Форум русскоязычного сообщества Ubuntu


Автор Тема: Перестали работать все правила DNAT  (Прочитано 979 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Не пойму в чем дело, все работало нормально, и вот те на DNAT iptables перестал работать
Комп пингуется изнутри и снаружи
ip_forward 1
вот пример типичного правила проброса
iptables -t nat -A PREROUTING -d 44.44.44.44 -p tcp --dport 123 -j DNAT --to-destination 192.168.1.11:123
и он неаботает
В чем может быть грабля?

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Перестали работать все правила DNAT
« Ответ #1 : 28 Апреля 2010, 10:20:53 »
для начала на iptables бы взглянуть !
Be root, be different...

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #2 : 28 Апреля 2010, 10:53:15 »
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
REDIRECT   tcp  --  192.168.19.0/24     !10.0.0.0/8          tcp dpt:www redir ports 3128
DNAT       udp  -- !10.0.0.0/8           maskimko.adm-service.com.ua udp dpt:27015 to:192.168.4.2:27015
DNAT       tcp  --  anywhere             juventus.ethanol.ntu-kpi.kiev.ua tcp dpt:2219 to:192.168.4.23:2219
DNAT       tcp  -- !10.0.0.0/8           maskimko.adm-service.com.ua tcp dpt:ftp to:192.168.4.2:21
DNAT       tcp  -- !10.0.0.0/8           maskimko.adm-service.com.ua tcp dpt:2222 to:192.168.4.2:22
DNAT       tcp  -- !10.0.0.0/8           maskimko.adm-service.com.ua tcp dpt:2219 to:192.168.4.23:2219

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.19.0/24      anywhere           
MASQUERADE  all  --  192.168.4.0/24       10.0.0.0/8         
SNAT       tcp  --  192.168.4.2         !10.0.0.0/8          tcp spt:ssh to:77.47.187.109:2222

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT     tcp  --  anywhere             192.168.4.2         tcp dpt:ssh

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain in_traffic (0 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Перестали работать все правила DNAT
« Ответ #3 : 28 Апреля 2010, 10:58:45 »
Странности какие-то ! У меня как-то раз была подобная проблема ! И вышел я из неё сделав iptables-save и вписав вручную все правила в файл...
Be root, be different...

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #4 : 28 Апреля 2010, 11:02:59 »
Сейчас попробую, может поможет...


Пользователь решил продолжить мысль 28 Апреля 2010, 11:20:10:
Неа, неработает....
Маскарадинг работает, проброс портов неработает.
« Последнее редактирование: 28 Апреля 2010, 11:20:10 от maskimko »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28360
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #5 : 28 Апреля 2010, 12:38:15 »
Показывайте iptables-save
В СПОЙЛЕР
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Перестали работать все правила DNAT
« Ответ #6 : 28 Апреля 2010, 13:02:42 »
Меня всё же начинают терзать смутные сомнения, что это всё же глюк самой системы, ибо правила должны работать ! Присоединяюсь к AnrDaemon ! iptables-save в студию
Be root, be different...

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #7 : 28 Апреля 2010, 17:48:30 »
вот они!
(Нажмите, чтобы показать/скрыть)

Оффлайн kobaltd

  • Активист
  • *
  • Сообщений: 273
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #8 : 28 Апреля 2010, 17:59:00 »
iptables -I FORWARD -d xxx.xxx.xxx.xxx -i qqq --dport yyyy -j ACCEPT
Iptables такая загадочная штука что ACCEPT на цепочку не всегда работает, в часности на форварде он стработает только тогда когда соурс и дистенейшен прошли через route, в вашем случаи они не проходят - т.е. юзаете DNAT и соответственно надо явно разрешить проход.

Оффлайн maskimko

  • Автор темы
  • Новичок
  • *
  • Сообщений: 34
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #9 : 28 Апреля 2010, 18:09:06 »
Что? Набор слов. Дело в том, что все работало. а
Цитировать
iptables -I FORWARD -d xxx.xxx.xxx.xxx -i qqq --dport yyyy -j ACCEPT
пробовал не помогло...., почему не понял. Если можно, объясни почему пакеты не проходят, еще раз более подробно.

Оффлайн alex_chipmunk

  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #10 : 21 Июня 2010, 16:53:37 »
на 192.168.1.11 заходишь с той же подсети или с интернета?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28360
    • Просмотр профиля
Re: Перестали работать все правила DNAT
« Ответ #11 : 21 Июня 2010, 21:46:23 »
Попробуй убрать адрес назначения в правиле прероутинга.
У меня
-t nat -A PREROUTING -p tcp -m tcp --dport 23 -j DNAT --to-destination 192.168.17.2:23
-t filter -A FORWARD -p tcp -m tcp --dport 23 -j ACCEPT

работает без сбоев. (Желающим посканить и побрутить - обломайтесь, там GSTS сидит. Удачи найти сервтификат шифрования...)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.063 секунд. Запросов: 23.