Раздача интернета (Ubuntu Server 9.10)

[Andrin]

Дико извиняюсь... За какие именно разъяснения? Это вы неправильно понимаете назначение route и iptables, или я? Мне правда очень интересно.

[solmedas]

про изменения заголовков.
беда в том, что я только начал поднимать сервера с никсами, и к сожалению, порой не знаю теории.
но тем не менее нашел на опеннете русский ман по iptables который буду курить и разбираться

[Andrin]

Тогда отличный (имхо) мануал на Вики
http://ru.wikipedia.org/wiki/Iptables
Я лично именно им пользуюсь. Вроде очень доступно написан.
Довольно много разных примеров.

[RedBox]

andrinlindo, выполнил все твои действия - не получилось.
Почему-то не поднялся интерфейс eth1:

Код: [Выделить]

root@server:/home/etolegko# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:24:1d:b5:fd:41 
          inet addr:192.168.0.254  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::224:1dff:feb5:fd41/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1437 errors:0 dropped:0 overruns:0 frame:0
          TX packets:359 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:180759 (180.7 KB)  TX bytes:59485 (59.4 KB)
          Прервано:26

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:480 (480.0 B)  TX bytes:480 (480.0 B)

vmnet1    Link encap:Ethernet  HWaddr 00:50:56:c0:00:01 
          inet addr:192.168.183.1  Bcast:192.168.183.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:1/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

vmnet8    Link encap:Ethernet  HWaddr 00:50:56:c0:00:08 
          inet addr:172.16.145.1  Bcast:172.16.145.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:8/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:275 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

root@server:/home/etolegko# ifconfig eth1 up
eth1: ОШИБКА при получении флага интерфейса: No such device
root@server:/home/etolegko#


[Andrin]

Судя по тому, что no such device, и ifconfig -a его не отображает, система просто не видит вторую сетевуху. Попробуй сделать lspci и кинь мне сюда его вывод.
Я бы даже сказал, что у тебя сетевуха вывалилась из слота или сдохла. Но lspci тоже делу не помешает.

[RedBox]

Код: [Выделить]

etolegko@server:~$ sudo lspci
[sudo] password for etolegko:
00:00.0 Host bridge: Intel Corporation 4 Series Chipset DRAM Controller (rev 03)
00:02.0 VGA compatible controller: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
00:1b.0 Audio device: Intel Corporation 82801G (ICH7 Family) High Definition Audio Controller (rev 01)
00:1c.0 PCI bridge: Intel Corporation 82801G (ICH7 Family) PCI Express Port 1 (rev 01)
00:1c.1 PCI bridge: Intel Corporation 82801G (ICH7 Family) PCI Express Port 2 (rev 01)
00:1d.0 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI Controller #1 (rev 01)
00:1d.1 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI Controller #2 (rev 01)
00:1d.2 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI Controller #3 (rev 01)
00:1d.3 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI Controller #4 (rev 01)
00:1d.7 USB Controller: Intel Corporation 82801G (ICH7 Family) USB2 EHCI Controller (rev 01)
00:1e.0 PCI bridge: Intel Corporation 82801 PCI Bridge (rev e1)
00:1f.0 ISA bridge: Intel Corporation 82801GB/GR (ICH7 Family) LPC Interface Bridge (rev 01)
00:1f.2 IDE interface: Intel Corporation 82801GB/GR/GH (ICH7 Family) SATA IDE Controller (rev 01)
00:1f.3 SMBus: Intel Corporation 82801G (ICH7 Family) SMBus Controller (rev 01)
02:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168B PCI Express Gigabit Ethernet controller (rev 02)

[Andrin]

Ну вот. Ethernet контроллер только один в выводе, если я ничего не упустил. Так что проверяй, что у тебя с сетевухой. Переткни сетевуху в другой слот. Попробуй другую сетевуху... Ну я думаю ты в курсе, раз сисадмин

[RedBox]

Конечно Спасибо, попробую!
Сисадмином уже давненько не работаю - больше года. До этого почти 4 года трудился в этой тяжкой профессии.

