Почему не работает перенаправление (Susefirewall перенаправляет только один ip)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Xandry
Сообщения: 980
ОС: openSUSE

Почему не работает перенаправление

Сообщение Xandry »

Нахожусь в сети 192.168.0.0/24. На сервере 192.168.0.5 настроено перенаправление с 80-го порта на 192.168.0.2:80. На этом же сервере есть сетевые интерфейсы: enp1s9 - 192.168.128.1, enp1s9:VLAN - 82.112.48.130, enp2s10 - 172.16.12.20. При обращении по любому из этих ip должно действовать перенаправление на 192.168.0.2.
Но в данный момент, если я набираю в адресной строке браузера какой-либо из этих ip, то перенаправляет меня только с 192.168.0.5. Почему так?

Код: Выделить всё

gateway:~ # egrep -v ^# /etc/sysconfig/SuSEfirewall2 | uniq

FW_DEV_EXT="enp1s10"

FW_DEV_INT="enp1s9 enp1s9:VL enp1s9:VLAN enp2s0"

FW_DEV_DMZ=""

FW_ROUTE="yes"

FW_MASQUERADE="yes"

FW_MASQ_DEV=""

FW_MASQ_NETS=""

FW_NOMASQ_NETS=""

FW_PROTECT_FROM_INT="no"

FW_SERVICES_EXT_TCP="80"

FW_SERVICES_EXT_UDP=""

FW_SERVICES_EXT_IP=""

FW_SERVICES_EXT_RPC=""

FW_CONFIGURATIONS_EXT="sshd"

FW_SERVICES_DMZ_TCP="80"

FW_SERVICES_DMZ_UDP=""

FW_SERVICES_DMZ_IP="82.112.48.169"

FW_SERVICES_DMZ_RPC=""

FW_CONFIGURATIONS_DMZ=""

FW_SERVICES_INT_TCP=""

FW_SERVICES_INT_UDP=""

FW_SERVICES_INT_IP=""

FW_SERVICES_INT_RPC=""

FW_CONFIGURATIONS_INT=""

FW_SERVICES_DROP_EXT=""

FW_SERVICES_DROP_DMZ=""

FW_SERVICES_DROP_INT=""

FW_SERVICES_REJECT_EXT=""

FW_SERVICES_REJECT_DMZ=""

FW_SERVICES_REJECT_INT=""

FW_SERVICES_ACCEPT_EXT="172.16.12.20,tcp,80,80
82.195.11.1,tcp,53
82.195.11.25,tcp,53
82.195.11.26,tcp
80.78.106.26,tcp
172.16.12.147,tcp,3128
172.16.12.147,tcp,8080
212.75.150.57,tcp,25
82.112.48.130,tcp,80,80
192.168.128.1,tcp,80,80
5.199.192.169,tcp,80,80"

FW_SERVICES_ACCEPT_DMZ="82.112.48.130,tcp,80,80
192.168.128.1,tcp,80,80"

FW_SERVICES_ACCEPT_INT="82.112.48.130,tcp,80,80
192.168.128.1,tcp,80,80"

FW_SERVICES_ACCEPT_RELATED_EXT=""

FW_SERVICES_ACCEPT_RELATED_DMZ=""

FW_SERVICES_ACCEPT_RELATED_INT=""

FW_TRUSTED_NETS=""

FW_FORWARD="0/0,0/0"

FW_FORWARD_REJECT=""

FW_FORWARD_DROP=""

FW_FORWARD_MASQ="0/0,192.168.0.2,tcp,80,80,82.112.48.130
0/0,192.168.0.2,tcp,80,80,172.16.12.20
0/0,192.168.0.2,tcp,80,80,192.168.0.5
0/0,192.168.0.2,tcp,80,80,192.168.128.1"

FW_REDIRECT="192.168.128.1,192.168.0.2,tcp,80,80"

FW_LOG_DROP_CRIT="yes"

FW_LOG_DROP_ALL="no"

FW_LOG_ACCEPT_CRIT="yes"

