URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3779
[ Назад ]
Исходное сообщение
"IPTABLES пинги и ходят"
Отправлено YuroN , 07-Май-08 14:58 
есть сервер раздающий интернет eth0 локалка eth1 инет
интернет работает, пользователи работают
вообщем проблема такова: не ходят пинги из локальной сети и нтернет
причем из сервера нормально пингует и интерфейсі все пингуются.

cat  /etc/iptables.conf
# Generated by iptables-save v1.3.5 on Wed Apr 25 11:15:11 2007
*filter
:INPUT ACCEPT [2429:1060423]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2830:1264752]
:FLAME - [0:0]
:ST_NAT - [0:0]
:TZ_NAT - [0:0]
:ST_DMZ - [0:0]
-A INPUT -s ! <инет_адрес> -d <инет_адрес>  -p tcp -m tcp --dport 80 -j DROP
#-A INPUT -s ! <инет_адрес> -d <инет_адрес>  -p tcp -m tcp --dport 443 -j DROP
#-A INPUT -d 82.144.205.41 -p tcp -m tcp --dport 389 -j ACCEPT
#-A INPUT -d <инет_адрес> -p udp -m udp --dport 389 -j ACCEPT
# dlya luganskogo filiala (provayder rubit 25 port)
#-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 2525 -j ACCEPT
#-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 2525 -j REDIRECT --to-ports 25
# ------------------------
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 5900:5909 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 5800:5909 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 6000:6009 -j DROP
#-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 21 -j DROP
#-A INPUT -s ! 192.168.0.0/24  -d <инет_адрес>  -p tcp -m tcp --dport 80 -j DROP
#-A INPUT -d <инет_адрес>  -p tcp -m tcp --dport 80 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 389 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 2000 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 53 -j DROP
-A INPUT -d <инет_адрес> -p udp -m udp --dport 53 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 143 -j DROP
-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 993 -j DROP
#-A INPUT -d <инет_адрес> -p tcp -m tcp --dport 995 -j DROP
#-A INPUT -d <инет_адрес> -p icmp -m icmp -j DROP
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j FLAME
-A FORWARD -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 5190 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 110 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 123 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 82 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 81 -j ACCEPT

#utel.net.ua - mail
-A FORWARD -s 0.0.0.0/0.0.0.0 -d 213.186.112.2 -j ACCEPT
#1C
#-A FORWARD -s 192.168.0.100 -p tcp -m tcp --dport 25 -j ACCEPT
#-A FORWARD -d 192.168.0.100 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.100 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.100 -i eth1 -j ACCEPT
#
-A FORWARD -s 192.168.0.193 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.193 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.195 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.195 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.75 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.75 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.147 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.123 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.147 -i eth1 -j ACCEPT

-A FORWARD -s 192.168.0.21 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.21 -i eth1 -j ACCEPT

-A FORWARD -s 192.168.0.145 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.145 -i eth1 -j ACCEPT


-A FORWARD -s 192.168.0.29 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.29 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.2.4 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.4 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.2.20 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.20 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.2.15 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.2.15 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.156 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.156 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.163 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.163 -i eth1 -j ACCEPT


-A FORWARD -s 192.168.0.186 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.186 -i eth1 -j ACCEPT

#buhgalter Enis
-A FORWARD -s 192.168.0.18 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.18 -i eth1 -j ACCEPT
#zaharchenko
-A FORWARD -s 192.168.0.30 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.30 -i eth1 -j ACCEPT
#mtsbu
-A FORWARD -s 192.168.0.122 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.122 -i eth1 -j ACCEPT
#ubytki
-A FORWARD -s 192.168.0.248 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.248 -i eth1 -j ACCEPT
#dev_server
-A FORWARD -s 192.168.0.104 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.104 -i eth1 -j ACCEPT
#yaroslav_galeckiy
-A FORWARD -s 192.168.0.220 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.220 -i eth1 -j ACCEPT
#new_director IT
#
-A FORWARD -s 192.168.0.22 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.22 -i eth1 -j ACCEPT
#d_igolnikov
-A FORWARD -s 192.168.0.25 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.25 -i eth1 -j ACCEPT
# vremenno
#-A FORWARD -s 192.168.0.3 -i eth0 -j ACCEPT
#-A FORWARD -d 192.168.0.3 -i eth1 -j ACCEPT
#
#timoshevskiy
-A FORWARD -s 192.168.0.27 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.27 -i eth1 -j ACCEPT
#shkolna
-A FORWARD -s 192.168.0.38 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.38 -i eth1 -j ACCEPT
#bank
-A FORWARD -s 192.168.0.169 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.169 -i eth1 -j ACCEPT
#s-service
-A FORWARD -s 192.168.0.10 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.10 -i eth1 -j ACCEPT
#
#Radukin
-A FORWARD -s 192.168.0.111 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.111 -i eth1 -j ACCEPT
#HODC
-A FORWARD -s 192.168.0.1 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.1 -i eth1 -j ACCEPT
####################################################
-A FORWARD -s 10.0.0.0/16 -i eth0 -j ACCEPT
-A FORWARD -d 10.0.0.0/16 -i eth1 -j ACCEPT
####################################################

