Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Подскажи с проблемой  (Прочитано 1346 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Подскажи с проблемой
« : 02 Декабря 2009, 14:44:50 »
Возникла такая ситуация на Ubuntu 9.04
поднят шлюз в связке bind9+squid+apach2+lithgsquid
казалось бы все отлично через прокси инет ходит все хорошо
НО у меня прозрачный прокси!
вижу что проблема в iptables прокурил форумы настроил инет заработал все типо в порядке.
НО нет пингов в интернет и не работают не аська ни торрент
разрешил им порты и icmp должно быть все в порядке
и опять НО :)
не не работает
начал копать глубже решил поиздеватся на iptables
https://help.ubuntu.com/community/IptablesHowTo тут нашел правила отключающие фаервол
не поверите не работает :) теперь еще и инет отвалился.
у кого какие мысли по этому поводу?
выкладыю конфиги
iptables-save:
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 14:41:01 2009
*filter
:INPUT ACCEPT [118:16065]
:FORWARD ACCEPT [111:5376]
:OUTPUT ACCEPT [101:12415]
COMMIT
# Completed on Wed Dec  2 14:41:01 2009
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 14:41:01 2009
*nat
:PREROUTING ACCEPT [5921:718376]
:POSTROUTING ACCEPT [62:3446]
:OUTPUT ACCEPT [24:1610]
COMMIT
# Completed on Wed Dec  2 14:41:01 2009
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 14:41:01 2009
*mangle
:PREROUTING ACCEPT [6095:735564]
:INPUT ACCEPT [118:16065]
:FORWARD ACCEPT [111:5376]
:OUTPUT ACCEPT [101:12415]
:POSTROUTING ACCEPT [212:17791]
COMMIT
# Completed on Wed Dec  2 14:41:01 2009

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:04:76:1d:82:2f
          inet addr:10.3.93.5  Bcast:10.3.93.255  Mask:255.255.255.0
          inet6 addr: fe80::204:76ff:fe1d:822f/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11537 errors:0 dropped:0 overruns:1 frame:0
          TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:1271656 (1.2 MB)  TX bytes:3965 (3.9 KB)
          Прервано:21 Base address:0x4c00

eth2      Link encap:Ethernet  HWaddr 00:50:04:c2:24:82
          inet addr:213.170.69.140  Bcast:213.170.69.140  Mask:255.255.255.248
          inet6 addr: fe80::250:4ff:fec2:2482/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:281 errors:0 dropped:0 overruns:0 frame:0
          TX packets:238 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:27532 (27.5 KB)  TX bytes:22076 (22.0 KB)
          Прервано:22 Base address:0x4800

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:26 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:2010 (2.0 KB)  TX bytes:2010 (2.0 KB)

interfaces:
auto eth0
iface eth0 inet static
       address 10.3.93.5
       netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.rules
скрипт на iptables
echo "Stopping firewall and allowing everyone..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Форвардинг включен
Народ подскажи как эту проблему решить бьюсь уже 3 дня

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #1 : 02 Декабря 2009, 14:57:36 »
Круто! Ты убил все правила iptables. Файрволл это не только блокировщик портов и коннектов. Это комплексная система защиты, которая находится между сетями, которая включает в себя и DNAT и SNAT и т.п. И не светил бы внешним айпишнеком, пока не настроишь взад всё... В /etc/iptables.rules осталось чего-либо?




Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #2 : 02 Декабря 2009, 15:09:35 »
ip внешний я поменял  политики безопасности знаю
да там все осталось
наполнение такое:
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 15:08:47 2009
*filter
:INPUT ACCEPT [296:23134]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [251:90448]
COMMIT
# Completed on Wed Dec  2 15:08:47 2009
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 15:08:47 2009
*nat
:PREROUTING ACCEPT [6976:859494]
:POSTROUTING ACCEPT [20:1163]
:OUTPUT ACCEPT [10:683]
COMMIT
# Completed on Wed Dec  2 15:08:47 2009
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 15:08:47 2009
*mangle
:PREROUTING ACCEPT [20053:17082870]
:INPUT ACCEPT [13082:16227902]
:FORWARD ACCEPT [32:1608]
:OUTPUT ACCEPT [8313:809888]
:POSTROUTING ACCEPT [8345:811496]
COMMIT
# Completed on Wed Dec  2 15:08:47 2009


Пользователь решил продолжить мысль 02 Декабря 2009, 15:12:05:
суть то не в этом что убил не убил это для проверки!
они все равно неработают!!!
« Последнее редактирование: 02 Декабря 2009, 15:12:05 от jam_house »

Оффлайн Frank

  • Старожил
  • *
  • Сообщений: 1799
  • Профессиональный любитель
    • Просмотр профиля
    • Народный форум Николаева
Re: Подскажи с проблемой
« Ответ #3 : 02 Декабря 2009, 15:12:48 »
Это дефолтные правила для интернета по прямому кабельному соединению. Правила просты: разрешено всё. Ничего не отсеивается, ничего не модифицируется, ничего не перенаправляется.

Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #4 : 02 Декабря 2009, 15:17:47 »
если это дефолтные правила для интернета по прямому кабельному соединению.
то по идее должно работать все. так
но оно не работает.
я прошу вас помочь в затыке!

