iptables

martyr_ · Сообщение **martyr_** » 04.12.2006 23:46

Вот мои правила iptables. Но с локальных компов не пускает в инет. Хотя сейчас должен пускать с этого 192.168.250.10. Что я делаю не так? Внутренний интерфейс 192.168.250.30 и внешний 192.168.3.26 пингуются нормально, а дальше DROP

Table: filter
Chain FORWARD (policy DROP)
target prot opt source destination
REJECT tcp -- 10.0.0.0/24 0.0.0.0/0 tcp dpts:8000:8888 reject-with icmp-port-unreachable
REJECT tcp -- 10.0.0.0/24 0.0.0.0/0 tcp dpts:2831:3128 reject-with icmp-port-unreachable
free all -- 0.0.0.0/0 192.168.250.10
global all -- 0.0.0.0/0 192.168.250.10
city all -- 0.0.0.0/0 192.168.250.10

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain city (1 references)
target prot opt source destination
city_ all -- 0.0.0.0/0 0.0.0.0/0

Chain city_ (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.250.1
ACCEPT all -- 0.0.0.0/0 192.168.250.2
ACCEPT all -- 0.0.0.0/0 192.168.250.3
ACCEPT all -- 0.0.0.0/0 192.168.250.4
ACCEPT all -- 0.0.0.0/0 192.168.250.5
ACCEPT all -- 0.0.0.0/0 192.168.250.6
ACCEPT all -- 0.0.0.0/0 192.168.250.7
ACCEPT all -- 0.0.0.0/0 192.168.250.8
ACCEPT all -- 0.0.0.0/0 192.168.250.9
ACCEPT all -- 0.0.0.0/0 192.168.250.10
ACCEPT all -- 0.0.0.0/0 192.168.250.11
ACCEPT all -- 0.0.0.0/0 192.168.250.12
ACCEPT all -- 0.0.0.0/0 192.168.250.13
ACCEPT all -- 0.0.0.0/0 192.168.250.14
ACCEPT all -- 0.0.0.0/0 192.168.250.15
ACCEPT all -- 0.0.0.0/0 192.168.250.17
ACCEPT all -- 0.0.0.0/0 192.168.250.16

Chain free (1 references)
target prot opt source destination
free_ all -- 192.168.3.0/24 0.0.0.0/0
free_ all -- 195.151.182.182 0.0.0.0/0
free_ all -- 82.195.27.0/24 0.0.0.0/0
free_ all -- 195.151.30.0/24 0.0.0.0/0

Chain free_ (4 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.250.1
ACCEPT all -- 0.0.0.0/0 192.168.250.2
ACCEPT all -- 0.0.0.0/0 192.168.250.3
ACCEPT all -- 0.0.0.0/0 192.168.250.4
ACCEPT all -- 0.0.0.0/0 192.168.250.5
ACCEPT all -- 0.0.0.0/0 192.168.250.6
ACCEPT all -- 0.0.0.0/0 192.168.250.7
ACCEPT all -- 0.0.0.0/0 192.168.250.8
ACCEPT all -- 0.0.0.0/0 192.168.250.9
ACCEPT all -- 0.0.0.0/0 192.168.250.10
ACCEPT all -- 0.0.0.0/0 192.168.250.11
ACCEPT all -- 0.0.0.0/0 192.168.250.12
ACCEPT all -- 0.0.0.0/0 192.168.250.13
ACCEPT all -- 0.0.0.0/0 192.168.250.14
ACCEPT all -- 0.0.0.0/0 192.168.250.15
ACCEPT all -- 0.0.0.0/0 192.168.250.17
ACCEPT all -- 0.0.0.0/0 192.168.250.16

Chain global (1 references)
target prot opt source destination
global_ all -- 0.0.0.0/0 0.0.0.0/0

Chain global_ (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.250.1
ACCEPT all -- 0.0.0.0/0 192.168.250.2
ACCEPT all -- 0.0.0.0/0 192.168.250.3
ACCEPT all -- 0.0.0.0/0 192.168.250.4
ACCEPT all -- 0.0.0.0/0 192.168.250.5
ACCEPT all -- 0.0.0.0/0 192.168.250.6
ACCEPT all -- 0.0.0.0/0 192.168.250.7
ACCEPT all -- 0.0.0.0/0 192.168.250.8
ACCEPT all -- 0.0.0.0/0 192.168.250.9
ACCEPT all -- 0.0.0.0/0 192.168.250.10
ACCEPT all -- 0.0.0.0/0 192.168.250.11
ACCEPT all -- 0.0.0.0/0 192.168.250.12
ACCEPT all -- 0.0.0.0/0 192.168.250.13
ACCEPT all -- 0.0.0.0/0 192.168.250.14
ACCEPT all -- 0.0.0.0/0 192.168.250.15
ACCEPT all -- 0.0.0.0/0 192.168.250.17
ACCEPT all -- 0.0.0.0/0 192.168.250.16

