HOWTO: Iptables для новичков

[melnikdima]

Благодарю за помощь

оказалось мне нужно было 3 правила добавить
если кто может объясните 2-3 правила!

Код: [Выделить]

iptables -A OUTPUT -o eth0 -p udp --sport 32769:65535 --dport 33434:33523  -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type time-exceeded -j ACCEPT

[roma333]

Благодарю за помощь

оказалось мне нужно было 3 правила добавить
если кто может объясните 2-3 правила!

Код: [Выделить]

iptables -A OUTPUT -o eth0 -p udp --sport 32769:65535 --dport 33434:33523  -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type time-exceeded -j ACCEPT

В моем предыдущем посте смотрите объяснение, Вы читать-то умеете или только копировать

[melnikdima]

про udp я понял я не могу понять про 2-3 строчки

про destination-unreachable и time-exceeded

[podkovyrsty]

Ну прочитай статью из википедии - icmp, ёкарный бабай, там текста на страницу.
вспомни что может сказать о хостах трэйсроут и посмотри на правила еще раз - все станет понятно.

[chikatillo]

Если у Вас динамически изменяющийся интернет ip адрес, в этом случае переменная INET_IP не устанавливается.


А что делать с :
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT.
$IPTABLES -t nat -A POSTROUTING -s $DMZ_IP_RANGE -o $INET_IFACE -j SNAT --to-source $INET_IP



В моем конфиге есть только одно правило с inet_ip
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s ! $INET_IP -j SNAT --to-source $INET_IP


Думаю должен быть какой-то скрипт  проверяющий какой сейчас внешний айпи, и вставить его в переменную  INET_IP....
Или мот что нибуть  по проще?

[Mam(O)n]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s ! $INET_IP -j SNAT --to-source $INET_IP
Или мот что нибуть  по проще?

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

[chikatillo]

Цитата: Mam(O)n от 15 Апреля 2010, 13:11:07
Цитата: chikatillo от 15 Апреля 2010, 11:52:06
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s ! $INET_IP -j SNAT --to-source $INET_IP
Или мот что нибуть  по проще?
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
Спасибо!



настрил модем в режим бриджа, изменил данное правило, все пашит на ура, единственное после подключения не могу зайти на web интерфейс модема, так и должно быть?

eth0 - локальная сеть 192.168.100.0/24
eth1 - 192.168.1.2
на eth1 модем бриджем(192.168.1.22) поднят ppp0
Может надо сделать разные подсети eth1 и модема?
или ваще стоит убрать настройки для eth1?

[AnrDaemon]

Подсети ЕСТЕСТВЕННО должны быть разные.
Если модем в бридже коннктится к отдельной сетевой, и через него потом запускается PPPoE трафик, то там уже без особой разницы, как настроена та сетевая. Если хочешь иметь статистику с модема - настрой и включи syslog с модема на сервер.

[chikatillo]

Подсети ЕСТЕСТВЕННО должны быть разные.
Если модем в бридже коннктится к отдельной сетевой, и через него потом запускается PPPoE трафик, то там уже без особой разницы, как настроена та сетевая. Если хочешь иметь статистику с модема - настрой и включи syslog с модема на сервер.

Задача просто попасть на web интерфейс модема. Я просто не пойму этого нельзя сделать потому что поднята сессия в режиме моста или что-то с iptables?

[Mam(O)n]

eth0 - локальная сеть 192.168.100.0/24
eth2 - 192.168.1.2
на eth1 модем бриджем(192.168.1.22) поднят ppp0

Во первых. Модем 192.168.1.22 висит на eth1 а подсеть 192.168.1.0/24 на eth2 настроена.

[chikatillo]

eth0 - локальная сеть 192.168.100.0/24
eth2 - 192.168.1.2
на eth1 модем бриджем(192.168.1.22) поднят ppp0

Во первых. Модем 192.168.1.22 висит на eth1 а подсеть 192.168.1.0/24 на eth2 настроена.

Сори опечатка , eth1 имеется в виду...

[Mam(O)n]

Тогда вопрос, для поднятия туннеля используется NetworkManager? Он при поднятии vpn считает, что нижлежащий интерфейс уже не нужен пользователю и по возможности его деконфигурирует. Чтобы поддерживать его работоспособность можно попробовать пихнуть скрипт в /etc/network/if-up.d:

Код: [Выделить]

#!/bin/sh
ifconfig eth1 192.168.100.2/24 upИ главное не забыть выдать ему права на исполнение (chmod +x)

[chikatillo]

Тогда вопрос, для поднятия туннеля используется NetworkManager? Он при поднятии vpn считает, что нижлежащий интерфейс уже не нужен пользователю и по возможности его деконфигурирует. Чтобы поддерживать его работоспособность можно попробовать пихнуть скрипт в /etc/network/if-up.d:

Код: [Выделить]

#!/bin/sh
ifconfig eth1 192.168.100.2/24 upИ главное не забыть выдать ему права на исполнение (chmod +x)

Бридж настраивал через sudo pppoeconf
интерфейс eth1  поднят так как  auto eth1 в interfaces
с комов в сети 192.168.1.2 пинг идет , на модем пинга нет даже с сервера


Вообщем чищу правила iptables  и модем виден, проблема появилась после изменения :

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s ! $INET_IP -j SNAT --to-source $INET_IP
на
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

Раньше когда модем был подключен в режиме роутера $INET_IFACE=eth1 , теперь $INET_IFACE=ppp0

[podkovyrsty]

99% что у тебя нет правильного маршрута до модема, тебе надо указать, через какой интерфейс нужно к нему обращаться.

[chikatillo]

99% что у тебя нет правильного маршрута до модема, тебе надо указать, через какой интерфейс нужно к нему обращаться.

через eth0 в eth1 на 192.168.1.22
через eth0 к eth1  пинг есть а вот дальше нет