FW_LOG_ACCEPT_ALL="no"

FW_LOG_LIMIT=""

FW_LOG=""

FW_KERNEL_SECURITY=""

FW_STOP_KEEP_ROUTING_STATE=""

FW_ALLOW_PING_FW=""

FW_ALLOW_PING_DMZ=""

FW_ALLOW_PING_EXT=""

FW_ALLOW_FW_SOURCEQUENCH=""

FW_ALLOW_FW_BROADCAST_EXT="no"

FW_ALLOW_FW_BROADCAST_INT="no"

FW_ALLOW_FW_BROADCAST_DMZ="no"

FW_IGNORE_FW_BROADCAST_EXT="yes"

FW_IGNORE_FW_BROADCAST_INT="no"

FW_IGNORE_FW_BROADCAST_DMZ="no"

FW_ALLOW_CLASS_ROUTING=""

FW_CUSTOMRULES=""

FW_REJECT=""

FW_REJECT_INT=""

FW_HTB_TUNE_DEV=""

FW_IPv6=""

FW_IPv6_REJECT_OUTGOING=""

FW_IPSEC_TRUST="no"

FW_ZONES=""

FW_ZONE_DEFAULT=''

FW_USE_IPTABLES_BATCH=""

FW_LOAD_MODULES="nf_conntrack_netbios_ns"

FW_FORWARD_ALWAYS_INOUT_DEV=""

FW_FORWARD_ALLOW_BRIDGING=""

FW_WRITE_STATUS=""

FW_RUNTIME_OVERRIDE=""

FW_LO_NOTRACK=""

FW_BOOT_FULL_INIT=""

Маршрутизация:

Код: Выделить всё

gateway:~ # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.0.1      0.0.0.0         UG    0      0        0 enp1s10
82.112.48.0     82.112.48.129   255.255.254.0   UG    10     0        0 enp1s9
82.112.48.128   0.0.0.0         255.255.255.252 U     0      0        0 enp1s9
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
172.16.0.0      0.0.0.0         255.255.0.0     U     0      0        0 enp1s10
172.31.48.0     192.168.0.10    255.255.255.255 UGH   0      0        0 enp2s0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 enp2s0
192.168.1.0     192.168.128.101 255.255.255.0   UG    0      0        0 enp1s9
192.168.2.0     192.168.128.102 255.255.255.0   UG    0      0        0 enp1s9
192.168.3.0     192.168.128.103 255.255.255.0   UG    0      0        0 enp1s9
192.168.128.0   0.0.0.0         255.255.255.0   U     0      0        0 enp1s9

iptables-save:

