Решено: Как проверить работоспособность IPTABLES (Может логи, может еще чем)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Закрыто
Dzam
Сообщения: 56
ОС: Kubuntu 9.10, ArchLinux

Решено: Как проверить работоспособность IPTABLES

Сообщение Dzam »

Есть 2 компьютера. На одном Eth0 - интернет, Eth1 - другой комп. На втором компе Eth0 идет в Eth1 первого компа.
Пытался решить задачу проброски порта 81 c Eth0 (все кто из инета ломится), на 80 порт Eth1. ссылка не работает. Но как проверить маршрут пакета после прихода на Eth0? Есть ли способ?
Спасибо сказали:
skor
Сообщения: 419
ОС: RTFM-OS v127.0.0.1

Re: Решено: Как проверить работоспособность IPTABLES

Сообщение skor »

cat /proc/sys/net/ipv4/ip_forward
iptables-save
netstat -rn
Вывод команд сюда выкладывай
Спасибо сказали:
ford1813
Сообщения: 383
ОС: Slackware

Re: Решено: Как проверить работоспособность IPTABLES

Сообщение ford1813 »

Dzam писал(а):
30.03.2009 13:06
Есть 2 компьютера. На одном Eth0 - интернет, Eth1 - другой комп. На втором компе Eth0 идет в Eth1 первого компа.
Пытался решить задачу проброски порта 81 c Eth0 (все кто из инета ломится), на 80 порт Eth1. ссылка не работает. Но как проверить маршрут пакета после прихода на Eth0? Есть ли способ?


http://www.opennet.ru/docs/RUS/iptables/#LOGTARGET

?
Контакты для связи:

E-mail: ford1813@gmail.com

Telegram: @ford1813
Спасибо сказали:
Dzam
Сообщения: 56
ОС: Kubuntu 9.10, ArchLinux

Re: Решено: Как проверить работоспособность IPTABLES

Сообщение Dzam »

skor писал(а):
30.03.2009 13:10
cat /proc/sys/net/ipv4/ip_forward
iptables-save
netstat -rn
Вывод команд сюда выкладывай

Код: Выделить всё

cat /proc/sys/net/ipv4/ip_forward
1
root@ns:~# iptables-save
# Generated by iptables-save v1.4.0 on Mon Mar 30 15:48:37 2009
*nat
:PREROUTING ACCEPT [498767:32366239]
:POSTROUTING ACCEPT [6849:1735370]
:OUTPUT ACCEPT [6726:1728058]
-A PREROUTING -i eth0
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 192.168.1.2/32 -p vmtp -j DNAT --to-destination 192.168.3.5
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 192.168.2.1/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -d 90.151.61.181/32 -i eth0 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
-A PREROUTING -i eth1 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.3/32 -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Mar 30 15:48:37 2009
# Generated by iptables-save v1.4.0 on Mon Mar 30 15:48:37 2009
*mangle
:PREROUTING ACCEPT [5531115:2186051338]
:INPUT ACCEPT [998069:135101187]
:FORWARD ACCEPT [4435355:2043819885]
:OUTPUT ACCEPT [399719:583641424]
:POSTROUTING ACCEPT [4835983:2627527123]
COMMIT
# Completed on Mon Mar 30 15:48:37 2009
# Generated by iptables-save v1.4.0 on Mon Mar 30 15:48:37 2009
*filter
:INPUT ACCEPT [998069:135101187]
:FORWARD ACCEPT [4435355:2043819885]
:OUTPUT ACCEPT [399719:583641424]
COMMIT
# Completed on Mon Mar 30 15:48:37 2009

root@ns:~# netstat -rn
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.3.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2
192.168.2.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth1

вот мой форвард
-A PREROUTING -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
-A PREROUTING -i eth1 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.3.5:80
Спасибо сказали:
skor
Сообщения: 419
ОС: RTFM-OS v127.0.0.1

Re: Решено: Как проверить работоспособность IPTABLES

Сообщение skor »

