forum.opennet.ru

Составление сообщения

Исходное сообщение

"создать правило для forward"
Отправлено mitay, 03-Мрт-14 11:56

Схема:
----LAN1------------|===============Server==================|-----------LAN2----
192.168.1.0/24 ---------192.168.1.1(eth0)======192.168.0.1(vlan256)---------192.168.0.0/24
----LAN1------------|===============Server==================|-----------LAN2----
Проблема: из LAN2 в LAN1 не идут пинги и ответы на пинги.
Делаю политику ACCEPT для цепочки FORWARD - идут.
Но мне нужно чтобы политика была DROP.
# iptables -L FORWARD -n -v
Chain FORWARD (policy DROP 12 packets, 792 bytes)
pkts bytes target     prot opt in     out     source               destination
  180 14059 bad_packets  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  eth0   vlan256  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  tun0   vlan256  0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  tun0   eth0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  vlan256 eth0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  vlan256 tun0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  eth0   tun0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       192.168.0.0/24       192.168.1.0/24
    0     0 ACCEPT     tcp  --  vlan256 *       0.0.0.0/0            192.168.1.0/24
    0     0 ACCEPT     tcp  --  *      vlan256  192.168.1.0/24       0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      vlan256  192.168.3.0/24       0.0.0.0/0
   71  5767 tcp_outbound  tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 tcp_outbound  tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0
   52  3335 udp_outbound  udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 udp_outbound  udp  --  tun0   *       0.0.0.0/0            0.0.0.0/0
    3   180 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0
   42  3985 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    3   252 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `FORWARD packet died: '
#tcpdump -i eth0 -n host 192.168.0.2
14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840, length 40
14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841, length 40
#tcpdump -i vlan256 -n host 192.168.0.2
14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863, length 40
14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864, length 40
Какое правило добавить чтобы пинги шли из LAN2 в LAN1?

Исходное сообщение
"создать правило для forward" Отправлено mitay, 03-Мрт-14 11:56
Схема: ----LAN1------------\|===============Server==================\|-----------LAN2---- 192.168.1.0/24 ---------192.168.1.1(eth0)======192.168.0.1(vlan256)---------192.168.0.0/24 ----LAN1------------\|===============Server==================\|-----------LAN2---- Проблема: из LAN2 в LAN1 не идут пинги и ответы на пинги. Делаю политику ACCEPT для цепочки FORWARD - идут. Но мне нужно чтобы политика была DROP. # iptables -L FORWARD -n -v Chain FORWARD (policy DROP 12 packets, 792 bytes) pkts bytes target prot opt in out source destination 180 14059 bad_packets all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- eth0 vlan256 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- tun0 vlan256 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- tun0 eth0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- vlan256 eth0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- vlan256 tun0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- eth0 tun0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 192.168.0.0/24 192.168.1.0/24 0 0 ACCEPT tcp -- vlan256 * 0.0.0.0/0 192.168.1.0/24 0 0 ACCEPT tcp -- * vlan256 192.168.1.0/24 0.0.0.0/0 0 0 ACCEPT tcp -- * vlan256 192.168.3.0/24 0.0.0.0/0 71 5767 tcp_outbound tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 tcp_outbound tcp -- tun0 * 0.0.0.0/0 0.0.0.0/0 52 3335 udp_outbound udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 udp_outbound udp -- tun0 * 0.0.0.0/0 0.0.0.0/0 3 180 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 42 3985 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 252 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `FORWARD packet died: ' #tcpdump -i eth0 -n host 192.168.0.2 14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840, length 40 14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841, length 40 #tcpdump -i vlan256 -n host 192.168.0.2 14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863, length 40 14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864, length 40 Какое правило добавить чтобы пинги шли из LAN2 в LAN1?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Схема: 
> ----LAN1------------|===============Server==================|-----------LAN2----

> 192.168.1.0/24 ---------192.168.1.1(eth0)======192.168.0.1(vlan256)---------192.168.0.0/24

> ----LAN1------------|===============Server==================|-----------LAN2----

> Проблема: из LAN2 в LAN1 не идут пинги и ответы на пинги. 
 
> Делаю политику ACCEPT для цепочки FORWARD - идут.
> Но мне нужно чтобы политика была DROP.

> # iptables -L FORWARD -n -v 
> Chain FORWARD (policy DROP 12 packets, 792 bytes) 
>  pkts bytes target     prot opt in  
>    out     source   
>            
>  destination 
>   180 14059 bad_packets  all  --  *  
>     *       
> 0.0.0.0/0           
>  0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  eth0   vlan256 
>  0.0.0.0/0          
>   0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  tun0   vlan256 
>  0.0.0.0/0          
>   0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  tun0   eth0 
>    0.0.0.0/0        
>     0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  vlan256 eth0   
>  0.0.0.0/0          
>   0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  vlan256 tun0   
>  0.0.0.0/0          
>   0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  eth0   tun0 
>    0.0.0.0/0        
>     0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  *    
>   *       192.168.0.0/24  
>      192.168.1.0/24 
>     0     0 ACCEPT  
>    tcp  --  vlan256 *   
>     0.0.0.0/0       
>      192.168.1.0/24 
>     0     0 ACCEPT  
>    tcp  --  *    
>   vlan256  192.168.1.0/24       
> 0.0.0.0/0 
>     0     0 ACCEPT  
>    tcp  --  *    
>   vlan256  192.168.3.0/24       
> 0.0.0.0/0 
>    71  5767 tcp_outbound  tcp  --  
> eth0   *       0.0.0.0/0 
>            
> 0.0.0.0/0 
>     0     0 tcp_outbound  
> tcp  --  tun0   *    
>    0.0.0.0/0        
>     0.0.0.0/0 
>    52  3335 udp_outbound  udp  --  
> eth0   *       0.0.0.0/0 
>            
> 0.0.0.0/0 
>     0     0 udp_outbound  
> udp  --  tun0   *    
>    0.0.0.0/0        
>     0.0.0.0/0 
>     3   180 ACCEPT    
>  all  --  eth0   *   
>     0.0.0.0/0       
>      0.0.0.0/0 
>     0     0 ACCEPT  
>    all  --  tun0   * 
>       0.0.0.0/0     
>        0.0.0.0/0 
>    42  3985 ACCEPT     all 
>  --  eth1   *     
>   0.0.0.0/0         
>    0.0.0.0/0        
>    state RELATED,ESTABLISHED 
>     0     0 ACCEPT  
>    all  --  tun0   * 
>       0.0.0.0/0     
>        0.0.0.0/0    
>        state RELATED,ESTABLISHED 
>     3   252 LOG    
>     all  --  *   
>    *       0.0.0.0/0 
>            
> 0.0.0.0/0           
> limit: avg 3/min burst 3 LOG flags 0 level 4 prefix 
> `FORWARD packet died: '

> #tcpdump -i eth0 -n host 192.168.0.2 
> 14:54:29.967621 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8840, 
> length 40 
> 14:54:31.467747 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8841, 
> length 40

> #tcpdump -i vlan256 -n host 192.168.0.2 
> 14:55:04.467122 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8863, 
> length 40 
> 14:55:05.967282 IP 192.168.0.2 > 192.168.1.53: ICMP echo request, id 2, seq 8864, 
> length 40

> Какое правило добавить чтобы пинги шли из LAN2 в LAN1?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру