Перестал работать iptables

[Sayman_nsk]

Приветствую. Вчера возникла проблема - ВНЕЗАПНО перестали работать правила в iptables, в частности проброс pptp, проброс ftp (активный режим). до этого работало всё хорошо.
система:

Код: [Выделить]

uname -a
Linux gate 4.4.0-185-generic #215-Ubuntu SMP Mon Jun 8 21:53:19 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

cat /etc/issue
Ubuntu 16.04.6 LTS \n \l

rc.local

Код: [Выделить]

modprobe ip_gre
modprobe ip_nat_pptp
modprobe ip_conntrack
modprobe nf_conntrack_ftp
modprobe nf_nat_ftp
/opt/ipt.sh

ipt.sh

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/bash

ipt="/sbin/iptables"

loc_if="enp6s1"
loc_if_172="enp6s1:172"
loc_if_1="enp6s1:1"
ext_if="enp0s25"
loc_net="192.168.100.0/24"
loc_net_1="192.168.1.0/24"
loc_ip="192.168.100.1"
ext_ip="200.101.202.203"

prox_srv="192.168.100.2"

$ipt -F
$ipt -t nat -F

#NAT
$ipt -t nat -A POSTROUTING -o $ext_if -j MASQUERADE

# пинги
$ipt -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$ipt -A INPUT -p icmp --icmp-type echo-request -j ACCEPT


# Отбрасываем неопознанные пакеты
$ipt -A INPUT -m state --state INVALID -j DROP
$ipt -A FORWARD -m state --state INVALID -j DROP


#ftp
$ipt -t nat -A PREROUTING -i $ext_if -p tcp --dport 20 -j DNAT --to-destination $prox_srv:20
$ipt -t nat -A PREROUTING -i $ext_if -p tcp --dport 21 -j DNAT --to-destination $prox_srv:21
$ipt -t nat -A PREROUTING -i $ext_if -p tcp --dport 1024:1048 -j DNAT --to-destination $prox_srv:1024-1048
$ipt -A FORWARD -d $prox_srv -p tcp --dport 20 -j ACCEPT
$ipt -A FORWARD -d $prox_srv -p tcp --dport 21 -j ACCEPT
$ipt -A FORWARD -d $prox_srv -p tcp --dport 1024:1048 -j ACCEPT


#pptp
#Разрешаем входящий PPTP
$ipt -A FORWARD -p gre -j ACCEPT
$ipt -A FORWARD -i $ext_if -p tcp --dport 1723 -j ACCEPT

# Форвардинг PPTP
$ipt -t nat -A PREROUTING -p tcp -d $ext_ip --dport 1723 -j DNAT --to-destination $prox_srv:1723
$ipt -t nat -A POSTROUTING -p tcp -d $prox_srv --dport 1723 -j SNAT --to-source $ext_ip
$ipt -A FORWARD -p gre -j ACCEPT
$ipt -I FORWARD 1 -i $ext_if -o $loc_if -d $prox_srv -p tcp -m tcp --dport 1723 -j ACCEPT


# Отбрасываем нулевые пакеты
$ipt -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Закрываемся от syn-flood атак
$ipt -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$ipt -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

#Разрешаем входящие из локалки и локальной петли, и все уже установленные соединения
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -i $loc_if -j ACCEPT
$ipt -A INPUT -i $loc_if_172 -j ACCEPT
$ipt -A INPUT -i $loc_if_1 -j ACCEPT
$ipt -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$ipt -I OUTPUT -m state --state NEW,ESTABLISHED,RELATED,INVALID -j ACCEPT
$ipt -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Остальные входящие запрещаем
$ipt -P INPUT DROP

$ipt -A FORWARD -i $ext_if -o $loc_if -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A FORWARD -i $loc_if -o $ext_if -j ACCEPT

#Остальной форвардинг запрещаем
$ipt -P FORWARD DROP



куда можно капнуть?

[AnrDaemon]

Копнуть можно в сторону нормальной загрузки правил, для начала.