Так.
На интерфейсах eth0 и eth1 у вас сетки с "серыми" адресами.
Это домашняя(локальная) сеть?
В оригинальном сообщении говорилось об "интернете" но напрямую интернет к вам не попадает. Вы либо сидите за NAT-ом или за прокси-сервером либо у вас какой-либо вариант VPN для доступа в интернет?
Соответственно из интернета через прокси-сервер и NAT до 81 порта никто к вам не сможет достучаться.
Если у вас какой-то VPN, то тогда в правиле надо указывать создаваемый интерфейс VPN (ppp0 к примеру).
Или вам все же надо чтоб до 81 порта смоглу достучаться из сетей 192.168.2.0/24 192.168.1.0/24 ?
И что это за странное правило в iptables
"-A PREROUTING -i eth0" ?
Спасибо сказали:
Dzam
Сообщения: 56
ОС: Kubuntu 9.10, ArchLinux

Re: Решено: Как проверить работоспособность IPTABLES

Сообщение Dzam »

skor писал(а):
30.03.2009 15:54
Так.
На интерфейсах eth0 и eth1 у вас сетки с "серыми" адресами.
Это домашняя(локальная) сеть?


Eth0 это локалка № 1 там все юзеры сидять.
Eth2 это комп на котором стоит Веб-сервер ISS.

skor писал(а):
30.03.2009 15:54
В оригинальном сообщении говорилось об "интернете" но напрямую интернет к вам не попадает. Вы либо сидите за NAT-ом или за прокси-сервером либо у вас какой-либо вариант VPN для доступа в интернет?
Соответственно из интернета через прокси-сервер и NAT до 81 порта никто к вам не сможет достучаться.
Если у вас какой-то VPN, то тогда в правиле надо указывать создаваемый интерфейс VPN (ppp0 к примеру).


Интеррент у нас через ADSL модем, который подключен к Eth1.
Ваша подсказка наводит на мысли что на модеме не прописан форвард 81 порта....

skor писал(а):
30.03.2009 15:54
Или вам все же надо чтоб до 81 порта смоглу достучаться из сетей 192.168.2.0/24 192.168.1.0/24 ?
И что это за странное правило в iptables
"-A PREROUTING -i eth0" ?


У нас на Ubunte стоит веб сервер и к нему подходит инет. Его задача отдать инет локалке (что уже работает),обеспечивать работу сайта как в локалке так и во вне (тоже работает). Но вот еще проблема. Есть второй веб-сервер. к которому мы подключаемся посредством ссылки на 81 порт... А дальше линукс должен перекинуть запрос на Веб-сервер ISS Eth2 на порт 80. И это должно работать как из локалки, так и извне.
Спасибо сказали:
Dzam
Сообщения: 56
ОС: Kubuntu 9.10, ArchLinux

Re: Решено: Как проверить работоспособность IPTABLES

Сообщение Dzam »

Dzam писал(а):
30.03.2009 17:21
skor писал(а):
30.03.2009 15:54
Так.
На интерфейсах eth0 и eth1 у вас сетки с "серыми" адресами.
Это домашняя(локальная) сеть?


Eth0 это локалка № 1 там все юзеры сидять.
Eth2 это комп на котором стоит Веб-сервер ISS.

skor писал(а):
30.03.2009 15:54
В оригинальном сообщении говорилось об "интернете" но напрямую интернет к вам не попадает. Вы либо сидите за NAT-ом или за прокси-сервером либо у вас какой-либо вариант VPN для доступа в интернет?
Соответственно из интернета через прокси-сервер и NAT до 81 порта никто к вам не сможет достучаться.
Если у вас какой-то VPN, то тогда в правиле надо указывать создаваемый интерфейс VPN (ppp0 к примеру).


Интеррент у нас через ADSL модем, который подключен к Eth1.
Ваша подсказка наводит на мысли что на модеме не прописан форвард 81 порта....

skor писал(а):
30.03.2009 15:54
Или вам все же надо чтоб до 81 порта смоглу достучаться из сетей 192.168.2.0/24 192.168.1.0/24 ?
И что это за странное правило в iptables
"-A PREROUTING -i eth0" ?


У нас на Ubunte стоит веб сервер и к нему подходит инет. Его задача отдать инет локалке (что уже работает),обеспечивать работу сайта как в локалке так и во вне (тоже работает). Но вот еще проблема. Есть второй веб-сервер. к которому мы подключаемся посредством ссылки на 81 порт... А дальше линукс должен перекинуть запрос на Веб-сервер ISS Eth2 на порт 80. И это должно работать как из локалки, так и извне.



Все работает. В настройках все было ок. Проьлема была в проброске 81 порта на модеме. Спасибо всем. Обожаю наш форум.
Вопрос решен. Тема закрыта.
Спасибо сказали:
Закрыто