правила iptables по cron`у не работает.

[dipa]

Здравствуйте! Я настроил свой сервер на раздачу интернета в сеть по этой статье https://forum.ubuntu.ru/index.php?topic=3244.0 все нормально интернет раздается, ip адрес интернета у меня динамический по-этому настроен dyndns апдейтер. Так же с помощью правил iptables разрулен доступ к серверу из вне по днс имени. Но почему то при смене ip адреса, который меняется раз в сутки, правила iptables не подгружаются. Хотя в кроне стоит запуск правил каждую минуту. Как сделать чтобы правила подгружались после смены ipадреса или по крону?
Правила iptables:

(Нажмите, чтобы показать/скрыть)

#очистим все таблицы
iptables -F
#Разрешим общение для локальной петли (интерфейс lo):
iptables -A INPUT -i lo -j ACCEPT
#Разрешим доступ по портам
#ssh
iptables -A INPUT -p tcp --dport 1216 -j ACCEPT
#ul_chat
iptables -A INPUT -p tcp --dport 215 -j ACCEPT
#chat_test
iptables -A INPUT -p tcp --dport 1214 -j ACCEPT
#torr_upstream
iptables -A INPUT -p tcp --dport 51413 -j ACCEPT
#game_serv
iptables -A INPUT -p tcp --dport 7777 -j ACCEPT
#login_serv
iptables -A INPUT -p tcp --dport 2106 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#Torr
iptables -A INPUT -p tcp --dport 1217 -j ACCEPT
#Разрешим полный доступ из локальной сети (интерфейс eth0, сеть-источник 192.168.1.0/24):
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
#iptables -A INPUT -i eth3 -s 192.168.1.0/24 -j ACCEPT
#Разрешим поддерживать уже установленные соединения (состояния соединений RELATED,ESTABLISHED):
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Установим запрещающее правило по умолчанию для цепочки, т.е. запрещаем всё, что не разрешено:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

[fisher74]

Вообще такие дела делают при загрузке системы, а не по каким-то шаманским алгоритмам.
Тем более в правилах нет ни одного намёка на внешний IP-адрес

P.S. В правила не вчитывался. Зрю в корень проблемы

[dipa]

Вообще такие дела делают при загрузке системы, а не по каким-то шаманским алгоритмам.
Тем более в правилах нет ни одного намёка на внешний IP-адрес

P.S. В правила не вчитывался. Зрю в корень проблемы

Правила грузятся при старте системы через rc.local ссылкой на скрипт, но после смены ip адреса правила сбрасываются. Я думал решить проблему кроном но ничего не вышло. А проблема началась после установки ipmasq. Без него не получилось раздать интернет в сеть. А внешнего ip-адреса и нету...он динамический.

[fisher74]

"Внешний адрес" и "динамический" - понятия дополняющие друг друга.

Надо с ipmasq разбираться. что он там куда делает.

А проблема началась после установки ipmasq. Без него не получилось раздать интернет в сеть.

Если бы прочли более свежий хавту может и не возникли бы эти вопросов

[shumtest]

А как вообще к вам приходит интернет? В смысле - по какой технологии? ИП какого интерфейса меняется?

[Гарри Кашпировский]

crontab -l не хотите обнародовать?
И я не увидел в iptables ни одного правила, связанного с доменными именами.

[dipa]

А как вообще к вам приходит интернет? В смысле - по какой технологии? ИП какого интерфейса меняется?

Интернет ADSL, приходит на интерфейс eth3 вот вывод ifconfig:

(Нажмите, чтобы показать/скрыть)

root@serv:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:22:68:61:38:5d
          inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::222:68ff:fe61:385d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2104034 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4848957 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:209828658 (200.1 MB)  TX bytes:2886730698 (2.6 GB)
          Interrupt:17 Base address:0xc800

eth3      Link encap:Ethernet  HWaddr 00:1c:f0:ee:91:bd
          inet addr:192.168.1.55  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21c:f0ff:feee:91bd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6960911 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8280765 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2049878398 (1.9 GB)  TX bytes:2773574511 (2.5 GB)
          Interrupt:20 Base address:0x4800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:103069 errors:0 dropped:0 overruns:0 frame:0
          TX packets:103069 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:13832005 (13.1 MB)  TX bytes:13832005 (13.1 MB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:178.34.186.252  P-t-P:85.175.1.67  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1470  Metric:1
          RX packets:398029 errors:0 dropped:0 overruns:0 frame:0
          TX packets:327481 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:49514464 (47.2 MB)  TX bytes:54746932 (52.2 MB)

crontab -l не хотите обнародовать?
И я не увидел в iptables ни одного правила, связанного с доменными именами.

Вот crontab -l

(Нажмите, чтобы показать/скрыть)

root@serv:~# crontab -l
# m h  dom mon dow   command
10 00 * * * /home/dipa/backup.sh
* 00 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -D -u 95  --auth dipa:dipa12
* 08 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -d 30 -u 70 --auth dipa:dipa12
*/1 * * * * iptables-restore < /etc/iptables1.sh

Интернет раздается сейчас примитивно, с помощью пакетов dnsmasq и ipmasq, по этому правил на разруливание интернета в iptables нету. Пробовал стандартное:
iptables -P FORWARD ACCEPT
iptables --table nat -A POSTROUTING -o eth3 -j MASQUERADE
Но так ничего и не заработало...приходится работать с шаманскими танцами и руками пинать скрипт iptables чтобы лишние пакеты не шли на сервер. Помогите настроить интернет через правила iptables!

