iptables. FORWARD. запросы в мир проходят, несмотря на блок. правила. [РЕШЕНО]

[Brunen]

Решён вопрос

Отключить до перезагрузки сервера:

Код: [Выделить]

sysctl -w net.ipv4.conf.all.send_redirects=0
Или добавляйте строку в конец файла /etc/sysctl.conf:

Код: [Выделить]

net.ipv4.conf.all.send_redirects=0
Или выполните команду с правами root:

Код: [Выделить]

echo "net.ipv4.conf.all.send_redirects=0" >> /etc/sysctl.conf

(Нажмите, чтобы показать/скрыть)

Всем привет!

Есть сервер, который подключен к роутеру(dlink, имеющий выход в интернет).
Сервер:
ip: 192.168.0.1
gw: 192.168.0.254 - адрес роутера

Т.е. сам сервер может напрямую выходить в интернет через роутер.

У клиентов в качестве шлюза прописан сервер(192.168.0.1) для того, чтобы iptables'ами отсекать лишние запросы в мир.

Есть скрипт, прописывающий правила:

Код: [Выделить]

iptables -F.
iptables -t nat -F.
iptables -t mangle -F.
iptables -X.
iptables -t nat -X.
iptables -t mangle -X

iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A FORWARD -i eth0 --source 192.168.0.34 --destination 0.0.0.0/0  -p TCP --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 --source 192.168.0.34 --destination 0.0.0.0/0  -p TCP --dport 25 -j ACCEPT

Но клиент(192.168.0.34) может по http(80) выходить в интернет всё равно. Страницы грузятся очень медленно, но грузятся. Почта(thunderbird, 110/25) работает быстро.
Шлюз у него - 192.168.0.1, т.е. все запросы, кроме почты(110/25) - должны резаться.

Каким образом такое возможно?

[fisher74]

Разнесите сети между клиентом и роутером в разные подсети (тем же алиасом на eth0) и будет Вам щастье.

А вообще так никто не делает.

[shumtest]

Возможно это поможет: Ubuntu и роутер в одной подсети

[fisher74]

Но, таки лучше разнести. Найдётся умник и пропишет правильный маршрут. tracepath (tracert в окнах) никто не отменял

[podkovyrsty]

А ничего, что по умолчанию работает механизм обнаружения кратчайших путей, и ваш клиент про .1 забывает и пользуется .254?

[zah_al]

Это с чего это он будет 254 пользоваться, ничего подобного, должен обязательно по маршруту идти! У нас 250 шлюз в нет, 254 шлюз в другие сети, 245 шлюз по умолчанию который раскидывает, какие пакеты куда, никто ни с того ни с сего на 250 или 254 напрямую не попадает!

[podkovyrsty]

Это с чего это он будет 254 пользоваться, ничего подобного, должен обязательно по маршруту идти! У нас 250 шлюз в нет, 254 шлюз в другие сети, 245 шлюз по умолчанию который раскидывает, какие пакеты куда, никто ни с того ни с сего на 250 или 254 напрямую не попадает!

Голову включите, и поубавьте спесь.
У "вас" 250 про 254 ничего не знает.
А тут маршрутизатор знает.

[zah_al]

и что, что 250 про 254 не знает? 245 знает про всех, и именно он стоит шлюзом по дефолту. Может я чего недопонимаю, но трасерт всегда идёт через 245

[podkovyrsty]

и что, что 250 про 254 не знает? 245 знает про всех, и именно он стоит шлюзом по дефолту. Может я чего недопонимаю, но трасерт всегда идёт через 245

Значит у вас этот протокол закрыт/отключен, и tracert не показатель.

[Brunen]

А ничего, что по умолчанию работает механизм обнаружения кратчайших путей, и ваш клиент про .1 забывает и пользуется .254?

sysctl -w net.ipv4.conf.all.send_redirects=1
Оно?

[podkovyrsty]

Ага (:

[Brunen]

Ага (:

Выставил, скрипт с правилами иптаблеса перезапустил, но те же пинги всё равно идут.

[AnrDaemon]

iptables-save показывайте.
И, таки, вынесите роутер в другую подсеть...

[Brunen]

iptables-save показывайте.
И, таки, вынесите роутер в другую подсеть...

Код: [Выделить]

iptables-save
# Generated by iptables-save v1.4.4 on Fri Apr 29 19:35:52 2011
*mangle
:PREROUTING ACCEPT [6237:2531863]
:INPUT ACCEPT [6237:2531863]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6118:2495965]
:POSTROUTING ACCEPT [6123:2496673]
COMMIT
# Completed on Fri Apr 29 19:35:52 2011
# Generated by iptables-save v1.4.4 on Fri Apr 29 19:35:52 2011
*nat
:PREROUTING ACCEPT [161:10341]
:OUTPUT ACCEPT [321:19667]
:POSTROUTING ACCEPT [321:19667]
COMMIT
# Completed on Fri Apr 29 19:35:52 2011
# Generated by iptables-save v1.4.4 on Fri Apr 29 19:35:52 2011
*filter
:INPUT ACCEPT [70513:21525637]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [66006:45127326]
-A FORWARD -s 192.168.0.34/32 -i eth0 -p tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.0.34/32 -i eth0 -p tcp --dport 25 -j ACCEPTПользователь решил продолжить мысль 29 Апреля 2011, 16:39:08:

Код: [Выделить]

ysctl -a|grep redirect
error: permission denied on key 'net.ipv4.route.flush'
net.ipv4.route.redirect_load = 5
net.ipv4.route.redirect_number = 9
net.ipv4.route.redirect_silence = 5120
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 1
net.ipv4.conf.default.secure_redirects = 1
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.lo.accept_redirects = 1
net.ipv4.conf.lo.secure_redirects = 1
net.ipv4.conf.lo.send_redirects = 1
net.ipv4.conf.eth0.accept_redirects = 1
net.ipv4.conf.eth0.secure_redirects = 1
net.ipv4.conf.eth0.send_redirects = 1



[shumtest]

Выставил, скрипт с правилами иптаблеса перезапустил, но те же пинги всё равно идут.

"Выставил" в какое значение? (надо - 0)