пакеты глушатся с отключенным iptables (ничего не понимаю)

[chelya]

Собственно ситуация:
комп с Мандривой (мой) подключен к интернету. через него туда-же идет комп под управлением Win2003.
Комп с Мандривой не пропускает в инет пакеты с почтой (25 и 110 порты), а также битторентовые пакеты.
iptables настраивал через guarddog, ибо разобраться с тем, как строить цепочки ручками не сумел и не имел (ровно как и сейчас не имею) большого количества времени... посему прошу не бить ногами по голове и не отсылать к ману по iptables.
в гуарддоге установлено так, что с интерфейса eth1 (через него подключен комп с виндой, и собственно этому интерфейсу открыты вообще все порты), и на выход в инет пакеты с 25 и 110 портов должны пропускаться...
С самого компа с Мандривой почта как уходит, так и принимается и битторент вполне нормально качается....
В опщем я мучался с настройкой гуарддога пока не попробовал вообще остановить iptables... И вот тут в логе было обнаружено самое интересное...
Пакеты ВСЕ РАВНО блокировались....
Делаю /etc/init.d/iptables stop пакеты все равно не пропускаются с компа с виндой в инет, а в логе идет:

Jul 9 02:29:53 localhost iptables: Сбрасываются все цепочки: succeeded
Jul 9 02:29:53 localhost iptables: Удаляются цепочки, определенные пользователем: succeeded
Jul 9 02:29:53 localhost iptables: Встроенные цепочки сбрасываются на политику по умолчанию - ACCEPT succeeded
Jul 9 02:30:48 localhost kernel: DROPPED IN=eth1 OUT=ppp0 SRC=192.168.0.10 DST=68.205.32.116 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=690 DF PROTO=TCP SPT=1599 DPT=14597 SEQ=209110958 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)

Вот, собственно и спрашивается два вопроса...
1. Как это может быть
2. Как с этим бороться
?

[VisualN]

Скрипт /etc/init.d/iptables лишь сохраняет и восстанавливает правила iptables при перезагрузке. Сам фаирвол остановить нельзя т.к. он является частью ядра.
Если хочешь что бы он не блокировал пакеты - разреши их.

[Alexxx]

iptables настраивал через guarddog
В опщем я мучался с настройкой гуарддога пока не попробовал вообще остановить iptables
Делаю /etc/init.d/iptables stop

А зачем так? Юзаешь guarddog, так и отключай в нём самом. Помойму так будет корректней.

P.S. А ешё помимо guarddog существует guidedog который поможет тебе разрулить роутинг.

[Sapphire]

Встроенные цепочки сбрасываются на политику по умолчанию - ACCEPT succeeded - хм... возможно iptables здесь и не причём... чесно не помню, но попробуй потыкать selinux... какие-то траблы у меня с ним были

[chelya]

Alexxx А роутинг-то мне, собственно не нужен... Пакеты с компа с виндой проходят через комп с Линуском и напрямую выходят в инет... Переадресация на другие порты или сервера не нужна... Единственное что, стоит сквид, исключительно с целью кэширования... И собственно HTTP, FTP и все остальное, что идет через проксю, работает так, как надо... А вот с мылом и торрентами - проблемы...

Sapphire Вот и у меня подозрение, что iptables может быть не причем.... Во всяком случае в guarddog'е все порты, которые нужны открыты... А гуарддог - он как я понимаю ничто более, чем GUI для iptables.. Но вот где копать я понять не могу....

[Sleeping Daemon]

Alexxx А роутинг-то мне, собственно не нужен... Пакеты с компа с виндой проходят через комп с Линуском и напрямую выходят в инет... Переадресация на другие порты или сервера не нужна... Единственное что, стоит сквид, исключительно с целью кэширования... И собственно HTTP, FTP и все остальное, что идет через проксю, работает так, как надо... А вот с мылом и торрентами - проблемы...

Sapphire Вот и у меня подозрение, что iptables может быть не причем.... Во всяком случае в guarddog'е все порты, которые нужны открыты... А гуарддог - он как я понимаю ничто более, чем GUI для iptables.. Но вот где копать я понять не могу....

