нет.. вроде не делал
это чтоб логи работали и не ругалось.. ?
ага!
а проблема осталась?
у меня на у12.04.1 робит
да точно логи я ремонтировал ..
ты попробуй закрой все и открой например только ya.ru по имени.. не забудь проверить на кокам интерфейсе фисит фаер!
перезапусти и проверь как отрабатывает
обнаружил возможный косяк пока изучал доки к другому фаэрволу:
http://www.shorewall.net/index.html"IP-адреса
Перед тем как идти дальше, мы должны сказать несколько слов о Internet Protocol (IP)-адресах. Обычно, Ваш Интернет-провайдер (Internet Service Provider - ISP) назначает Вам один IP-адрес. Этот адрес может быть назначен статически, при помощи Протокола Динамического Конфигурирования Хостов (Dynamic Host Configuration Protocol - DHCP), в процессе установки Вами коммутированного соединения (обычный модем), или при установке Вами другого типа PPP (PPPoA, PPPoE и т.д.) соединения.
RFC-1918 резервирует несколько диапазонов Частных (Private) IP-адресов для использования в частных сетях:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
На эти адреса иногда ссылаются как на немаршрутизируемые потому, что магистральные маршрутизаторы Интернет не переправляют пакеты, адреса назначения которых зарезервированы RFC-1918. Хотя в некоторых случаях, ISP, назначающие эти адреса, используют затем Преобразование Сетевых Адресов (Network Address Translation - NAT) для перезаписи заголовков пакетов при перенаправлении в/из Интернет.
Перед запуском Shorewall, Вы должны взглянуть на IP-адрес Вашего внешнего интерфейса и, если он принадлежит одному из указанных выше диапазонов, Вы должны удалить опцию «norfc1918» из записи в /etc/shorewall/interfaces."
и действительно мой внешний IP за NAT у провайдера(билайн) висит с адресом: 10.201.191.х ... только почему-же ранее это работало а тепрь нет. попробую сереключиться на другую сеть с внешним адресом может заработает...
Пользователь решил продолжить мысль 06 Ноября 2012, 17:36:02:
ФАЕРВОЛ РАБОТАЕТ НОРМАЛЬНО:
# Generated by iptables-save v1.4.10 on Tue Nov 6 11:08:12 2012
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [57:3143]
:POSTROUTING ACCEPT [38:2307]
COMMIT
# Completed on Tue Nov 6 11:08:12 2012
# Generated by iptables-save v1.4.10 on Tue Nov 6 11:08:12 2012
*mangle
:PREROUTING ACCEPT [12:1227]
:INPUT ACCEPT [12:1227]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12:735]
:POSTROUTING ACCEPT [12:735]
COMMIT
# Completed on Tue Nov 6 11:08:12 2012
# Generated by iptables-save v1.4.10 on Tue Nov 6 11:08:12 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
[0:0] -A INPUT -s 217.118.66.243/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[12:1227] -A INPUT -s 217.118.66.243/32 -p udp -j ACCEPT
[0:0] -A INPUT -s 217.118.66.244/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[0:0] -A INPUT -s 217.118.66.244/32 -p udp -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
[0:0] -A INPUT -d 255.255.255.255/32 -i ppp0 -j DROP
[0:0] -A INPUT -s 224.0.0.0/8 -j DROP
[0:0] -A INPUT -d 224.0.0.0/8 -j DROP
[0:0] -A INPUT -s 255.255.255.255/32 -j DROP
[0:0] -A INPUT -d 0.0.0.0/32 -j DROP
[0:0] -A INPUT -m state --state INVALID -j DROP
[0:0] -A INPUT -f -m limit --limit 10/min -j LSI
[0:0] -A INPUT -i ppp0 -j INBOUND
[0:0] -A INPUT -j LOG_FILTER
[0:0] -A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
[0:0] -A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
[0:0] -A FORWARD -j LOG_FILTER
[0:0] -A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
