Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Проподает интернет, nat  (Прочитано 1044 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Проподает интернет, nat
« : 23 Августа 2010, 14:48:28 »
Периодически пропадает интернет через NAT, нет пинга не по ip, не по имени.

Схема следующая:
адсл роутер -> ubuntu сервер -> компьютер

на ubuntu сервер поднят nat и прокси

на "ubuntu сервере" интернет стабилен
Если на клиентах указывать прокси "ubuntu сервер", то интернет также стабилен, т.е. дело только в nat ?

traceroute на сервере
(Нажмите, чтобы показать/скрыть)

tracert на клиенте
(Нажмите, чтобы показать/скрыть)

nslookup сервер
(Нажмите, чтобы показать/скрыть)

nat
(Нажмите, чтобы показать/скрыть)

Адсл роутер в диагностике пишет - ping default gateway: false
в роутере указаны днс
Цитировать
62.148.128.1
62.148.159.188
менял их, резальтат тотже, ошибка остается

содержимое /etc/resolv.conf
Цитировать
nameserver 62.148.128.1
nameserver 8.8.8.8
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Проподает интернет, nat
« Ответ #1 : 23 Августа 2010, 15:07:55 »
DNS в роутере могут быть какие угодно. Ты используешь свои собственные.

-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

Откуда это? Чем/как грузишь правила? И правила у тебя какие-то архаичные.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Проподает интернет, nat
« Ответ #2 : 23 Августа 2010, 15:13:43 »
вообще скрипт с правилами в /etc/init.d/

раньше работало, а последние 3-4 дня что-то неладное творится

Цитировать
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

Откуда это

сам не знаю откуда/почему

Цитировать
И правила у тебя какие-то архаичные.
как интернет расшарился, больше правила и не трогал

Цитировать
DNS в роутере могут быть какие угодно. Ты используешь свои собственные
это я к тому, что раньше такое ошибки не было
у меня можно спросить=)

Оффлайн MaratSh

  • Участник
  • *
  • Сообщений: 204
  • Всё пройдёт...
    • Просмотр профиля
Re: Проподает интернет, nat
« Ответ #3 : 23 Августа 2010, 15:21:32 »
kostrukov
Можешь смело убрать эти правила
Цитировать
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 2010 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 2025 -j ACCEPT
-A INPUT -i eth -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
Всё равно они у тебя не работают.  :D


Пользователь решил продолжить мысль 23 Августа 2010, 15:27:19:
Цитировать
-A FORWARD -d 192.168.0.3/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -j ACCEPT
А что это за компьютер 192.168.0.3/32, которому разрешен форвард в обе стороны.  :idiot2:
Цитировать
-A FORWARD -o eth0 -p tcp -j DROP
И что должно делать это правило? Не пускать в интернет всех, кроме вышеуказанного 192.168.0.3? Тогда почему только TCP-протокол? И если указываешь -p tcp, рядом должно стоять -m tcp.
« Последнее редактирование: 23 Августа 2010, 15:28:51 от MaratSh »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Проподает интернет, nat
« Ответ #4 : 23 Августа 2010, 15:34:23 »
Цитировать
-A FORWARD -o eth0 -p tcp -j DROP
(Нажмите, чтобы показать/скрыть)
И если указываешь -p tcp, рядом должно стоять -m tcp.


C какого перепугу?


вообще скрипт с правилами в /etc/init.d/

раньше работало, а последние 3-4 дня что-то неладное творится

Цитировать
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE

Откуда это

сам не знаю откуда/почему

Цитировать
И правила у тебя какие-то архаичные.
как интернет расшарился, больше правила и не трогал

Цитировать
DNS в роутере могут быть какие угодно. Ты используешь свои собственные
это я к тому, что раньше такое ошибки не было
Ясно...
https://forum.ubuntu.ru/index.php?topic=99586.0
читать. Прочитаешь - возвращайся, буду объяснять, что у тебя за ужас в правилах.
А там может и до работоспособной сети доберёмся.
« Последнее редактирование: 23 Августа 2010, 15:36:34 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Проподает интернет, nat
« Ответ #5 : 23 Августа 2010, 15:38:29 »
Цитировать
А что это за компьютер 192.168.0.3/32, которому разрешен форвард в обе стороны.
комп в локальной сети, которому нужен интернет

Цитировать
Цитировать
-A FORWARD -o eth0 -p tcp -j DROP
И что должно делать это правило? Не пускать в интернет всех, кроме вышеуказанного 192.168.0.3?
да, должно не пускать в интернет всех, кроме 0.3,
Цитировать
Тогда почему только TCP-протокол?
т.е. блокировать и udp ?
у меня можно спросить=)

Оффлайн MaratSh

  • Участник
  • *
  • Сообщений: 204
  • Всё пройдёт...
    • Просмотр профиля
Re: Проподает интернет, nat
« Ответ #6 : 23 Августа 2010, 15:45:20 »
т.е. блокировать и udp ?
Нет, лучше сменить в FORWARD  политику по-умолчанию на DROP и поставить разрешающее правило для этого 192.168.0.3

И если указываешь -p tcp, рядом должно стоять -m tcp.


