red hat en4 iptables

[FormaCvt]

помогите разобраться

установлен redhat en4

eth0 192.168.0.111 в локальную сеть

eth2 192.168.1.4 в инет (dhcp от провайдера)

ppp0 adsl модем PPPoE

подключаюсь под root #ifup ppp0

пингую адрес сайта провайдера

нормально проходит ну и остальные инет адреса тоже

файл /etc/sysconfig/iptables

# Generated by iptables-save v1.2.11 on Fri Jun 9 12:12:49 2006

*filter

:INPUT ACCEPT [339:33015]

:FORWARD DROP [8:480]

:OUTPUT ACCEPT [276:23887]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j DROP

-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j DROP

-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP

-A INPUT -i ppp+ -p icmp -m icmp --icmp-type 8 -j DROP

-A INPUT -s 192.168.0.1 -p tcp -m tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT

-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT

-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Completed on Fri Jun 9 12:12:49 2006

# Generated by iptables-save v1.2.11 on Fri Jun 9 12:12:49 2006

*nat

:PREROUTING ACCEPT [137:17680]

:POSTROUTING ACCEPT [10:1146]

:OUTPUT ACCEPT [62:5352]

-A POSTROUTING -o ppp+ -j MASQUERADE

COMMIT

# Completed on Fri Jun 9 12:12:49 2006

с машины под windows XP

шлюз по умолчанию 192.168.0.111

ping 192.168.0.111 проходит

ping 192.168.1.4 проходит

ping статический белый IP проходит

ping сайт провайдера ----- не проходит

Превышен интервал ожидания для запроса.

и вот эти строки не понятны

-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT

-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT

цель

что бы компы с адресами 192.168.0.1 192.168.0.23

могли пинговать

адреса интернета

[Ineu]

Форвардинг разрешен?

[FormaCvt]

EvilShadow писал(а) Птн, 09 Июня 2006 17:45

Форвардинг разрешен?

а как же

#cat /proc/sys/net/ipv4/ip_forward

#1

[FormaCvt]

хочется добавить

я конечно хотел бы услышать мнение

специалистов по поводу моего iptables

и еще #ifup ppp0

я запускаю от имени root

может быть из за этот клинты не выходят в инет

вопрос конечно вам покажется ламерским

раскажите как заставить

запускаться ppp0 от имени пользователя

если можно то подробнее

это мои первые шаги в linux

[Byte]

а что мешает запуcкать от имени пользователя?

[SignFinder]

Цитата:

Форвардинг разрешен? а как же #cat /proc/sys/net/ipv4/ip_forward #1

нет не разрешен. форвард состоит из двух частей

Цитата:

:FORWARD DROP [8:480]

Цитата:

и вот эти строки не понятны -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT

это для ipv6 они вам не нужны

[Ineu]

Dr.Spectre писал(а) Птн, 09 Июня 2006 20:37

Цитата: Форвардинг разрешен? а как же #cat /proc/sys/net/ipv4/ip_forward #1 нет не разрешен. форвард состоит из двух частей Цитата: :FORWARD DROP [8:480]

Тьфу ты... а я и не заметил... А правило улыбнуло

[FormaCvt]

Уважаемый Dr.Spectre и другие не менее уважаемые коллеги

очень прошу Вас поправить меня где не прав

цель

как я уже говорил

что бы компы с адресами 192.168.0.1 192.168.0.23

могли пинговать

адреса интернета

я удалил файл /etc/sysconfig/iptables

дальше пишу

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -A INPUT -j ACCEPT -i lo

iptables -A INPUT -j ACCEPT -p all -i eth0 -s 192.168.0.1/24

iptables -A INPUT -j ACCEPT -p all -i eth0 -s 192.168.0.23/24

iptables -A FORWARD -j ACCEPT -s 192.168.0.1/24

iptables -A FORWARD -j ACCEPT -d 192.168.0.1/24

iptables -A FORWARD -j ACCEPT -s 192.168.0.23/24

iptables -A FORWARD -j ACCEPT -d 192.168.0.23/24

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.1/24

iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.23/24

#это можно было бы и не писать пока но у меня

#через PuTTY мне работать удобнее

iptables -A INPUT -s 192.168.0.10 -p tcp --dport ssh -j ACCEPT

все выполняю

# iptables -L

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT all -- anywhere anywhere

ACCEPT all -- 192.168.0.0/24 anywhere

ACCEPT all -- 192.168.0.0/24 anywhere

ACCEPT tcp -- 192.168.0.1 anywhere tcp dpt:ssh

Chain FORWARD (policy DROP)