[0:0] -A OUTPUT -s 10.201.193.237/32 -d 217.118.66.243/32 -p tcp -m tcp --dport 53 -j ACCEPT
[12:735] -A OUTPUT -s 10.201.193.237/32 -d 217.118.66.243/32 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -s 10.201.193.237/32 -d 217.118.66.244/32 -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -s 10.201.193.237/32 -d 217.118.66.244/32 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -s 224.0.0.0/8 -j DROP
[0:0] -A OUTPUT -d 224.0.0.0/8 -j DROP
[0:0] -A OUTPUT -s 255.255.255.255/32 -j DROP
[0:0] -A OUTPUT -d 0.0.0.0/32 -j DROP
[0:0] -A OUTPUT -m state --state INVALID -j DROP
[0:0] -A OUTPUT -o ppp0 -j OUTBOUND
[0:0] -A OUTPUT -j LOG_FILTER
[0:0] -A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
[0:0] -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INBOUND -s 46.163.100.220/32 -j ACCEPT
[0:0] -A INBOUND -s 204.9.163.225/32 -j ACCEPT
[0:0] -A INBOUND -s 78.141.177.180/32 -j ACCEPT
[0:0] -A INBOUND -s 93.158.134.198/32 -j ACCEPT
[0:0] -A INBOUND -s 87.250.250.117/32 -j ACCEPT
[0:0] -A INBOUND -s 213.180.204.117/32 -j ACCEPT
[0:0] -A INBOUND -s 213.180.193.117/32 -j ACCEPT
[0:0] -A INBOUND -s 93.158.134.215/32 -j ACCEPT
[0:0] -A INBOUND -s 213.180.204.215/32 -j ACCEPT
[0:0] -A INBOUND -s 213.180.193.215/32 -j ACCEPT
[0:0] -A INBOUND -p tcp -m tcp --dport 5938 -j ACCEPT
[0:0] -A INBOUND -p udp -m udp --dport 5938 -j ACCEPT
[0:0] -A INBOUND -p tcp -m tcp --dport 53899 -j ACCEPT
[0:0] -A INBOUND -p udp -m udp --dport 53899 -j ACCEPT
[0:0] -A INBOUND -j LSI
[0:0] -A LSI -j LOG_FILTER
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
[0:0] -A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -p icmp -m icmp --icmp-type 8 -j DROP
[0:0] -A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -j DROP
[0:0] -A LSO -j LOG_FILTER
[0:0] -A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
[0:0] -A LSO -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTBOUND -p icmp -j ACCEPT
[0:0] -A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTBOUND -d 85.142.0.15/32 -j ACCEPT
[0:0] -A OUTBOUND -d 192.168.25.63/32 -j ACCEPT
[0:0] -A OUTBOUND -d 195.208.1.106/32 -j ACCEPT
[0:0] -A OUTBOUND -d 46.163.100.220/32 -j ACCEPT
[0:0] -A OUTBOUND -d 204.9.163.225/32 -j ACCEPT
[0:0] -A OUTBOUND -d 78.141.177.180/32 -j ACCEPT
[0:0] -A OUTBOUND -d 93.158.134.198/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.226/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.231/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.244/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.228/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.241/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.240/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.239/32 -j ACCEPT
[0:0] -A OUTBOUND -d 194.85.88.243/32 -j ACCEPT
[0:0] -A OUTBOUND -d 213.180.204.117/32 -j ACCEPT
[0:0] -A OUTBOUND -d 87.250.250.117/32 -j ACCEPT
[0:0] -A OUTBOUND -d 213.180.193.117/32 -j ACCEPT
[0:0] -A OUTBOUND -d 93.158.134.215/32 -j ACCEPT
[0:0] -A OUTBOUND -d 213.180.204.215/32 -j ACCEPT
[0:0] -A OUTBOUND -d 213.180.193.215/32 -j ACCEPT
[0:0] -A OUTBOUND -p tcp -m tcp --dport 5938 -j ACCEPT
[0:0] -A OUTBOUND -p udp -m udp --dport 5938 -j ACCEPT
[0:0] -A OUTBOUND -p tcp -m tcp --dport 53899 -j ACCEPT
[0:0] -A OUTBOUND -p udp -m udp --dport 53899 -j ACCEPT
[0:0] -A OUTBOUND -j LSO
COMMIT
# Completed on Tue Nov 6 11:08:12 2012
Пользователь решил продолжить мысль 06 Ноября 2012, 17:36:47:
ФАЕРВОЛЛ РАБОТАЕТ НЕ НОРМАЛЬНО ( НЕ РАБОТАЕТ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!)