C какого перепугу?
Ну насчет "должно стоять", я немного преувеличил. Просто во всех правилах выше, этот неявный критерий явно указан, так что хуже точно не будет.  :)
« Последнее редактирование: 23 Августа 2010, 15:48:53 от MaratSh »

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Проподает интернет, nat
« Ответ #7 : 23 Августа 2010, 16:07:43 »
испарвил
Цитировать
# Generated by iptables-save v1.4.4 on Mon Aug 23 16:05:34 2010
*mangle
:PREROUTING ACCEPT [502:127568]
:INPUT ACCEPT [157:12672]
:FORWARD ACCEPT [345:114896]
:OUTPUT ACCEPT [47:4502]
:POSTROUTING ACCEPT [394:119873]
COMMIT
# Completed on Mon Aug 23 16:05:34 2010
# Generated by iptables-save v1.4.4 on Mon Aug 23 16:05:34 2010
*nat
:PREROUTING ACCEPT [53:3663]
:POSTROUTING ACCEPT [1:240]
:OUTPUT ACCEPT [9:714]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Aug 23 16:05:34 2010
# Generated by iptables-save v1.4.4 on Mon Aug 23 16:05:34 2010
*filter
:INPUT ACCEPT [157:12672]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [47:4502]
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 192.168.0.31/32 -j ACCEPT
-A FORWARD -s 192.168.0.31/32 -j ACCEPT
-A FORWARD -d 192.168.0.30/32 -j ACCEPT
-A FORWARD -s 192.168.0.30/32 -j ACCEPT
-A FORWARD -d 192.168.0.32/32 -j ACCEPT
-A FORWARD -s 192.168.0.32/32 -j ACCEPT
-A FORWARD -d 192.168.0.20/32 -j ACCEPT
-A FORWARD -s 192.168.0.20/32 -j ACCEPT
-A FORWARD -d 192.168.0.9/32 -j ACCEPT
-A FORWARD -s 192.168.0.9/32 -j ACCEPT
-A FORWARD -d 192.168.0.5/32 -j ACCEPT
-A FORWARD -s 192.168.0.5/32 -j ACCEPT
-A FORWARD -d 192.168.0.27/32 -j ACCEPT
-A FORWARD -s 192.168.0.27/32 -j ACCEPT
-A FORWARD -d 192.168.0.24/32 -j ACCEPT
-A FORWARD -s 192.168.0.24/32 -j ACCEPT
-A FORWARD -d 192.168.0.3/32 -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -j ACCEPT
-A FORWARD -d 192.168.0.21/32 -j ACCEPT
-A FORWARD -s 192.168.0.21/32 -j ACCEPT
-A FORWARD -o eth0 -j DROP
COMMIT
# Completed on Mon Aug 23 16:05:35 2010

и сохранил в /etc/network/if-up.d/iptables-rules
у меня можно спросить=)

Оффлайн MaratSh

  • Участник
  • *
  • Сообщений: 204
  • Всё пройдёт...
    • Просмотр профиля
Re: Проподает интернет, nat
« Ответ #8 : 23 Августа 2010, 16:15:18 »
Цитировать
-A FORWARD -o eth0 -j DROP
Политика по-умолчанию задается так
Цитировать
-P FORWARD DROP

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Проподает интернет, nat
« Ответ #9 : 23 Августа 2010, 16:17:48 »
Цитировать
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
а разрешить 22 забыл ))) пойду навещу сервер..
у меня можно спросить=)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Проподает интернет, nat
« Ответ #10 : 23 Августа 2010, 16:32:04 »
Ну насчет "должно стоять", я немного преувеличил. Просто во всех правилах выше, этот неявный критерий явно указан, так что хуже точно не будет.  :)

Во всех правилах выше кроме -p tcp были дополнительные проверки, специфичные для протокола.
В этом не было, значит, и грузить протокольный модуль не было смысла.


испарвил
Цитировать
# Generated by iptables-save v1.4.4 on Mon Aug 23 16:05:34 2010

и сохранил в /etc/network/if-up.d/iptables-rules

А шебанг не забыл?
И... посмотри внимательно пример правил в том топике.



(Нажмите, чтобы показать/скрыть)
проверьте кто-нить. Я ничего не забыл?
« Последнее редактирование: 23 Августа 2010, 17:09:02 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kostryukov

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1588
  • everybody lies
    • Просмотр профиля
    • kostryukov.net
Re: Проподает интернет, nat
« Ответ #11 : 24 Августа 2010, 11:22:11 »
Спасибо, c помощью opennet и wiki вроде бы разобрался что в приведенных правилах происходит.
теперь необходимо разобратся со всем тем что используется, и разрешить это в правилах (прокси, вебсервер, шара..).

на счет темы - интернет пропадает только на двух компьютерах в сети, на остальных работает без нареканий.
проблемы в виндах..
у меня можно спросить=)

 

Страница сгенерирована за 0.041 секунд. Запросов: 23.