Код: Выделить всё

# Generated by iptables-save v1.4.19.1 on Tue Jun  3 12:17:41 2014
*mangle
:PREROUTING ACCEPT [1713538:1841978755]
:INPUT ACCEPT [425789:180894008]
:FORWARD ACCEPT [1285504:1660899487]
:OUTPUT ACCEPT [430803:198529061]
:POSTROUTING ACCEPT [1716168:1859432763]
-A PREROUTING -s 192.168.128.1/32 -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j MARK --set-xmark 0x1/0xffffffff
COMMIT
# Completed on Tue Jun  3 12:17:41 2014
# Generated by iptables-save v1.4.19.1 on Tue Jun  3 12:17:41 2014
*nat
:PREROUTING ACCEPT [26528:1847243]
:INPUT ACCEPT [15511:1028638]
:OUTPUT ACCEPT [19186:1260805]
:POSTROUTING ACCEPT [7803:454106]
-A PREROUTING -s 192.168.128.1/32 -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 80
-A PREROUTING -d 82.112.48.130/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A PREROUTING -d 172.16.12.20/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A PREROUTING -d 192.168.0.5/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A PREROUTING -d 192.168.128.1/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A POSTROUTING -o enp1s10 -j MASQUERADE
COMMIT
# Completed on Tue Jun  3 12:17:41 2014
# Generated by iptables-save v1.4.19.1 on Tue Jun  3 12:17:41 2014
*raw
:PREROUTING ACCEPT [1713538:1841978755]
:OUTPUT ACCEPT [430803:198529061]
-A PREROUTING -i lo -j CT --notrack
-A OUTPUT -o lo -j CT --notrack
COMMIT
# Completed on Tue Jun  3 12:17:41 2014
# Generated by iptables-save v1.4.19.1 on Tue Jun  3 12:17:41 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [422606:197453669]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT
-A INPUT -i enp1s9 -j input_int
-A INPUT -i enp2s0 -j input_int
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i enp1s9 -j forward_int
-A FORWARD -i enp2s0 -j forward_int
-A FORWARD -i enp1s10 -j forward_ext
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_ext -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-FORW " --log-tcp-options --log-ip-options
-A forward_ext -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i enp1s10 -o enp1s9 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i enp1s10 -o enp2s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_ext -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_ext -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_ext -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_ext -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -m pkttype --pkt-type multicast -j DROP
-A forward_ext -m pkttype --pkt-type broadcast -j DROP
-A forward_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_int -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-FORW " --log-tcp-options --log-ip-options
-A forward_int -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i enp1s9 -o enp1s10 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i enp2s0 -o enp1s10 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_int -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_int -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_int -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_int -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_int -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_int -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_int -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_int -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_int -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_int -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A forward_int -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A forward_int -m pkttype --pkt-type multicast -j DROP
-A forward_int -m pkttype --pkt-type broadcast -j DROP
-A forward_int -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -j reject_func
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 80 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 22 -j ACCEPT
-A input_ext -s 172.16.12.20/32 -p tcp -m tcp --sport 80 --dport 80 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 172.16.12.20/32 -p tcp -m tcp --sport 80 --dport 80 -j ACCEPT
-A input_ext -s 82.195.11.1/32 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 82.195.11.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A input_ext -s 82.195.11.25/32 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 82.195.11.25/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A input_ext -s 82.195.11.26/32 -p tcp -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 82.195.11.26/32 -p tcp -j ACCEPT
-A input_ext -s 80.78.106.26/32 -p tcp -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 80.78.106.26/32 -p tcp -j ACCEPT
-A input_ext -s 172.16.12.147/32 -p tcp -m tcp --dport 3128 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 172.16.12.147/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A input_ext -s 172.16.12.147/32 -p tcp -m tcp --dport 8080 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 172.16.12.147/32 -p tcp -m tcp --dport 8080 -j ACCEPT
-A input_ext -s 212.75.150.57/32 -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 212.75.150.57/32 -p tcp -m tcp --dport 25 -j ACCEPT
-A input_ext -s 82.112.48.130/32 -p tcp -m tcp --sport 80 --dport 80 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 82.112.48.130/32 -p tcp -m tcp --sport 80 --dport 80 -j ACCEPT
-A input_ext -s 192.168.128.1/32 -p tcp -m tcp --sport 80 --dport 80 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 192.168.128.1/32 -p tcp -m tcp --sport 80 --dport 80 -j ACCEPT
-A input_ext -s 5.199.192.169/32 -p tcp -m tcp --sport 80 --dport 80 -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -s 5.199.192.169/32 -p tcp -m tcp --sport 80 --dport 80 -j ACCEPT
-A input_ext -m limit --limit 3/min -m mark --mark 0x1 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-INext-ACC-REDIR " --log-tcp-options --log-ip-options
-A input_ext -m conntrack --ctstate NEW,RELATED,ESTABLISHED -m mark --mark 0x1 -j ACCEPT
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -j ACCEPT
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Tue Jun  3 12:17:41 2014
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 21488
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Почему не работает перенаправление

Сообщение Bizdelnick »

Xandry писал(а):
03.06.2014 08:25
есть сетевые интерфейсы: enp1s9 - 192.168.128.1, enp1s9:VLAN - 82.112.48.130, enp2s10 - 172.16.12.20.