[shumtest]

Вообще-то говоря - приходит он к вам по ppp судя всему.

Повесь скрипты в /etc/ppp/ip-up.d и не мучайся с кроном

[Гарри Кашпировский]

А знаете, у вас ничего работать не будет. Потому что все построено именно так, как нельзя делать, если это сделано, как представлено Вами и видится мне.

*/1 * * * * iptables-restore < /etc/iptables1.sh

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#очистим все таблицы
iptables -F
#Разрешим общение для локальной петли (интерфейс lo):
iptables -A INPUT -i lo -j ACCEPT
#Разрешим доступ по портам
#ssh
iptables -A INPUT -p tcp --dport 1216 -j ACCEPT
#ul_chat
iptables -A INPUT -p tcp --dport 215 -j ACCEPT
#chat_test
iptables -A INPUT -p tcp --dport 1214 -j ACCEPT
#torr_upstream
iptables -A INPUT -p tcp --dport 51413 -j ACCEPT
#game_serv
iptables -A INPUT -p tcp --dport 7777 -j ACCEPT
#login_serv
iptables -A INPUT -p tcp --dport 2106 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#Torr
iptables -A INPUT -p tcp --dport 1217 -j ACCEPT
#Разрешим полный доступ из локальной сети (интерфейс eth0, сеть-источник 192.168.1.0/24):
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
#iptables -A INPUT -i eth3 -s 192.168.1.0/24 -j ACCEPT
#Разрешим поддерживать уже установленные соединения (состояния соединений RELATED,ESTABLISHED):
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Установим запрещающее правило по умолчанию для цепочки, т.е. запрещаем всё, что не разрешено:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

Переделывайте, прикреплённая тема, возможно, Вам поможет.

[fisher74]

Мимо темы, но по факту увиденного:

*/1 * * * * iptables-restore < /etc/iptables1.sh

А какие значения ждёте от кратности минут единице?  
Пользователь решил продолжить мысль 27 Февраля 2011, 18:20:08:

* 00 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -D -u 95  --auth dipa:dipa12
* 08 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -d 30 -u 70 --auth dipa:dipa12

Тоже жестоко КАЖДУЮ МИНУТУ первого часа ночи и КАЖДУЮ МИНУТУ девятого часа утра (по 60 раз на цикл) дёргать торренто-качалку. Что эти строки делают не разбирался - неинтересно (судя по всему ограничения скоростей меняются), но вот садизм удивил.

[drako]

Мимо темы, но по факту увиденного:

*/1 * * * * iptables-restore < /etc/iptables1.sh

А какие значения ждёте от кратности минут единице?  

Я что-то пропустил и iptables-restore умеет конфиги не из сейва, а из скрипта восстанавливать? 

[fisher74]

Могу предположить. что может, но в другом синтаксисе, например

Код: [Выделить]

/etc/iptables1.sh | iptables-restoreНо не уверен, что сработает

[censor]

iptables-restore принимает только то что раньше было сохранено iptables-save

[AnrDaemon]

iptables-restore принимает только то что раньше было сохранено iptables-save

This.

Плюс, редирект при восстановлении не нужен.

[dipa]

Вообще-то говоря - приходит он к вам по ppp судя всему.
Повесь скрипты в /etc/ppp/ip-up.d и не мучайся с кроном

Положил, в течении суток потестим. Кстати в этой папке нашел скрипт ipmasq теперь понятно почему он рестартит правила после переподключения интернета.

Мимо темы, но по факту увиденного:

*/1 * * * * iptables-restore < /etc/iptables1.sh

А какие значения ждёте от кратности минут единице? 
Пользователь решил продолжить мысль 27 Февраля 2011, 18:20:08:

* 00 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -D -u 95  --auth dipa:dipa12
* 08 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -d 30 -u 70 --auth dipa:dipa12

Тоже жестоко КАЖДУЮ МИНУТУ первого часа ночи и КАЖДУЮ МИНУТУ девятого часа утра (по 60 раз на цикл) дёргать торренто-качалку. Что эти строки делают не разбирался - неинтересно (судя по всему ограничения скоростей меняются), но вот садизм удивил.

Да действительно намудрил с кроном чего то не понятного, сейчас исправил (убрал лишние нули) до такого вида:

(Нажмите, чтобы показать/скрыть)

# m h  dom mon dow   command
10 0 * * * /home/dipa/backup.sh
* 0 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -D -u 95  --auth dipa:dipa12
* 8 * * * /usr/bin/transmission-remote 127.0.0.1:1217 -d 30 -u 70 --auth dipa:dipa12

Здесь каждые сутки в 0 часов запускается торентокачалка на максимальную скорость, а в 8 утра включается ограничение.