[Sayman_nsk]

А что не так с загрузкой правил?
1. они работали почти 6 лет.
2. последнее изменение было 3 месяца назад (я в первопосте часть правил вырезал и оставил только проблемные). всё работало.
3. для проверки я уже пробовал iptables-save / iptables-restore, если вы на них намекаете. это не даёт никакого результата вообще.
ничего не меняется. а указанный метод загрузки правил вполне рабочий. мало чем отличается от iptables-restore кром етого, что bash вариант редактировать в разы проще/удобнее. это 146% не является причиной проблемы.
4. если вы говорите про загрузку из rc.local и менять надо на загрузку с сетью, то это тут совершенно не причём и ни на что не влияет.

[AnrDaemon]

Я не знаю, что вы использовали раньше. Вспомните - попробуем настроить.
Но использовать rc.local для этого неверно.

[MooSE]

Правила не загружаются или не работают?

[Sayman_nsk]

не работают указанные правила - для pptp и для ftp (активный режим, сервер ftp и pptp на базе win2003 r2, штатными средствами).

[AnrDaemon]

lsmod | grep conn

[Sayman_nsk]

Код: [Выделить]

lsmod | grep conn
nf_conntrack_netlink    40960  0
nfnetlink              16384  3 nfnetlink_log,nf_conntrack_netlink,nfnetlink_queue
xt_conntrack           16384  9
x_tables               36864  10 xt_CT,ip_tables,xt_tcpudp,ipt_MASQUERADE,xt_conntrack,xt_nat,xt_multiport,iptable_filter,ipt_REJECT,iptable_raw
nf_conntrack_ipv4      16384  23
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
nf_conntrack_ftp       20480  1 nf_nat_ftp
nf_conntrack_pptp      20480  14 nf_nat_pptp
nf_conntrack_proto_gre    16384  1 nf_conntrack_pptp
nf_conntrack          106496  12 nf_nat_ftp,xt_CT,nf_conntrack_proto_gre,nf_nat,nf_nat_ipv4,nf_nat_pptp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_netlink,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_pptp


[AnrDaemon]

Ну, все модули загружены. iptables-save показывайте.

[Sayman_nsk]

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Tue Jul 21 15:40:20 2020
*raw
:PREROUTING ACCEPT [919:292110]
:OUTPUT ACCEPT [48:22542]
COMMIT
# Completed on Tue Jul 21 15:40:20 2020
# Generated by iptables-save v1.6.0 on Tue Jul 21 15:40:20 2020
*nat
:PREROUTING ACCEPT [83:16325]
:INPUT ACCEPT [9:984]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i enp0s25 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.1.25:20
-A PREROUTING -i enp0s25 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.25:21
-A PREROUTING -i enp0s25 -p tcp -m tcp --dport 1024:1048 -j DNAT --to-destination 192.168.1.25:1024-1048
-A PREROUTING -d 195.101.102.103/32 -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.168.1.25:1723
-A POSTROUTING -o enp0s25 -j MASQUERADE
COMMIT
# Completed on Tue Jul 21 15:40:20 2020
# Generated by iptables-save v1.6.0 on Tue Jul 21 15:40:20 2020
*filter
:INPUT DROP [26:7714]
:FORWARD DROP [24:1855]
:OUTPUT ACCEPT [43:22052]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i enp6s1 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i enp0s25 -o enp6s1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp6s1 -o enp0s25 -j ACCEPT
-A FORWARD -d 192.168.1.25/32 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -d 192.168.1.25/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 192.168.1.25/32 -p tcp -m tcp --dport 1024:1048 -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -i enp0s25 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i enp0s25 -o enp6s1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
COMMIT
# Completed on Tue Jul 21 15:40:20 2020


[AnrDaemon]

-A PREROUTING -i enp0s25 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.1.25:20

Не нужно.

-A POSTROUTING -o enp0s25 -j MASQUERADE

Почему не SNAT, раз IP постоянный?

-A INPUT -m state --state INVALID -j DROP

Лучше conntrack/ctstate

-A FORWARD -d 192.168.1.25/32 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -d 192.168.1.25/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 192.168.1.25/32 -p tcp -m tcp --dport 1024:1048 -j ACCEPT

-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

Где у вас GRE роутится?
Всё, вижу.
Пользователь добавил сообщение 21 Июля 2020, 13:16:08:tcpdump смотрите.