Интересно, если машинка с виндой имеет интранетовский адрес, то как она попадёт в инет без маскардинга, если не исаользуется прокси?

[SashaAl]

а айпифорвардинг включен?

[Crazy]

хоть покажы что выдает
iptables -L -t filter
iptables -L -t nat

[chelya]

Интересно, если машинка с виндой имеет интранетовский адрес, то как она попадёт в инет без маскардинга, если не исаользуется прокси?

а сквид разве не прокси?

Crazy
см. приклепленный файл.

[Crazy]

Единственные цепочки которые могуд убивать пакеты это logdrop,logdrop2,logreject,logreject2.
Попробуй удалить все цепочки в filter, поставить правила по умолчани
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
и посмотреть работает или нет, если не работает то может дело не в iptables
Смущают вот эти строчки
ACCEPT all -- 192.168.1.1 192.168.1.255
ACCEPT all -- 192.168.0.1 192.168.0.255

[chelya]

попробовал....
не работает.....
где (и как) еще можно ковырять?...

[Sleeping Daemon]

Интересно, если машинка с виндой имеет интранетовский адрес, то как она попадёт в инет без маскардинга, если не исаользуется прокси?

а сквид разве не прокси?

Прокси. Только pop, imap, smtp через сквид не работают.

[McLeod095]

Интересно, если машинка с виндой имеет интранетовский адрес, то как она попадёт в инет без маскардинга, если не исаользуется прокси?

а сквид разве не прокси?

Прокси. Только pop, imap, smtp через сквид не работают.

Было же уже сказано что дело в сквиде. через него все будет ходить нормально т.к. от нее запросы посылаются от имени машины под линем. все остальное что идет не через него не бедет ходить т.к. я понимаю ты используешь один прямой ип а винду пускаешь через шлюз. вот и настраивай его как шлюз.

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
это надо обязавтельно прописать на время тестов. потом (пишу по руководству к iptables это может сразу и не подойти зато разберешься) надо указать ему что делать с пакетами которые проходят через него.
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source твой внешний ип
или такесли ип получаешь по DHCP
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE
точные правила писать не буду некогда да и не зачем это, в каждой ситуации свои проблемы.

[Electron]

Прочитал я правила фаерволла... А тебе куда столько? Делаем так:

Код: Выделить всё

#echo > /etc/services/iptables

Потом вот так:

Код: Выделить всё

#echo 1 > /proc/sys/net/ipv4

А теперь так:

Код: Выделить всё

#iptables -A POSTROUTING -t nat -j MASQUERADE

Должно работать.

[chelya]

McLeod095
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

не дает желаемого эффекта... комп с виндой все равно НЕ может соединиться ни с поп3 ни смтп серверами... ровно как и не качает торренты... и дело, судя по всему не в iptables... но вот в чем тогда?

[ety]

могу посоветовать shorewall, она в мандривке по дефолту стоит, и может настроить автоматом практически все

к примеру, что-бы дать доступ своим подсеткам к инету и локальной сети провайдера:

1) добавить "dmz $FW ACCEPT" в /etc/shorewall/policy
2) для каждого маскируемого интефэйса (eth/ppp/usb), добавить "dmz имя_маскируемого_интерфэйса - routeback" в /etc/shorewall/interfaces
3) для каждого внешенго интефэйса (к которому мы даем доступ) добавить "имя_внешнего_интерфэйса имя_маскирумого_интерфэса"
4) включить ip forwarding в /etc/shorewall/shorewall.conf

[chelya]

ety
я пакет shorewall снес... конечно можно его снова поставить, но вряд-ли он поможет на данном этапе...глушит-то пакеты явно не он (поскольку его нет),а мне сейчас надо разобраться кто-же глушит пакеты... к тому-же, могу и ошибаться, но shorewall это тоже лишь одна из утилит для управления все теми-же iptables... а дело, как я понимаю, отнюдь не в них, поскольку после того, как были разрашены все соединенияя в iptables, все равно эффекта это не принесло...

