URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93243
[ Назад ]

Исходное сообщение
"iptables"
Отправлено ivan3iy , 08-Апр-12 00:28

Здравствуйте!
Проблема:
шлюз с dhcp и bind подключен к инету через pppoe со статическим адресом.
после перезагрузки, сервер перестает раздавать инет и не пускает к себе из внешней сети. на самом сервере инет работает.
после выполнения команды service iptables restart все начинает работать.
Куда копать?

Содержание

iptables,PavelR, 00:31 , 08-Апр-12
- iptables,ivan3iy, 00:52 , 08-Апр-12
  - iptables,PavelR, 07:56 , 08-Апр-12
  - iptables,Аноним, 09:53 , 09-Апр-12
iptables,Дядя_Федор, 11:11 , 08-Апр-12
- iptables,ivan3iy, 17:09 , 08-Апр-12
  - iptables,Дядя_Федор, 20:51 , 08-Апр-12
    - iptables,Дядя_Федор, 20:57 , 08-Апр-12
      - iptables,ivan3iy, 21:49 , 08-Апр-12
        
        iptables,ivan3iy, 22:00 , 08-Апр-12
        
        iptables,ivan3iy, 22:01 , 08-Апр-12
        
        iptables,Дядя_Федор, 08:33 , 09-Апр-12
        iptables,konst, 23:06 , 16-Апр-12
iptables,LSTemp, 19:26 , 27-Апр-12

Сообщения в этом обсуждении

"iptables"
Отправлено PavelR , 08-Апр-12 00:31

> Здравствуйте!
> Проблема:
> шлюз с dhcp и bind подключен к инету через pppoe со статическим
> адресом.
> после перезагрузки, сервер перестает раздавать инет и не пускает к себе из
> внешней сети. на самом сервере инет работает.
> после выполнения команды service iptables restart все начинает работать.
> Куда копать?
сравнить вывод iptables-save до "service iptables restart" и после.
Вот туда и копать.
Аналогичным образом проверить ip_forward, для верности.

"iptables"
Отправлено ivan3iy , 08-Апр-12 00:52

> сравнить вывод iptables-save до "service iptables restart" и после.
> Вот туда и копать.
> Аналогичным образом проверить ip_forward, для верности.
Перезагрузить сервер сейчас не могу, но посмотрел iptables.save в нем нет таблицы nat в которой у меня построутинг прописан - так и должно быть?

"iptables"
Отправлено PavelR , 08-Апр-12 07:56

>> сравнить вывод iptables-save до "service iptables restart" и после.
>> Вот туда и копать.
>> Аналогичным образом проверить ip_forward, для верности.
> Перезагрузить сервер сейчас не могу, но посмотрел iptables.save
> в нем нет таблицы nat в которой у меня построутинг прописан - так и должно
> быть?
Я не знаю. Ваша система, ваша конфигурация.
Учитывая, что вы заявляете, что "service iptables restart" решает проблему и всё всё-таки работает - то значит так и должно быть, да.
С другой стороны, как и где "у вас построутинг прописан" если нет таблицы nat в iptables.save - я понять не могу. Вот сами и разбирайтесь в этом колхозе.
// На всякий случай: знак "точка" и знак "минус" - это разные знаки.

"iptables"
Отправлено Аноним , 09-Апр-12 09:53

Правилила с натом применяются до поднятия ppoe подика. Смотри куда их прописываешь.

"iptables"
Отправлено Дядя_Федор , 08-Апр-12 11:11

> после перезагрузки, сервер перестает раздавать инет и не пускает к себе из
> внешней сети. на самом сервере инет работает.
После перезагрузки ЧЕГО? Самого сервера?

"iptables"
Отправлено ivan3iy , 08-Апр-12 17:09

> После перезагрузки ЧЕГО? Самого сервера?
Да.
iptables очистил от всех правил фильтрации, осталась только строка
*nat
-A POSTROUTING -o ppp0 -j SNAT --to-source 1.2.3.4
сервер без экспериментов пока еще. Centos 5.7, установил bind и dhcp.
Предполагаю что проблема в том что изначально я настроил фаервол через setup, а потом поправил таблицу и сохранил.

