[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[AnrDaemon]

Транзитного трафика не видно.
Для начала ответа на остальные вопросы - приложите iptables-save под спойлером.

[fisher74]

А я с уверенностью могу сказать, что транзитного траффика нет.
А правила?.... Неполохо конечно, но лучше покажите, что показывает командв:
sysctl net.ipv4.ip_forward

[anuta_kirova]

Неполохо конечно, но лучше покажите, что показывает командв:
sysctl net.ipv4.ip_forward

Там не 1 => форвардинг отключен.

Как думаете, чтобы был транзитивный трафик необходимо выполнить команду:  iptables -P FORWARD ACCEPT ?
Или какую-то другую?

[fisher74]

Там не 1 => форвардинг отключен.

Тогда о каком транзитном траффике может идти речь?

необходимо выполнить команду:  iptables -P FORWARD ACCEPT ?

Он у Вас в правилах и так разрешён.

[anuta_kirova]

Я не пойму. Значит транзитного трафика просто нет?

[fisher74]

Говорю открыто:
в netfilter ака брандмауер, правилами разрешён транзитный траффик. (тот самый FORWARD ACCEPT)
НО!!! в самом ядре форвардинг, ака транзитный траффик, запрещён параметром net.ipv4.ip_forward. Точнее не разрешён (0).

ЗЫ. netfilter является также одной из составляющей ядра

[AnrDaemon]

Я не пойму. Значит транзитного трафика просто нет?

Не нет, а быть не может. Сами только что сказли, что пересылка пакетов отключена.

[my_respect_nick]

Привет.
Имеется роутер с такими вот правилами.

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -d 84.*.*.* --dport 9001:9100 -j DNAT --to-destination 172.16.0.16:9001-9100
iptables -A POSTROUTING -p tcp -d 84.*.*.* --dport 9001:9100 -j SNAT --to-source 172.16.0.16
#iptables -A FORWARD -i eth0 -d 172.16.0.16 -p tcp --dport 9001:9100 -j ACCEPT
Работать не желает, порты не пробрасывает. Самое удивительное, тоже самое на другой машине отлично работает 
Есть какие то соображения?
Пользователь решил продолжить мысль 29 Марта 2013, 16:49:29:iptable-save на сервере где не работает

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Fri Mar 29 16:44:11 2013
*filter
:INPUT ACCEPT [289:23927]
:FORWARD ACCEPT [70:6477]
:OUTPUT ACCEPT [226:20266]
-A FORWARD -d 172.16.0.16/32 -i eth0 -p tcp -m tcp --dport 9001:9100 -j ACCEPT
COMMIT
# Completed on Fri Mar 29 16:44:11 2013
# Generated by iptables-save v1.4.12 on Fri Mar 29 16:44:11 2013
*nat
:PREROUTING ACCEPT [123:8955]
:INPUT ACCEPT [88:6618]
:OUTPUT ACCEPT [44:2748]
:POSTROUTING ACCEPT [70:4212]
-A PREROUTING -d 84.*.*.*/32 -p tcp -m tcp --dport 9001:9100 -j DNAT --to-destination 172.16.0.16:9001-9100
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 29 16:44:11 2013
iptables-save на сервере где работает

Код: [Выделить]

# Generated by iptables-save v1.4.8 on Fri Mar 29 16:43:28 2013
*filter
:INPUT ACCEPT [1584355:300766746]
:FORWARD ACCEPT [39428563:23679777687]
:OUTPUT ACCEPT [1275581:292681264]
-A FORWARD -d 192.168.1.13/32 -i eth0 -p tcp -m tcp --dport 7071 -j ACCEPT
COMMIT
# Completed on Fri Mar 29 16:43:28 2013
# Generated by iptables-save v1.4.8 on Fri Mar 29 16:43:28 2013
*nat
:PREROUTING ACCEPT [1063399:80626250]
:POSTROUTING ACCEPT [18668:1171531]
:OUTPUT ACCEPT [187201:13643090]
-A PREROUTING -d 80.*.*.*/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.10:3389
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 29 16:43:28 2013

Пользователь решил продолжить мысль 29 Марта 2013, 17:43:40:вот и я не могу понять что за фигня

[AnrDaemon]

А шлюзом у компьютера, на который вы DNAT'ите, что стоит?...

[my_respect_nick]

А шлюзом у компьютера, на который вы DNAT'ите, что стоит?...

Ахахаха
конечно же 172.16.0.11 а не 172.16.0.1
спасибо, я уже FreeBSD раскатал, думал на ipfw редирект поднять, а оказалось, просто опечатался

[zWOWz]

Приветствую. Нужна ваша помощь:
Имееем: wifi роутер на ubuntu server с интерфейсами:
br0       Link encap:Ethernet  HWaddr - ЛОКАЛКА (wifi+lan) С DHCP
          inet addr:192.168.1.252  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
eth0      Link encap:Ethernet  HWaddr - ЭТО ИНЕТ
          inet addr:10.242.X.X  Bcast:10.242.X.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
em0 и wlan0 объединение в br0

Провайдер вещает IPTV:
udp://@230.0.1.48:1234
udp://@230.0.11.39:1234
...

файл /etc/rc.local сейчас такой
/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmt
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Интернет раздается, DHCP - работает.
Что нужно добавить чтобы заработало IPTV в локалке?
Пожалуйста, help  , очень нужно. Заранее спасибо.

[AnrDaemon]

zWOWz, создайте новый топик, если поиск по форуму не даёт ответа на ваш вопрос.

[thunderamur]

Как разрешить доступ к определенному IP:port за шлюзом для определенного внешнего IP?

[fisher74]

sudo iptables -A FORWARD -s ip_remote -d ip_local -p tcp --dport port -J ACCEPT
Но к CONNLIMIT это не имеет никакого полового отношения.

[Vexare]

Вот у меня правило такое:

Код: [Выделить]

iptables -A INPUT -p tcp --syn --dport 3308 -m connlimit --connlimit-above 5 -j REJECT

Ограничитель на порт, больше 5 блок.