target prot opt source destination

ACCEPT all -- 192.168.0.0/24 anywhere

ACCEPT all -- anywhere 192.168.0.0/24

ACCEPT all -- anywhere 192.168.0.0/24

ACCEPT all -- 192.168.0.0/24 anywhere

ACCEPT all -- anywhere 192.168.0.0/24

ACCEPT all -- anywhere 192.168.0.0/24

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- anywhere 192.168.0.0/24

ACCEPT all -- anywhere 192.168.0.0/24

Chain RH-Firewall-1-INPUT (0 references)

target prot opt source destination

ACCEPT all -- anywhere anywhere

ACCEPT icmp -- anywhere anywhere icmp any

ACCEPT ipv6-crypt-- anywhere anywhere

ACCEPT ipv6-auth-- anywhere anywhere

ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353

ACCEPT udp -- anywhere anywhere udp dpt:ipp

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

[root@localhost ~]#

и как я уже писал

с машины под windows XP

шлюз по умолчанию 192.168.0.111

ping 192.168.0.111 проходит (eth0 - в локалку)

ping 192.168.1.4 проходит (eth2 - в инет динамически

выделеляется провом )

ping статический ( белый IP ) проходит

adsl модем настоеный как МОСТ

ping сайт провайдера ----- не проходит

Превышен интервал ожидания для запроса.

хотя с машины где стоит adsl под linux

все адреса локалки или инета пингуются

нормально

и да кстати

про вот это

ACCEPT ipv6-crypt-- anywhere anywhere

ACCEPT ipv6-auth-- anywhere anywhere

что это означает я знаю

а вот почему это появляется нет

надо ли это отключить

и самое главное как...

спасибо

[Sleeping Daemon]

Результат iptables -t nat -L

в студию.

[FormaCvt]

]# iptables -t nat -L

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

MASQUERADE all -- anywhere anywhere

MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

[hunk]

1. С windows машины сайт провайдера

Вы пингуете как www.prov... или через ip-адрес?

2. установлен ли кеширующий DNS-сервер, ведь,

как я понял, с самого сервера Вы в инет выходите?

[FormaCvt]

hunk писал(а) Втр, 13 Июня 2006 15:49

1. С windows машины сайт провайдера Вы пингуете как www.prov... или через ip-адрес? 2. установлен ли кеширующий DNS-сервер, ведь, как я понял, с самого сервера Вы в инет выходите?

1 dns-сервер не установлен

с самого сервера спокойно выхожу в инет

2. пингую я по ip

если бы я поинговал по www.адрес без dns-сервера

то получил бы

не удалось обнаружить узел

а я получаю

Превышен интервал ожидания для запроса

хотя прикрутить dns-сервер не долго

но пока хочу без него разобраться

[Sleeping Daemon]

hunk писал(а) Втр, 13 Июня 2006 16:49

1. С windows машины сайт провайдера Вы пингуете как www.prov... или через ip-адрес? 2. установлен ли кеширующий DNS-сервер, ведь, как я понял, с самого сервера Вы в инет выходите?

tcpdump -ом попробуйте посмотреть.

[hunk]

Цитата:

шлюз по умолчанию 192.168.0.111 ping 192.168.0.111 проходит (eth0 - в локалку) ping 192.168.1.4 проходит (eth2 - в инет динамически выделеляется провом ) ping статический ( белый IP ) проходит adsl модем настоеный как МОСТ

Давайте сначала разберемся со структурой сети

если eth2 - динамический, то какого черта там

светит статический ip, да еще из внутренней зоны

И куда все таки настроены мосты от adsl, и зачем

он нужен.