#karbone
-A FORWARD -s 192.168.0.99 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.99 -i eth1 -j ACCEPT
#!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! удалить срочно!
-A FORWARD -s 192.168.0.239 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.239 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.161 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.161 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.90 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.90 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.119 -i eth0 -j ACCEPT
-A FORWARD -d 192.168.0.119 -i eth1 -j ACCEPT
#!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
#
#-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
#-A FORWARD -d 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT
#-A FORWARD -s 192.168.2.0/255.255.255.0 -i eth0 -j ACCEPT
#-A FORWARD -d 192.168.2.0/255.255.255.0 -i eth1 -j ACCEPT
-A ST_NAT -p icmp -j ACCEPT
-A TZ_NAT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
#
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
-A INPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT
#-A INPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT
#-A OUTPUT -p icmp -s 0/0 -d 0/0 -j ACCEPT
#-A FORWARD -p icmp -s 0/0 -d 0/0 -j ACCEPT
#
COMMIT
# Completed on Wed Apr 25 11:15:11 2007
# Generated by iptables-save v1.3.5 on Wed Apr 25 11:15:11 2007
*nat
:PREROUTING ACCEPT [750:41466]
:POSTROUTING ACCEPT [168:10189]
:OUTPUT ACCEPT [168:10189]
:FLAME - [0:0]
:ST_NAT - [0:0]
:TZ_NAT - [0:0]
:ST_DMZ - [0:0]
-A PREROUTING -p icmp -j ACCEPT
-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 8090 -j DNAT --to-destination 192.168.0.100:80
#-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.195
#-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.0.104
#
# squid
-A PREROUTING -d 192.168.0.254 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
#smtp
-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 8025 -j REDIRECT --to-ports 25
#
#-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 1055
#-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 8080
#
-A POSTROUTING -p icmp -j ACCEPT
-A POSTROUTING -s 192.168.0.100 -o eth1 -j ST_DMZ
-A POSTROUTING -d 192.168.0.100 -o eth0 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j ST_NAT
-A POSTROUTING -d 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o eth1 -j TZ_NAT
-A POSTROUTING -d 192.168.2.0/255.255.255.0 -o eth0 -j ACCEPT
##################
-A POSTROUTING -s 10.0.0.0/255.255.0.0 -o eth1 -j TZ_NAT
-A POSTROUTING -d 10.0.0.0/255.255.0.0 -o eth0 -j ACCEPT

##################
-A FLAME -p tcp -m tcp --dport 445 -j DROP
-A FLAME -p udp -m udp --sport 135:139 -j DROP
-A FLAME -p udp -m udp --dport 135:139 -j DROP
-A ST_NAT -p tcp -j SNAT --to-source <инет_адрес>
-A ST_NAT -p udp -j SNAT --to-source <инет_адрес>
-A ST_NAT -p icmp -j SNAT --to-source <инет_адрес>
-A ST_DMZ -p tcp -j SNAT --to-source <инет_адрес>
-A ST_DMZ -p udp -j SNAT --to-source <инет_адрес>
-A ST_DMZ -p icmp -j SNAT --to-source <инет_адрес>
-A TZ_NAT -p tcp -j SNAT --to-source <инет_адрес>
-A TZ_NAT -p udp -j SNAT --to-source <инет_адрес>
-A TZ_NAT -p icmp -j SNAT --to-source <инет_адрес>


COMMIT
# Completed on Wed Apr 25 11:15:11 2007


что сделать чтобы разрешить пинги на внешние сайты?

