.0.0/16
421K 26M ACCEPT all -- eth1 any 192.168.0.0/16 anywhere
669K 988M ACCEPT all -- eth0 any anywhere 192.168.0.0/16
Chain OUTPUT (policy ACCEPT 27M packets, 16G bytes)
pkts bytes target prot opt in out source destination
Chain check_flags (0 references)
pkts bytes target prot opt in out source destination
Chain established_connections (0 references)
pkts bytes target prot opt in out source destination
Chain icmp_allowed_in (0 references)
pkts bytes target prot opt in out source destination
Chain icmp_allowed_out (0 references)
pkts bytes target prot opt in out source destination
| Coś spieprzyłem? _________________ Pozdrowienia
Wojtek
www.wojciechgracz.pl |
|
Back to top |
|
|
|