Не работает iptables

Гость 13 декабря, 2007 - 04:51

Системное администрирование

Добрый день! Ситуация такая:
На машине крутится mysql и ssh. Не работают исходящие соединения из этой машины. Не могу из нее подключиться куда-либо еще. В чем может быть ошибка?

Цитата:

#!/bin/bash

IPTABLES=/sbin/iptables

$IPTABLES -F

$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p tcp -m multiport --dport 22,3306 -j ACCEPT

Для комментирования войдите или зарегистрируйтесь

очевидно

Автор raskapulk, дата создания 13 декабря, 2007 - 21:58.

очевидно исходящие по tcp протоколу не разрешены ?
_______________________________________
грех обманывать компиляторы в субботу

Для комментирования войдите или зарегистрируйтесь

Разрешены

Автор allein (не зарегистрирован), дата создания 14 декабря, 2007 - 01:53.

Вот это разве не разрешает?

Цитата:

$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Для комментирования войдите или зарегистрируйтесь

Вроде как всё

Автор PK, дата создания 13 декабря, 2007 - 22:46.

Вроде как всё пучком. Странно...
Покажи iptables -L -v

Для комментирования войдите или зарегистрируйтесь

Quote: Chain INPUT (policy

Автор allein (не зарегистрирован), дата создания 14 декабря, 2007 - 01:51.

Цитата:

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo any anywhere anywhere
0 0 ACCEPT udp -- venet0 any anywhere anywhere
0 0 ACCEPT icmp -- venet0 any anywhere anywhere
0 0 ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:mysql
0 0 ACCEPT tcp -- venet0 any anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Для комментирования войдите или зарегистрируйтесь

Всё нормально,

Автор PK, дата создания 14 декабря, 2007 - 10:39.

Всё нормально, вроде. А при отключенных iptables соединения устанавливаются?
Можно ещё попробовать:

iptables -F
iptables -X

Для комментирования войдите или зарегистрируйтесь

При отключенном

Автор allein (не зарегистрирован), дата создания 15 декабря, 2007 - 12:58.

При отключенном устанавливается все нормально.

Для комментирования войдите или зарегистрируйтесь

Ан нет. Не всё

Автор PK, дата создания 14 декабря, 2007 - 20:42.

Ан нет. Не всё мне понятно. Вот вот это не понятно:

0 0 ACCEPT udp -- venet0 any anywhere anywhere
 0 0 ACCEPT icmp -- venet0 any anywhere anywhere
 0 0 ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:ssh
 0 0 ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:mysql
 0 0 ACCEPT tcp -- venet0 any anywhere anywhere state RELATED,ESTABLISHED

На месте выделенного должно быть any
Т.е. что-то вроде этого:

2079K 1011M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
41282 2628K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpts:ftp-data:ftp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpts:1024:1030
    3   120 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp spts:ftp-data:ftp

Таки попробуй:

iptables -F
iptables -X

Для комментирования войдите или зарегистрируйтесь

venet0

Автор allein (не зарегистрирован), дата создания 15 декабря, 2007 - 13:02.

venet0 - это мой сетевой интерфейс, то же самое что и eth0. Дело в том что я все это настраиваю в виртуальной машине OpenVZ. А там другое имя для этого интерфейса. Я его указываю явным образом в доработанном верхнем скрипте, когда пытался, чтобы скрипт заработал.

Для комментирования войдите или зарегистрируйтесь

Йоптыть! А кто у

Автор PK, дата создания 15 декабря, 2007 - 21:36.

Йоптыть! А кто у тебя пробрасывает обращение с eth0 на venet0? Мож конечно сама виртуалка... Не имею такого опыта... :-(

Для комментирования войдите или зарегистрируйтесь

Да, совершенно

Автор allein (не зарегистрирован), дата создания 20 декабря, 2007 - 21:12.

Да, совершенно верно, этим занимается ядро виртуальной машины.

Для комментирования войдите или зарегистрируйтесь

мой рабочий вариант

Автор mvau, дата создания 14 декабря, 2007 - 09:39.

Может кто найдет полезным. Смысл такой, две сети через vpn, с одной стороны linux с другой freebsd. Пользователи сети с linux ходят в инет через vpn и сеть c freebsd. Соответственно на linux вот такой iptables.

# Generated by iptables-save v1.3.8 on Thu Dec 13 00:38:44 2007
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:67]

-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Dec 13 00:38:44 2007
# Generated by iptables-save v1.3.8 on Thu Dec 13 00:38:44 2007
*filter
:INPUT ACCEPT [1084:130870]
:FORWARD ACCEPT [82:4920]
:OUTPUT ACCEPT [454:44888]
-A INPUT -i eth0 -p tcp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -p tcp -j ACCEPT
-A FORWARD -d 212.46.0.3 -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Dec 13 00:38:44 2007