Xandry писал(а):
03.06.2014 08:25
-A PREROUTING -d 82.112.48.130/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A PREROUTING -d 172.16.12.20/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A PREROUTING -d 192.168.0.5/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
-A PREROUTING -d 192.168.128.1/32 -i enp1s10 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80

Я бы вообще убрал указание интерфейса из правил.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще		в течение (часа)
новичок
нюанс
по умолчанию		приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Вернуться к началу
Xandry
Сообщения: 980
ОС: openSUSE

Re: Почему не работает перенаправление

Сообщение Xandry »

Bizdelnick писал(а):
03.06.2014 11:14
Я бы вообще убрал указание интерфейса из правил.

Дельное замечание. Интересно почему susefirewall создал правило с привязкой на один этот интерфейс и как его оттуда убрать теперь?
Спасибо сказали:
Вернуться к началу
Xandry
Сообщения: 980
ОС: openSUSE

Re: Почему не работает перенаправление

Сообщение Xandry »

В общем, так понял что susefirewall с отдельными интерфейсами не работает, только с категориями типа "внешние", "внутрение", "демилитаризованная зона". В случаях когда сетевых интерфейсов всего два и менее это довольно хорошо, но когда есть необходимость в том, чтобы правила действовали избирательно, а не на все внешние интерфейсы в целом, то это плохо, потому что гибкости настройки не хватает.
Остановил firewall в yast, сделал iptables-restore ~/файл_с_заранее_подготовленными_правилами
Работает как надо. Как времененное решение пойдёт.
Спасибо сказали:
Вернуться к началу
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: Почему не работает перенаправление

Сообщение McSim »

Да, файервол в сюсе не особенно выделяется наглядностью и удобностью, но все же есть инструменты для кастомизации, например имеется переменная в /etc/sysconfig/SuSEfirewall2

Код: Выделить всё

FW_CUSTOMRULES=”/etc/sysconfig/scripts/SuSEfirewall2-custom”

Это подсказка для дальнейшего изучения документации.
Если Ваша конфигурация не "типична" для SUSE, то проще, по моему мнению, скриптами настроить. Хотя, дело привычки...
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Hephaestus
Сообщения: 3728
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2

Re: Почему не работает перенаправление

Сообщение Hephaestus »

Xandry писал(а):
27.06.2014 08:22
Остановил firewall в yast, сделал iptables-restore ~/файл_с_заранее_подготовленными_правилами
Работает как надо. Как времененное решение пойдёт.
Почему временное? Вполне нормальное. Я на Дебе так же делаю.
В своё время я слез с Мандривы по той причине, что в Мандриве была графическая конфигурялка, надстроенная над Sharewall, надстроенным над iptables, надстроенным над ядром. Такого количества надстроек я не выдержал и сбежал в Ленинград Debian, где стал пользоваться iptables без всяких графических приблуд.
Подозреваю, что Susefirewall не сильно лучше аналога в Мандриве.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Вернуться к началу
Xandry
Сообщения: 980
ОС: openSUSE

Re: Почему не работает перенаправление

Сообщение Xandry »

Hephaestus писал(а):
01.07.2014 12:40
Xandry писал(а):
27.06.2014 08:22
Остановил firewall в yast, сделал iptables-restore ~/файл_с_заранее_подготовленными_правилами
Работает как надо. Как времененное решение пойдёт.
Почему временное? Вполне нормальное. Я на Дебе так же делаю.

Решение временное,поскольку сам шлюз временный. В качестве замены готовится Ideco ICS сертифицированный ФСТЭКом. :cool2:
Спасибо сказали:
Вернуться к началу
Аватара пользователя
McSim
Сообщения: 419
Статус: Экспериментатор
ОС: заGNU/Linux Debian

Re: Почему не работает перенаправление

Сообщение McSim »

идеко - отличное решение для ленивого админа )))
(это я не в обиду админу, это я в пользу идеко :rolleyes: )
Спасибо сказали:
Вернуться к началу

Вернуться в «Администрирование»