Главная » Форум » Gentoo Linux » Системное администрирование

Проблемма с IPTABLES

DeAn 11 Августа, 2006 - 10:33

После смены винта, по непонятной причине перестали открыватся
некоторые странички например www.gentoo.org и другие обновление
Gentoo не происходит, не качает новые файлы, на втором компе.
На сервере все в порядке.

IPTABLES настраивался по http://www.gentoo.org/doc/ru/home-router-howto.xml
И до этого все работало а тут вдруг перестало.

Как сделать чтоб работало как прежде?

Информации по IPTABLES много даже слишком, возникает путаница.

‹ про mysql Mysql Windows -->Mysql Linux ›
»

Телепаты в бой!

Автор Storm, дата создания 11 Августа, 2006 - 10:41.

Раз два три четыре пять, начинаем телепать?
iptables -n -L как минимум в студию пожалуйста.

»

Вот содержимое

Автор DeAn, дата создания 11 Августа, 2006 - 12:47.

Вот содержимое и то что выдала по iptables -n -L
/var/lib/iptables/rules-save

*nat
:PREROUTING ACCEPT [223128:12315404]
:POSTROUTING ACCEPT [40:4432]
:OUTPUT ACCEPT [242:17008]
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 6881:6889 -j DNAT --to-destination 10.0.0.$
[14:696] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 4662 -j DNAT --to-destination 10.0.0.0
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 4661 -j DNAT --to-destination 10.0.0.0
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 4672 -j DNAT --to-destination 10.0.0.0
[0:0] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 10.0.0.0
[1428:75455] -A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*mangle
:PREROUTING ACCEPT [7352460:4555303726]
:INPUT ACCEPT [738493:229405995]
:FORWARD ACCEPT [6588731:4324517662]
:OUTPUT ACCEPT [698062:182983420]
:POSTROUTING ACCEPT [7322821:4505810656]
COMMIT
*filter
:INPUT ACCEPT [252:23170]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [14395:7870717]
[0:0] -A INPUT -i lo -j ACCEPT
[15406:2305528] -A INPUT -i eth0 -j ACCEPT
[0:0] -A INPUT -i ! eth0 -p udp -m udp --dport 67 -j REJECT --reject-with icmp-port-unreacha$
[0:0] -A INPUT -i ! eth0 -p udp -m udp --dport 53 -j REJECT --reject-with icmp-port-unreacha$
[0:0] -A INPUT -i ! eth0 -p tcp -m tcp --dport 0:1023 -j DROP
[7:5532] -A INPUT -i ! eth0 -p udp -m udp --dport 0:1023 -j DROP
[59:7690] -A INPUT -p udp -j ACCEPT
[2:176] -A INPUT -p icmp -j ACCEPT
[0:0] -A FORWARD -d 10.0.0.0/255.255.255.0 -i eth0 -j DROP
[29053:20197698] -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth0 -j ACCEPT
[24046:12476508] -A FORWARD -d 10.0.0.0/255.255.255.0 -i ppp0 -j ACCEPT
COMMIT

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 reject-with icmp-port-unreachable
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 reject-with icmp-port-unreachable
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:0:1023
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
DROP all -- 0.0.0.0/0 10.0.0.0/24
ACCEPT all -- 10.0.0.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.0.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

»

Попробуй

Автор Storm, дата создания 11 Августа, 2006 - 15:31.

Попробуй так:

iptables -F
iptables -t nat -F
iptables -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 213.27.39.16
iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth0 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/255.255.255.0 -i ppp0 -j ACCEPT
iptables -A INPUT -p TCP -i ! eth0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! eth0 --dport 0:1023 -j DROP
»

При попытке

Автор DeAn, дата создания 11 Августа, 2006 - 15:38.

При попытке зайти на www.gentoo.org
Пишет "Установлено соединение с www.gentoo.org. Ожидается ответ"
Похоже что до сервера доходит а дальше не пускает.

»

Пардон

Автор Storm, дата создания 11 Августа, 2006 - 15:42.

На автомате написал
iptables -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 213.27.39.16 - тут конечно же должен быть твой внешний IP.

UPDATE: забыл еще, вот так должно быть поидее:
iptables -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source YOUR_INET_IP

»

Да я так и

Автор DeAn, дата создания 12 Августа, 2006 - 10:40.

Да я так и сделал но ответ
iptables: No chain/target/match by that name

Ладно счас снова сделаю все сначала посмотрю ядро.
А там посмотрим.

далее даём обнуление
iptables -n -L
iptables -t nat -F

Умолчания
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

export LAN=eth0
export WAN=ppp0

Только для лан закрываем
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT

iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

правила для NAT
iptables -I FORWARD -i ${LAN} -d 10.0.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 10.0.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 10.0.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

Теоретически должно работать?

»

Настройки ядра

Автор DeAn, дата создания 12 Августа, 2006 - 15:23.

Настройки ядра могут на эту ситуацию влиять???

»

Сорри, писал без проверки

Автор Storm, дата создания 14 Августа, 2006 - 10:09.
Цитата:
Да я так и сделал но ответ
iptables: No chain/target/match by that name

Забыл еще 1 ключик, должно быть так:
iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source YOUR_INET_IP

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".