Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Проблема с iptables - не открываются многие сайты  (Прочитано 746 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн belijandrey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Доброго времени суток.
У пользователей не открываются большинство сайтов. Браузер долго делает вид, что пытается загрузить страницу, потом показывает фигу.
Самому разобраться с iptables не получается - прошу Вашей помощи.

kornevkadmin@router:~$ iptables-save
# Generated by iptables-save v1.4.0 on Wed Nov 19 16:09:15 2014
*mangle
:PREROUTING ACCEPT [18531:5962439]
:INPUT ACCEPT [1422:587240]
:FORWARD ACCEPT [17033:5347630]
:OUTPUT ACCEPT [1407:546221]
:POSTROUTING ACCEPT [18348:5854320]
COMMIT
# Completed on Wed Nov 19 16:09:15 2014
# Generated by iptables-save v1.4.0 on Wed Nov 19 16:09:15 2014
*nat
:PREROUTING ACCEPT [1023:99994]
:POSTROUTING ACCEPT [48:4180]
:OUTPUT ACCEPT [200:14388]
-A PREROUTING -d 85............/32 -p tcp -m tcp --dport 15123 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -o ppp0 -j SNAT --to-source 85..........
COMMIT
# Completed on Wed Nov 19 16:09:15 2014
# Generated by iptables-save v1.4.0 on Wed Nov 19 16:09:15 2014
*filter
:INPUT DROP [22:1594]
:FORWARD DROP [4:775]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 192.168.0.5/32 -i lo -j ACCEPT
-A INPUT -s 85.........../32 -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 85........../32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A FORWARD -d 192.168.0.1/32 -i ppp0 -o eth0 -p tcp -m tcp --dport 15123 -j ACCEPT
-A FORWARD -s 192.168.0.11/32 -p tcp -j ACCEPT
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.0.5/32 -j ACCEPT
-A OUTPUT -s 85........./32 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 22333 -j allowed
COMMIT
# Completed on Wed Nov 19 16:09:15 2014


Думаю где-то на сервере существует файл со списком запрещённый сайтов, типа Одноклассники, Вконтакте и т.п.
Как подтвердить или опровергнуть это?

Оффлайн bukass

  • Активист
  • *
  • Сообщений: 976
    • Просмотр профиля
belijandrey,
Сайт при этом пингуется? Тот что не открывается?
mtu?

Добавить в filter

-A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Всем пора в Изумрудный город, кому за умом, кому за сердцем.

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
belijandrey, доступ клиентов в инет через NAT или Proxy?

Оффлайн belijandrey

  • Автор темы
  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
1. Сайты пингуются.
2. mtu 1492. Пробывал уменьшать - не помогает.
3. Пользователи работают без прокси.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13749
    • Просмотр профиля
Добавить в filter
Только не а filter, а в mangle
Но, в любом случае не помешает

1. Сайты пингуются.
2. mtu 1492. Пробывал уменьшать - не помогает.
показываем
tracepath -n bad_site
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Ещё надо с клиента проверить DNS:
nslookup example.org
nslookup example.org 8.8.8.8

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13749
    • Просмотр профиля
если бы была проблема с DNS, то браузер бы сразу сказал, что имя не разрешено
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
fisher74, проблемы DNS бывают разные.
Например, DNS может отдавать некорректный ответ на часть запросов.
Или он может быть полностью скомпрометирован злоумышленником.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13749
    • Просмотр профиля
тоже верно, согласен.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27305
    • Просмотр профиля
В tracepath -n это будет видно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1705
  • חתול המדען
    • Просмотр профиля
в filter
Лучше в mangle, она специально для таких целей.
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн bukass

  • Активист
  • *
  • Сообщений: 976
    • Просмотр профиля
Цитата: fisher74
Добавить в filter
Только не а filter, а в mangle
Но, в любом случае не помешает

Исправил у себя, раз правильно так.



Пользователь решил продолжить мысль 20 Ноябрь 2014, 05:26:47:
2. mtu 1492. Пробывал уменьшать - не помогает.

На клиентском ПК?
« Последнее редактирование: 20 Ноябрь 2014, 05:26:47 от bukass »
Всем пора в Изумрудный город, кому за умом, кому за сердцем.

 

Страница сгенерирована за 0.227 секунд. Запросов: 24.