[FormaCvt]

Цитата:

Давайте сначала разберемся со структурой сети

Давайте...

eth0 - 192.168.0.111 в локалку

eth2 - по dhcp прова назначается адрес 192.168.1.4

в нее (eth2) воткнут adsl-модем настроенный как мост

к прову подключение по PPPoE

#ifup ppp0

ppp0 назначается белый IP

[hunk]

Дайте просто вывод команды

# route

[FormaCvt]

а вот route

что то я совсем запутался

и не чего понять не могу

Destination Gateway Genmask Flags Metric Ref Use Iface

x-yy.zzz * 255.255.255.255 UH 0 0 0 ppp0

192.168.1.0 * 255.255.255.0 U 0 0 0 eth2

192.168.0.0 * 255.255.255.0 U 0 0 0 eth0

169.254.0.0 * 255.255.0.0 U 0 0 0 eth2

default x-yy.zzz 0.0.0.0 UG 0 0 0 ppp0

[hunk]

Если я внимательно просмотрел

Ваш iptables, то у Вас маскарадинг

настроен только для ppp0, а как же

eth0 и eth2? Точнее, а почему не

наоборот?

А с таблицей маршрутизации вроде все впорядке

[FormaCvt]

hunk писал(а) Втр, 13 Июня 2006 17:21

Если я внимательно просмотрел Ваш iptables, то у Вас маскарадинг настроен только для ppp0, а как же eth0 и eth2? Точнее, а почему не наоборот? А с таблицей маршрутизации вроде все впорядке

прошу прощения ( что то я туплю )

я не совсем понял Ваш вопрос.

если у Вас есть возможность уделить

несколько драгоценных минут

покажите на примере где я не прав

и в чем ошибаюсь

[hunk]

Ну, вот, я успел сбегать за водкой,

теперь можно приступать

У Вас роутер настроен через nat.

Для nat жизненно необходим маскарадинг.

Маскарадинг необходимо установить

на сетевые интерфейсы, смотрящие в локалку.

На интерфейсы, смотрящие в инет тоже

можно установить маскарад, но не обязательно.

Без маскарада что происходит. Компы из

Вашей локалки лезут в инет через ppp0

со своими внутренними адресами 192.168.0.x

и естественно, что, скорее всего, провайдер

их просто рубит.

Вам нужно добавить в iptables

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[FormaCvt]

hunk писал(а) Втр, 13 Июня 2006 18:07

Ну, вот, я успел сбегать за водкой, теперь можно приступать

я пожалуй сделаю тоже самое

потому как пока выхода не вижу

может с похмеля что то и проясниться

бо на трезвую голову мысли умные не лезут

Цитата:

Вам нужно добавить в iptables iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

не фига

где то и в чем то еще собака порылась

[hunk]

Если у Вас RedHat (aka Fedora),

удалите Ваш ручной iptables и

попытайтесь настроить сеть через

графические утилиты RedHata'а.

Я с этим уже сталкивался - не всегда

ручные конфиги в RedHat'е проходят.

Но основной принцип не забывайте -

на интерфейсе eth0 должен стоять

маскарадинг.

И еще, если у Вас установлен SELinux,

то, например, для fedora в /etc/sysconfig/system-config-securitylevel необходимо разрешить само устройство

--trust eth0 и маскарадинг к нему --masq eth0,

но все это лучше настраивать через граф-утилиты RedHat

[FormaCvt]

спасибо что направили в нужное русло

ставил то я с минимальным набором программ

я уже и сам подумывал

использовать родные конфигураторы

завтра принесу еще один винт

поставлю с графической оболочкой

так что вечерком заглядываете в тему

напишу чем все закончилось

есть конечно у меня еще кое-какие мыслишки

но завтра...

а на сегодня всем спасибо кто

не дал сгинуть одиноко в пучине конфигов.

[Ineu]

hunk писал(а) Втр, 13 Июня 2006 17:07

Ну, вот, я успел сбегать за водкой, теперь можно приступать У Вас роутер настроен через nat. Для nat жизненно необходим маскарадинг.

Для НАТ _абсолютно_ не нужен маскарадинг, поскольку маскарадинг - это и есть НАТ! Причем именно так, а не наоборот - НАТ _не_ есть маскарадинг.

[hunk]

Но смысл действий от этого не меняется.

Маскарадинг был изначально неправильно

настроен.(точнее не до конца)

Кстати графическую систему не обязательно

ставить, почти все системные утилиты

RedHat'а поддерживают ncurses, так что их

можно запускать и из консоли