Оффлайн Frank

  • Старожил
  • *
  • Сообщений: 1799
  • Профессиональный любитель
    • Просмотр профиля
    • Народный форум Николаева
Re: Подскажи с проблемой
« Ответ #5 : 02 Декабря 2009, 15:19:42 »
у тебя не прописан на клиенте шлюз по умолчанию

Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #6 : 02 Декабря 2009, 15:30:39 »
в том то идело что все прописано и шлюз и DNS
когда проставляю прокси инет работает!
когда прокси убираю нет!

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #7 : 02 Декабря 2009, 15:55:38 »
когда проставляю прокси инет работает!
когда прокси убираю нет!
Ессно, iptables то чистый, поэтому трафик и не заворачивается на прокси. Что там раньше было? http на сквид и для остального NAT?

Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #8 : 02 Декабря 2009, 16:07:59 »
точно :) мой косяк тупанул!
написал правила
инет работает

НО вопрос не снимается
выкладываю
iptables-save
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 16:05:51 2009
*mangle
:PREROUTING ACCEPT [706571:235741745]
:INPUT ACCEPT [2433:210035]
:FORWARD ACCEPT [70:3388]
:OUTPUT ACCEPT [2231:226989]
:POSTROUTING ACCEPT [2301:230377]
COMMIT
# Completed on Wed Dec  2 16:05:51 2009
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 16:05:51 2009
*nat
:PREROUTING ACCEPT [705174:235596967]
:POSTROUTING ACCEPT [162:11187]
:OUTPUT ACCEPT [138:10007]
-A PREROUTING -s 10.3.93.0/24 -d 10.3.93.5/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s 10.3.93.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Dec  2 16:05:51 2009
# Generated by iptables-save v1.4.1.1 on Wed Dec  2 16:05:51 2009
*filter
:INPUT ACCEPT [1:60]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [309:35350]
-A INPUT -s 10.3.93.0/24 -d 10.3.93.5/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A FORWARD -m state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type any -j ACCEPT
COMMIT
# Completed on Wed Dec  2 16:05:51 2009
не работают пинги!
как правильно разрешить подключение к торрентам?
« Последнее редактирование: 02 Декабря 2009, 16:10:08 от jam_house »

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #9 : 02 Декабря 2009, 16:21:14 »
не работают пинги!
Откуда и куда? Сейчас шлюз с голой жопой. Ничего не запрещено.
как правильно разрешить подключение к торрентам?
Настроить в клиенте диапазон портов для входящих подключений и внешний адрес. В случае локалхоста, убедиться, что данные порты не фильтруются, а в случае, когда за шлюзом, настроить соответственно требованиям DNAT.

Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #10 : 02 Декабря 2009, 16:32:07 »
не работают пинги!
Откуда и куда? Сейчас шлюз с голой жопой. Ничего не запрещено.
как правильно разрешить подключение к торрентам?
Настроить в клиенте диапазон портов для входящих подключений и внешний адрес. В случае локалхоста, убедиться, что данные порты не фильтруются, а в случае, когда за шлюзом, настроить соответственно требованиям DNAT.

пинги не идут с локальной машины в интернет
ping www.mail.ru ни чего не дает пакеты отбрасываются

пробовал таким образом
$IPTABLES -A INPUT   -p icmp -m icmp --icmp-type any -j ACCEPT
$IPTABLES -A FORWARD -p icmp -m icmp --icmp-type any -j ACCEPT
не работает

для торрента пробовал
-A INPUT -p tcp -m state -m tcp --dport 58110 --state NEW -j ACCEPT
-A FORWARD -p tcp -m tcp -i eth2 -o eth0 --dport 58110 -j ACCEPT
не работает

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #11 : 02 Декабря 2009, 16:47:23 »
не идут с локальной машины
Т.е. это не с шлюза, а с машины, которая за ним? Ну ведь пакеты то не NAT'ятся, а вышестоящий шлюз не знает о твоей другой подсети. Надо iptables настраивать, чтоб маскировал адреса, которые за шлюзом. Сейчас через шлюз только http по 80 порту будет работать, потому что заворачивается в squid.

Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #12 : 02 Декабря 2009, 17:01:07 »
не идут с локальной машины
Т.е. это не с шлюза, а с машины, которая за ним? Ну ведь пакеты то не NAT'ятся, а вышестоящий шлюз не знает о твоей другой подсети. Надо iptables настраивать, чтоб маскировал адреса, которые за шлюзом. Сейчас через шлюз только http по 80 порту будет работать, потому что заворачивается в squid.
понятно
а как это сделать нужно читать про itables чем я и занимался три дня
ладно спасибо что не отказали!!!

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #13 : 02 Декабря 2009, 17:35:03 »
Если понимать матчасть, то iptables будет казаться довольно тривиальными.

# eth0 - локалка
# eth2 - интернет

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport порт -j DNAT --to куда_нужно_пробрасывать_трафик_по_этому_порту

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
« Последнее редактирование: 03 Декабря 2009, 12:32:16 от Mam(O)n »

Оффлайн jam_house

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Подскажи с проблемой
« Ответ #14 : 02 Декабря 2009, 17:39:11 »
Если понимать матчасть, то iptables будет казаться довольно тривиальными.

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 58110 -j DNAT --to куда_нужно_пробрасывать_трафик_по_порту_58110
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

хорошо попробую завтра
спасиб

 

Страница сгенерирована за 0.098 секунд. Запросов: 23.