[Amd34]

Доброго времени суток!
у меня проблемка мож кто подсткажет решение!
в сети нужно обрубать доступ до сайта вконтакте.ру ну чтобы был доступен через каждых пол часа

сделал скриптик поместил в кронтаб
закрывает iptables -A INPUT -s vkontakte.ru -j DROP
ну и открывает iptables -D INPUT -s vkontakte.ru -j DROP
и по времени
SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin

*/30 * * * * /etc/sh/open.sh
*/60 * * * * /etc/sh/closed.sh

но ма машине которой нет правил для оно закрывает и открывает а на сервере постоянно открыт доступ

вот мой iptables

# Generated by iptables-save v1.3.8 on Fri Jan 30 12:54:46 2009
*nat
:PREROUTING ACCEPT [88055:4822967]
:POSTROUTING ACCEPT [11105:802190]
:OUTPUT ACCEPT [11105:802190]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jan 30 12:54:46 2009
# Generated by iptables-save v1.3.8 on Fri Jan 30 12:54:46 2009
*mangle
:PREROUTING ACCEPT [1152629:527622598]
:INPUT ACCEPT [194966:17589727]
:FORWARD ACCEPT [957826:509301916]
:OUTPUT ACCEPT [146436:16722567]
:POSTROUTING ACCEPT [1104831:526086859]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Jan 30 12:54:46 2009
# Generated by iptables-save v1.3.8 on Fri Jan 30 12:54:46 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j LOG
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j DROP
-A INPUT -d 255.255.255.255 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -i eth0 -p ! tcp -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j LOG
-A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j DROP
-A INPUT -d 255.255.255.255 -i ppp0 -j ACCEPT
-A INPUT -d 82.207.126.109 -i ppp0 -j ACCEPT
-A INPUT -d 224.0.0.1 -j DROP
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o ppp0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j LOG
-A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROP
-A FORWARD -d 224.0.0.1 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 255.255.255.255 -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT
-A OUTPUT -d 224.0.0.0/240.0.0.0 -o eth0 -p ! tcp -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j LOG
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROP
-A OUTPUT -d 255.255.255.255 -o ppp0 -j ACCEPT
-A OUTPUT -s 82.207.126.109 -o ppp0 -j ACCEPT
-A OUTPUT -d 224.0.0.1 -j DROP
-A OUTPUT -j LOG
-A OUTPUT -j DROP
COMMIT
# Completed on Fri Jan 30 12:54:46 2009
 

[Andrin]

Насколько я помню, iptables не умеет разрешать имена в ip адреса.
Только сквид+некий редиректор, насколько я понимаю. У контакте много IP адресов.
Кстати, если я правильно понимаю, ваш input и output drop вообще касается только сервера. Во внутреннюю сеть то действуют правила forward, а вы про них ни слова.
А вот это:
"но ма машине которой нет правил для оно закрывает и открывает а на сервере постоянно открыт доступ"
я вообще не понимаю. по-русски, если можно

[Amd34]

)))) ну Ubuntu которая не серверная, обычный комп )

[Andrin]

Я не пойму это та же, на которой роутинг настроен, или которая во внутренней сети? Т.е. внутри сети перестает работать ВКонтакт? А с самого сервера работает. Я правильно понимаю?

[Amd34]

не та на которой роутинг не настроен, комп просто находится  в сети!

[Andrin]

В общем, на вопрос я вроде ответил. На сервере с помощью iptables можно закрыть доступ к определенным IP. Для самого сервера и для внутренней подсети, которая роутится через него. По именам можно резать с помощью прокси сервера.
P.S. Не по вашему вопросу, конечно, но все же. Вообще странные у вас iptables правила... Вот зачем это я вообще не понимаю:

Код: [Выделить]

-A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j DROPКак пакеты из вашей внутренней подсети вообще теоретически могут приходить на внешний интерфейс ppp0? Зачем это правило?
Зачем вот тут так странно? Вы говорите принимать все related,established пакеты, следом логируете все не подходящие под это правило, а потом -j drop на них. Зачем, у вас дефолтовая политика и так drop...

Код: [Выделить]

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j LOG
-A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROPА в конце зачем то вот это:

Код: [Выделить]

-A FORWARD -j LOG
-A FORWARD -j DROPСмысл? Что еще вы пытаетесь логировать здесь? До сюда, если у вас только ppp0 и eth0 вообще ни один пакет уже не дойдет, на них есть терминальные правила еще до этого.
А вот от этого, как мне кажется только logrotate спасет:

Код: [Выделить]

-A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j LOGУ меня лично сервак один брутфорсили на 300-500 метров траффика в месяц, пока ssh не перевесил на другой порт. Хватало распухавшего auth.log. Смысл логировать каждый пакет, пришедший с инета на сервер?
Извиняюсь за критику, просто интересно Если я не прав, объясните, почему именно сделано именно так

[RedBox]

Вернемся к нашим баранам С утра приехал пораньше на работу - интернет на сервере появился, из сети его тоже видно.
Поставил его вручную шлюзом и DNS-сервером в настройках сети на клиентских машинах, а также вручную прописал адреса и маску (проверял на MacOS и Windows).
Скайп начинает работать, а вот страницы не грузятся (аська вроде тоже) - куда копать дальше? Где я мог ошибиться?
Подразумеваю, что где-то в настройках iptables, я прав?
andrinlindo - выручай