iptables /proc/net/nf_conntrack

[Rufus57]

Привет.
У меня Xubuntu 12.10. Хочу написать скрипт для iptables, но хотелось бы посмотреть трассировку. К сожалению  файла /proc/net/nf_conntrack нету. В чем может быть причина, как запустить трассировку или она запущена но файла таблицы нет?

lsmod | grep nf

nf_nat                 20317  2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      14081  4 iptable_nat,nf_nat
nf_defrag_ipv4         12650  1 nf_conntrack_ipv4
nf_conntrack           66308  5 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state

[fisher74]

Видимо из-за того и нет, что netfilter пока и не работает. Правил-то нет никаких.

[Rufus57]

Ну чуть чуть маскарад настроил и цепочку FORWARD этого не достаточно?

# Generated by iptables-save v1.4.12 on Sat Feb  9 12:17:59 2013
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Feb  9 12:17:59 2013
# Generated by iptables-save v1.4.12 on Sat Feb  9 12:17:59 2013
*filter
:INPUT ACCEPT [55:4220]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [28:4720]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat Feb  9 12:17:59 2013

[fisher74]

А ip_forward в ядре включили?
sysctl net.ipv4.ip_forward что кажет?

[Rufus57]

Включен
net.ipv4.ip_forward = 1

[fisher74]

А траффик идёт через шлюз? Судя по

:FORWARD ACCEPT [0:0]

нет

[censor]

Код: [Выделить]

-- -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
++ -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


[fisher74]

а таки и правда... просмотрел

[Декодер]

та же ситуация
ubuntu
Выпуск 12.10 (quantal) 32-бит
Ядро Linux 3.5.0-25-generic


# iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Sun Mar 10 21:24:03 2013
*filter
:INPUT ACCEPT [134:70694]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [130:14593]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Mar 10 21:24:03 2013
# Generated by iptables-save v1.4.12 on Sun Mar 10 21:24:03 2013
*nat
:PREROUTING ACCEPT [98:6014]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [60:3856]
:POSTROUTING ACCEPT [60:3856]
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 10 21:24:03 2013

Код: [Выделить]

# sysctl -p
net.ipv4.ip_forward = 1
net.netfilter.nf_conntrack_acct = 1
# lsmod | grep nat

Код: [Выделить]

iptable_nat            12978  1
nf_nat                 20317  2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      14081  8 iptable_nat,nf_nat
nf_conntrack           66308  6 xt_conntrack,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state
ip_tables              17792  2 iptable_nat,iptable_filter
x_tables               21936  8 xt_conntrack,ipt_MASQUERADE,iptable_nat,xt_tcpudp,xt_state,xt_limit,iptable_filter,ip_tables


Код: [Выделить]

# cat /proc/net/nf_conntrack
cat: /proc/net/nf_conntrack: Нет такого файла или каталога

[fisher74]

Таки так же нет траффика.

:FORWARD ACCEPT [0:0]

Его просто нет? Или шлюз не работает?

[Декодер]

все замечательно работает
и в этой конфигурации iptables
и в двух других с внешней и внутренней сеткой

причем интересно и то, что iptstate
совершенно спокойно показывает все соединения и TTL
а вот файла nf_conntrack нету

кстати
# ls /proc/sys/net/netfilter/

Код: [Выделить]

nf_conntrack_acct                  nf_conntrack_tcp_timeout_close
nf_conntrack_buckets               nf_conntrack_tcp_timeout_close_wait
nf_conntrack_checksum              nf_conntrack_tcp_timeout_established
nf_conntrack_count                 nf_conntrack_tcp_timeout_fin_wait
nf_conntrack_events                nf_conntrack_tcp_timeout_last_ack
nf_conntrack_events_retry_timeout  nf_conntrack_tcp_timeout_max_retrans
nf_conntrack_expect_max            nf_conntrack_tcp_timeout_syn_recv
nf_conntrack_generic_timeout       nf_conntrack_tcp_timeout_syn_sent
nf_conntrack_helper                nf_conntrack_tcp_timeout_time_wait
nf_conntrack_icmp_timeout          nf_conntrack_tcp_timeout_unacknowledged
nf_conntrack_log_invalid           nf_conntrack_timestamp
nf_conntrack_max                   nf_conntrack_udp_timeout
nf_conntrack_tcp_be_liberal        nf_conntrack_udp_timeout_stream
nf_conntrack_tcp_loose             nf_log
nf_conntrack_tcp_max_retrans
файлы существуют и меняют свои значения (где положено конечно)

может это уже не баг, а фича в новых ядрах?.....

[fisher74]

Как у Вас работает, если цепочка FORWARD таблицы filter не пропустила НИ ОДНОГО пакета? ВООБЩЕ.
Вы работу netfilter изучали? Хотя бы поверхостно?

Кстати, Вы с Урала? Судя по всему у Вас временной пояс GMT+6

[Декодер]

:FORWARD ACCEPT [0:0]
это меня тоже удивляет, а вчем проблема не могу понять
грубо говоря все компьютеры из "домашней сети"
ходят "наружу в инет" через комп на котором применены указанные правила фильрации.
если убрать правила FORWARD доступ прекращается.

причем это прроисходит как на "боевой" машине, так и на виртуалках (построена модель)

задам вопрос по другому, что не так в файле конфигурации iptables?

PS: таймзону поправлю дома, из смартфонной оперы это делать не получается
Пользователь решил продолжить мысль 12 Марта 2013, 17:52:25:вот если хотите немного другой вариант конфигурации
# iptables-save -c

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Tue Mar 12 19:47:09 2013
*filter
:INPUT DROP [19:3671]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:OUTBOUND - [0:0]
[24:3279] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
[140:174796] -A INPUT -i eth0 -j INBOUND
[0:0] -A INPUT -d 192.168.1.1/32 -i eth1 -j ACCEPT

[349:403313] -A FORWARD -i eth0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[282:22051] -A FORWARD -i eth1 -o eth0 -j ACCEPT

[24:3279] -A OUTPUT -o lo -j ACCEPT
[91:10599] -A OUTPUT -o eth0 -j OUTBOUND
[1:135] -A OUTPUT -o eth1 -j OUTBOUND
[126:172081] -A INBOUND -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[12:2513] -A INBOUND -p udp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INBOUND -p tcp -m tcp --dport 80 -j ACCEPT
[75:9518] -A OUTBOUND -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTBOUND -p udp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTBOUND -p icmp -j ACCEPT
[17:1216] -A OUTBOUND -j ACCEPT
COMMIT
# Completed on Tue Mar 12 19:47:09 2013
# Generated by iptables-save v1.4.12 on Tue Mar 12 19:47:09 2013
*nat
:PREROUTING ACCEPT [72:7140]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [29:1982]
:POSTROUTING ACCEPT [13:901]
[68:4266] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Mar 12 19:47:09 2013

как видите цепочка FORWARD работает
а файла нет

[sslam]

Так всё таки, почему нет /proc/net/nf_conntrack ?