[Sleeping Daemon]

McLeod095
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

не дает желаемого эффекта... комп с виндой все равно НЕ может соединиться ни с поп3 ни смтп серверами... ровно как и не качает торренты... и дело, судя по всему не в iptables... но вот в чем тогда?

А tcpdump ом посмотреть куда пакеты рулят?

[McLeod095]

McLeod095
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

не дает желаемого эффекта... комп с виндой все равно НЕ может соединиться ни с поп3 ни смтп серверами... ровно как и не качает торренты... и дело, судя по всему не в iptables... но вот в чем тогда?

А правило прописал форвардинга пакетов

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source твой внешний ип

или это

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE

попробую объяснить на пальцах.
у тебя стоит гейт на линухе с 2 умя интерфейсами (eth0, eth1).
eth0 это твой инетовский интерфейс и пусть будет с айпишником 195.145.15.5
eth1 это интерфейс который смотрит в твою сеть с адресом 192.168.1.0/24 а айпи на нем 192.168.1.1/24
правилом
iptables -P FORWARD ACCEPT
ты разрешаешь проходит пакетам через гейт куда угодно. Машина с виндой которая к примеру имеет адрес 192.168.1.2/24 отсылает пакеты через гейт и гейт их пропускает дальше, а так как при этом он ничего с этими пакетамит не делает а просто тупо их пересылает (при этом меняется только TTL) то тот комп к которому идет запрос просто напросто не знает что это за адрес такой 192.168.1.2/24 и просто дропит их и все поэтому твоя машина с виндой и не получает ответа.
Тебе в правилах фаирвола надо четко указать что делать с пакетами идущими из твоей сети во внешнюю.

[chelya]

McLeod095
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE (внешний айпи - динамический, Стрим, модем подключен через eth0, а сеть через eth1)

соответственно, тоже пробовал... я имел в виду что все сделал по твоему посту, просто скопировал только эти три строчки.... но все равно не работает...

тот комп к которому идет запрос просто напросто не знает что это за адрес такой 192.168.1.2/24 и просто дропит их и все поэтому твоя машина с виндой и не получает ответа

так ву том то и дело, что дропит эти пакеты не внешняя машина, а мой комп... во всяком случае, если верить логам...

[McLeod095]

McLeod095
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE (внешний айпи - динамический, Стрим, модем подключен через eth0, а сеть через eth1)

соответственно, тоже пробовал... я имел в виду что все сделал по твоему посту, просто скопировал только эти три строчки.... но все равно не работает...

тот комп к которому идет запрос просто напросто не знает что это за адрес такой 192.168.1.2/24 и просто дропит их и все поэтому твоя машина с виндой и не получает ответа

так ву том то и дело, что дропит эти пакеты не внешняя машина, а мой комп... во всяком случае, если верить логам...

а в настройках модема нельзя указать статику??????
если можно то укажи статику на нем.
1 не будет проблем с айпи.
2 при NAT не будет загрузки на машину т.к. SNAT не требует много процессорного времени и памяти в отличии от MASQUERADE.

и ставь
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source

потом если не будет ходить смотри логи в tcpdump на обоих интерфейсах.

Да и еще попробуй такое правило сначало
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE где eth0 интерфейс к модему. Просто щас открыл свой старый rc.firewall и посмотрел у меня так во всяком случае работало при подключении по PPTP.

[chelya]

Все... Я разобрался в чем дело...
Я просто очень долго тупил, ковыряясь в Линуксе, вместо того, чтобы проверить всего одну вещь в винде...
В линуксе айпишник виндовой машине назначался через DHCP... Сквид работал со всей подсетью...
А в винде стоял устанвленный статически айпишник 192.168.0.10 (блин, сам я точно ставил "получать автоматически", надо девушке объяснить, что она не права)... Вот и получалось, что через сквид пакеты идут, поскольку он работал со всей подсетью, включая ...0.10, а из-за несоответствия айпишника назначаемого DHCP и забитого в виндовой машине, все что шло не через сквид - глушилось...

Приношу всем извинения за то, что напряг всех... И спасибо за то, что откликнулись...