"iptables"
Отправлено Дядя_Федор , 08-Апр-12 20:51

> iptables очистил от всех правил фильтрации, осталась только строка
> *nat
> -A POSTROUTING -o ppp0 -j SNAT --to-source 1.2.3.4
А разрешать прохождение пакетов в FORWARD уже не принято? :) Или Вы просто эту таблицу не привели? Я не помню точно, как в ЦентОси, а в Дженте обычно формируют некий файл-шаблон для iptables. При помощи его загоняют все нужные правила. Потом выполняют /etc/init.d/iptables save - и все правила сохраняются в /var/lib/iptables/rules-save (хотя и имя файла и то, будут ли правила сохраняться при остановке iptables - зависит от параметров /etc/conf.d/iptables). И, собственно, все. После перезагрузки iptables "подсасывает" эти правила. Разумеется, если Вы в процессе работы внесете потом изменения в правила и не выполните приведенную выше команду - изменений при перезагрузке не будет. Покопайтесь в конфигурационных файлах в /etc для iptables - наверняка в ЦентОси там много чего задать можно. У меня есть тут в стороне не свои 3 сервера с CentOS - но сейчас смотреть что там и как - лениво. Общий принцип на примере другого дистрибутива я изложил.

"iptables"
Отправлено Дядя_Федор , 08-Апр-12 20:57

Глянул. Ну вот жыж - файл /etc/sysconfig/iptables-config:
-------------
# Save current firewall rules on stop.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

"iptables"
Отправлено ivan3iy , 08-Апр-12 21:49

> Глянул. Ну вот жыж - файл /etc/sysconfig/iptables-config:
> -------------
> # Save current firewall rules on stop.
> # Value: yes|no, default: no
> # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
> # (e.g. on system shutdown).
> IPTABLES_SAVE_ON_STOP="no"
форвард пакетов включен.
Я сегодня обратил внимание на iptables-config, :) Завтра проверю этот раздел и отпишусь. Спасибо!

"iptables"
Отправлено ivan3iy , 08-Апр-12 22:00

Вообще у меня два сервера 1 CentOS 5.5 и 5.7
конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на 5.7 через ppp0

"iptables"
Отправлено ivan3iy , 08-Апр-12 22:01

> Вообще у меня два сервера 1 CentOS 5.5 и 5.7
> конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на
> 5.7 через ppp0
на 5.5 после перезагрузки все работает на 5.7 нет

"iptables"
Отправлено Дядя_Федор , 09-Апр-12 08:33

> на 5.5 после перезагрузки все работает на 5.7 нет
Смотрим содержимое указанного выше файла после перезагрузки, смотрим - запустилась ли служба iptables после перезагрузки. Если не запустилась - смотрим причину незапуска (возможно, какие-то заморочки ppp0).

"iptables"
Отправлено konst , 16-Апр-12 23:06

>> Вообще у меня два сервера 1 CentOS 5.5 и 5.7
>> конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на
>> 5.7 через ppp0
> на 5.5 после перезагрузки все работает на 5.7 нет
service iptables restart
Эта команда считывает данные из:
/etc/sysconfig/iptables
посмотреть запускается ли iptables при старте системы (ntsysv)
посмотреть содержимое /etc/rc.local (м.б. оттуда скрипт запускается)

"iptables"
Отправлено LSTemp , 27-Апр-12 19:26

> Здравствуйте!
> Проблема:
> шлюз с dhcp и bind подключен к инету через pppoe со статическим
> адресом.
> после перезагрузки, сервер перестает раздавать инет и не пускает к себе из
> внешней сети. на самом сервере инет работает.
> после выполнения команды service iptables restart все начинает работать.
> Куда копать?
похоже что бинд стартует до поднятия динамического интерфейса в инет и соотвественно не может привязаться к нему. к тому же Вы используете форвард на ДНС провайдера (или другой внешний ДНС).
- попросите у провайдера локальный адрес его ДНС, который может быть использован до поднятия PPP, пропишите роуты на него ч/з физический интерфейс и делайте форвард своего ДНС туда
- попробуйте опцию "interface-interval 0;" в named.conf.
https://www.isc.org/software/bind/documentation
interface-interval The server will scan the network interface list every interface-interval minutes. The
default is 60 minutes. The maximum value is 28 days (40320 minutes). If set to 0, interface scanning
will only occur when the configuration file is loaded. After the scan, the server will begin listening
for queries on any newly discovered interfaces (provided they are allowed by the listen-on
configuration), and will stop listening on interfaces that have gone away.
PS
в упор не втыкаю, как перезагрузка iptables могла бы помочь в прогнозироемом мной случае, разче что у Вас не чистый NAT....