Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Проблема с форвардингом iptables  (Прочитано 587 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kerevra

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Проблема с форвардингом iptables
« : 27 Март 2010, 21:39:11 »
Люди опытные! Подскажите, пожалуйста!
 
Есть сервачок на ubuntu server 9.10 (samba + маршрутизатор + прозрачный кальмар). Все бы ничего, так вот только возникла проблема с iptables: как только ставлю для цепочки FORWARD по умолчанию DROP, отваливается инет на рабочих станциях. Подскажите в чем может быть проблема....
 
Вот собственно сам скрипт(пускается при загрузке):
#!/bin/sh
 
iptables -F
 
iptables -A INPUT -i lo -j ACCEPT
 
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
 
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 91.197.193.127 --dport 80 -j DNAT --to-destination 192.168.0.2:81 # портмаппинг на web-сервер внутри сети
iptables -A FORWARD -i ppp0 -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A PREROUTING -p tcp --dport 80 ! -d 192.168.0.0/24 -j REDIRECT --to-port 3128
IPS=`cat /etc/squid/sarg.usertab | grep -Po "(\d{1,3}\.){3}\d{1,3}"` # берем из /etc/squid/sarg.usertab список ip, кому давать инет
for b in $IPS;
do
    iptables -A INPUT -i eth0 -p tcp --dport 3128 -s $b -j ACCEPT # даем инет каждому ip из списка
done
 
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -p tcp -m multiport --dports 25,110,443,53,993,5190,80,5222 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 91.197.193.127
 
iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT # на серваке есть hand-made приблуда и sarg, которые можно посмотреть только с одной машины в сети
iptables -A INPUT -p tcp -m multiport --dports 22,10000 -j ACCEPT
 
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 139,445,53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m multiport --dports 137,138,123,53 -j ACCEPT
 
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
 
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP # собственно ВОТ ЭТОТ момент и интересен. при таком раскладе ниодно правило цепочки FORWARD не работает

P.S.:
ppp0 - VPN смотрящий в инет;
eth0 - внутренний интерфейс;
eth1 - внешний интерфейс.
 
Заранее благодарен за советы!

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #1 : 27 Март 2010, 22:05:34 »
Что то не фига калмар то не похож на прозрачного. Лучше покажи sudo iptables-save, чтоб было явно видно, что загрузилось, а чего нет.

Пока из того видно, что должно отвалиться только "# портмаппинг на web-сервер внутри сети "

Оффлайн kerevra

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #2 : 27 Март 2010, 22:12:30 »
проблема в том, что сейчас этот скрипт немного по-другому выглядит... я разрешил весь форвардинг, чтобы народ в инет смотреть мог... а чем кальмар на прозрачного не похож то?
iptables -t nat -A PREROUTING -p tcp --dport 80 ! -d 192.168.0.0/24 -j REDIRECT --to-port 3128 - это по твоему что? кальмар 2.7STABLE6, в конфиге есть "http_port 3128 transparent", или я что-то не понимаю?

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #3 : 27 Март 2010, 22:13:59 »
А, сорри, проглядел в той каше. Теперь увидел.

Оффлайн misterx

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #4 : 27 Март 2010, 23:13:00 »
может источник соединений попробовать указать (-s 192.168.1.0/24 )

Оффлайн kerevra

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #5 : 28 Март 2010, 11:30:50 »
Цитировать
может источник соединений попробовать указать (-s 192.168.1.0/24 )
пробовал, не помогает

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #6 : 28 Март 2010, 11:55:59 »
Ну так что там с sudo iptables-save?

Оффлайн misterx

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #7 : 28 Март 2010, 13:30:10 »
присоединяюсь к Мамону. Да, и форвардинг вообще включен;))?

Оффлайн kerevra

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #8 : 28 Март 2010, 13:47:03 »
Цитировать
Да, и форвардинг вообще включен;))?
а как же тогда по твоему при iptables -P FORWARD ACCEPT все работает?

Оффлайн misterx

  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Проблема с форвардингом iptables
« Ответ #9 : 28 Март 2010, 14:09:35 »
Ну это так. На всякий.
Я в таких случаях оставляю всё по минимуму и начинаю по одному добавлять - ищем где затык.

 

Страница сгенерирована за 0.059 секунд. Запросов: 22.