Содержание
Сообщения в этом обсуждении
"IPTABLES пинги и ходят"
Отправлено reader , 07-Май-08 15:45 
>[оверквотинг удален]
># squid
>-A PREROUTING -d 192.168.0.254 -p tcp -m tcp --dport 80 -j ACCEPT
>
>-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 8080
>-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT
>--to-ports 8080
>#smtp
>-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 8025 -j REDIRECT --to-ports 25
>#

1
>#-A PREROUTING -d <инет_адрес> -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 1055
>#-A PREROUTING -s 192.168.2.0/255.255.255.0 -p tcp -m tcp --dport 21 -j REDIRECT
>--to-ports 8080
>#
>-A POSTROUTING -p icmp -j ACCEPT

-A POSTROUTING -p icmp -j SNAT --to-source <инет_адрес>

а если изменить?

>[оверквотинг удален]
>-A TZ_NAT -p tcp -j SNAT --to-source <инет_адрес>
>-A TZ_NAT -p udp -j SNAT --to-source <инет_адрес>
>-A TZ_NAT -p icmp -j SNAT --to-source <инет_адрес>
>
>
>COMMIT
># Completed on Wed Apr 25 11:15:11 2007
>
>
>что сделать чтобы разрешить пинги на внешние сайты?

"IPTABLES пинги и ходят"
Отправлено YuroN , 07-Май-08 17:46 
По прежнему не пингует


"IPTABLES пинги и ходят"
Отправлено reader , 11-Май-08 00:38 
>По прежнему не пингует

смотрите счетчики в iptables когра пингуете.
покажите вывод iptables-save.

"IPTABLES пинги и ходят"
Отправлено Andrey Mitrofanov , 24-Май-08 18:13 
>По прежнему не пингует

Ещё раскомментировать
...>>> #-A FORWARD -p icmp -s 0/0 -d 0/0 -j ACCEPT
или нет? вроде ж ниже уже есть:
>>>-A FORWARD -p icmp -j ACCEPT

Должно бы вроде проходить?

Вообще, не очень удобно читать написанный руками "скрипт" для iptables-restore -- порядок правил [для меня] не совсем очевиден... Покажи текущий вывод iptables-save -- без коментариев, зато более понятно.

Вот на моём любимом firehol %-) простой $) конфиг для SNAT-а пингов из внутрнней сети во внешний мир выглядел бы вот так:
=====
version 5
PUBLIC_MYIP=111.111.111.111
USERS="192.168.0.0/24"
        snat to "${PUBLIC_MYIP}" outface "eth1" src "$USERS"

router ping4all inface eth0 outface eth2 src "$USERS"
        client ping accept
=====

Вот iptables-save с-под него:
=====
# Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:nat.1 - [0:0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j nat.1
-A nat.1 -j SNAT --to-source 111.111.111.111
COMMIT
# Completed on Sat May 24 17:29:53 2008
# Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat May 24 17:29:53 2008
# Generated by iptables-save v1.3.6 on Sat May 24 17:29:53 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:in_ping4all - [0:0]
:in_ping4all_ping_c1 - [0:0]
:out_ping4all - [0:0]
:out_ping4all_ping_c1 - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "'IN-unknown:'"
-A INPUT -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o eth2 -j in_ping4all
-A FORWARD -d 192.168.0.0/255.255.255.0 -i eth2 -o eth0 -j out_ping4all
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/sec -j LOG --log-prefix "'PASS-unknown:'"
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "'OUT-unknown:'"
-A OUTPUT -j DROP
-A in_ping4all -j in_ping4all_ping_c1
-A in_ping4all -m state --state RELATED -j ACCEPT
-A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT-A out_ping4all -j out_ping4all_ping_c1
-A out_ping4all -m state --state RELATED -j ACCEPT
-A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACOMMIT
# Completed on Sat May 24 17:29:53 2008
=====

Политики везде [где надо :) ] DROP - firehol так устроен (и логи ешё пишет - там, где про "*-unknown").
Соединения отслеживаются: не просто протокол icmp пускается, а "туда" - запросы, оттуда = ответы. (Должен быть загружен модуль ядра ip_conntrack, кстати! firehol его грузит. И ip_forward включает тоже, если надо.)

Ещё: http://www.google.ru/search?q=firehol+mitrofanov+site:openne...
FireHOL: http://firehol.sf.net/

"IPTABLES пинги и ходят"
Отправлено Andrey Mitrofanov , 25-Май-08 16:50 
>-A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0
>-j ACCEPT-A out_ping4all -j out_ping4all_ping_c1
>-A out_ping4all -m state --state RELATED -j ACCEPT
>-A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8
>-j ACOMMIT

~~~Копипаст подвёл. Попытка#2:
-A in_ping4all_ping_c1 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A out_ping4all -j out_ping4all_ping_c1
-A out_ping4all -m state --state RELATED -j ACCEPT
-A out_ping4all_ping_c1 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACCEPT
COMMIT
~~~