# Generated by iptables-save v1.4.12 on Tue Nov 6 16:52:32 2012
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [1545:99170]
:POSTROUTING ACCEPT [543:34834]
COMMIT
# Completed on Tue Nov 6 16:52:32 2012
# Generated by iptables-save v1.4.12 on Tue Nov 6 16:52:32 2012
*mangle
:PREROUTING ACCEPT [1928:193453]
:INPUT ACCEPT [1928:193453]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2930:217933]
:POSTROUTING ACCEPT [1928:153597]
COMMIT
# Completed on Tue Nov 6 16:52:32 2012
# Generated by iptables-save v1.4.12 on Tue Nov 6 16:52:32 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
[0:0] -A INPUT -s 127.0.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
[968:62840] -A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
[906:83824] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
[0:0] -A INPUT -d 255.255.255.255/32 -i ppp0 -j DROP
[0:0] -A INPUT -s 224.0.0.0/8 -j DROP
[0:0] -A INPUT -d 224.0.0.0/8 -j DROP
[0:0] -A INPUT -s 255.255.255.255/32 -j DROP
[0:0] -A INPUT -d 0.0.0.0/32 -j DROP
[0:0] -A INPUT -m state --state INVALID -j DROP
[0:0] -A INPUT -f -m limit --limit 10/min -j LSI
[54:46789] -A INPUT -i ppp0 -j INBOUND
[0:0] -A INPUT -j LOG_FILTER
[0:0] -A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
[0:0] -A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
[0:0] -A FORWARD -j LOG_FILTER
[0:0] -A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
[0:0] -A OUTPUT -s 10.200.147.129/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A OUTPUT -s 10.200.147.129/32 -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
[1874:146664] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -s 224.0.0.0/8 -j DROP
[0:0] -A OUTPUT -d 224.0.0.0/8 -j DROP
[0:0] -A OUTPUT -s 255.255.255.255/32 -j DROP
[0:0] -A OUTPUT -d 0.0.0.0/32 -j DROP
[0:0] -A OUTPUT -m state --state INVALID -j DROP
[960:65389] -A OUTPUT -o ppp0 -j OUTBOUND
[0:0] -A OUTPUT -j LOG_FILTER
[0:0] -A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
[54:46789] -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INBOUND -p tcp -m tcp --dport 5938 -j ACCEPT
[0:0] -A INBOUND -p udp -m udp --dport 5938 -j ACCEPT
[0:0] -A INBOUND -p tcp -m tcp --dport 53899 -j ACCEPT
[0:0] -A INBOUND -p udp -m udp --dport 53899 -j ACCEPT
[0:0] -A INBOUND -j LSI
[0:0] -A LSI -j LOG_FILTER
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
[0:0] -A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -p icmp -m icmp --icmp-type 8 -j DROP
[0:0] -A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
[0:0] -A LSI -j DROP
[906:58456] -A LSO -j LOG_FILTER
[63:3626] -A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
[906:58456] -A LSO -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTBOUND -p icmp -j ACCEPT
[54:6933] -A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTBOUND -d 85.142.0.15/32 -j ACCEPT
[0:0] -A OUTBOUND -p tcp -m tcp --dport 5938 -j ACCEPT
[0:0] -A OUTBOUND -p udp -m udp --dport 5938 -j ACCEPT
[0:0] -A OUTBOUND -p tcp -m tcp --dport 53899 -j ACCEPT
[0:0] -A OUTBOUND -p udp -m udp --dport 53899 -j ACCEPT
[906:58456] -A OUTBOUND -j LSO
COMMIT
# Completed on Tue Nov 6 16:52:32 2012
Тема: Перестал работать Firestarter на "U12.04LTS" , а на "U11.10" работает нормально (Прочитано 2263 раз)