Table: mangle
Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Table: nat
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

stannum · Сообщение **stannum** » 05.12.2006 00:16

Не должен. У тебя же разрешены только в ходящие подключения к 192.168.250.10, а где исходящие ?

martyr_ · Сообщение **martyr_** » 05.12.2006 00:18

Дак поидее он DROPит всех кроме этих или я не прав?
Table: filter
Chain FORWARD (policy DROP)
target prot opt source destination
REJECT tcp -- 10.0.0.0/24 0.0.0.0/0 tcp dpts:8000:8888 reject-with icmp-port-unreachable
REJECT tcp -- 10.0.0.0/24 0.0.0.0/0 tcp dpts:2831:3128 reject-with icmp-port-unreachable
free all -- 0.0.0.0/0 192.168.250.10
global all -- 0.0.0.0/0 192.168.250.10
city all -- 0.0.0.0/0 192.168.250.10

А тут появляются те компы, на которые я выставляю инет, т.е. разрешаю. Их список ниже с 1 по 17

stannum · Сообщение **stannum** » 05.12.2006 00:27

смотри:
1. у тебя форвардяца тока пакеты адресованные для 192.168.250.10, надо и в обратку думаеца,
2. цепочки: global и city никогда не сработают - всегда будет срабатывать free
неверно у тебя тут что-то... а именно многое. надо ищо раз подумать, хорошо подумать.

martyr_ · Сообщение **martyr_** » 05.12.2006 00:34

stannum писал(а): ↑
05.12.2006 00:27
смотри:
1. у тебя форвардяца тока пакеты адресованные для 192.168.250.10, надо и в обратку думаеца,
2. цепочки: global и city никогда не сработают - всегда будет срабатывать free
неверно у тебя тут что-то... а именно многое. надо ищо раз подумать, хорошо подумать.

1. т.е. пакеты уходят, но не приходят обратно или как?
2. free поидее должно срабатывать только при доступе к этим адресам:

Chain free (1 references)
target prot opt source destination
free_ all -- 192.168.0.0/24 0.0.0.0/0
free_ all -- 195.151.182.182 0.0.0.0/0
free_ all -- 82.195.27.0/24 0.0.0.0/0
free_ all -- 195.151.30.0/24 0.0.0.0/0

stannum · Сообщение **stannum** » 05.12.2006 00:48

2. free поидее должно срабатывать только при доступе к этим адресам

дейтвительно, что это я?

1. т.е. пакеты уходят, но не приходят обратно

именно
тебе надо еще добавить правило для ESTABLISHED,RELATED соединений
а source и destination поменять местами:

Код: Выделить всё

Table: filter
Chain FORWARD (policy DROP)
target prot opt source destination
free all -- 192.168.250.10 0.0.0.0/0
global all -- 192.168.250.10 0.0.0.0/0
city all -- 192.168.250.10 0.0.0.0/0

и убедись чтобы /proc/sys/net/ipv4/ip_forward или /proc/sys/net/ipv4/conf/default/forwarding содержал "1"

martyr_ · Сообщение **martyr_** » 05.12.2006 02:22

stannum писал(а): ↑
05.12.2006 00:48
тебе надо еще добавить правило для ESTABLISHED,RELATED соединений
а source и destination поменять местами:
Код: Выделить всё
Table: filter
Chain FORWARD (policy DROP)
target prot opt source destination
free all -- 192.168.250.10 0.0.0.0/0
global all -- 192.168.250.10 0.0.0.0/0
city all -- 192.168.250.10 0.0.0.0/0
и убедись чтобы /proc/sys/net/ipv4/ip_forward или /proc/sys/net/ipv4/conf/default/forwarding содержал "1"

ESTABLISHED,RELATED прописал, форвардинг и так прописан в 1.
А вот местами поменять я думаю не получится, т.к. эта база берется из MySql сервера, а там все правильно прописано. Когда убераешь все правила и прописыаешь NAT, то все норм работает, только инет раздает на все компы, чего я и не хочу делать...

stannum · Сообщение **stannum** » 05.12.2006 08:11

ты пойми source - это адрес источника ip-пакета, а destination - адрес приемника - а у тебя все наоборот и не надо говорить, что в базе все правильно, факт налицо!

Добавлено: О каком нате ты говоришь, когда у тебя серые адреса, тебе нат не нужен, достаточно форвардить пакеты

unixforum.org

iptables

iptables

Re: iptables

Re: iptables

Re: iptables

Re: iptables

Re: iptables

Re: iptables

Re: iptables