Перейти к содержанию

BearMK

Members
  • Постов

    5
  • Зарегистрирован

  • Посещение

    Никогда

Сообщения, опубликованные BearMK

  1. Проблема заключается в следующем:

    имеется машина под RedHat являющаяся шлюзом в инет

    на ней настроен iptables

    Происходит следующее - соединение устанавливается, машина с локалки ходит в инет, но через некоторое время пропадает инет на локалке, при этом со шлюза можно продолжать работать с инетом

    конфигурация такая:

    на шлюзе 2 сетевухи - eth0 (192.168.2.3)смотрящая в инет eth1(192.168.2.4) смотрящая в локалку...

    eth0 не на прямую смотрит в нет - через модем ADSL (192.168.2.1) DNS (82.207.69.34)

    В чём может быть проблема? Почему через время рубится соединение для локалки? перестаёт даже пинговаться eth1 и со шлюза сама локалка... Сетевые карты,кабели менял, перенастраивать пробовал несколько раз - проблема не уходит Sad

    В файле /etc/sysctl.conf строка net.ipv4.ip_forward = 1

    Если при отвале отключить iptables - локалка начинает ходить в нет...

    вот конфигурация iptables:

    # Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008

    *filter

    :INPUT DROP [1122:73168]

    :FORWARD DROP [394:23707]

    :OUTPUT DROP [16:3816]

    :allowed - [0:0]

    :bad_tcp_packets - [0:0]

    :icmp_packets - [0:0]

    :tcp_packets - [0:0]

    :udp_packets - [0:0]

    -A INPUT -p tcp -j bad_tcp_packets

    -A INPUT -s 127.0.0.1 -i lo -j ACCEPT

    -A INPUT -s 192.168.2.4 -i lo -j ACCEPT

    -A INPUT -s 192.168.2.3 -i lo -j ACCEPT

    -A INPUT -d 192.168.2.3 -m state --state RELATED,ESTABLISHED -j ACCEPT

    -A INPUT -p tcp -i eth0 -j tcp_packets

    -A INPUT -p udp -i eth0 -j udp_packets

    -A INPUT -p icmp -i eth0 -j icmp_packets

    -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_packet_died:" --log-level 7

    -A FORWARD -p tcp -j bad_tcp_packets

    -A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    -A FORWARD -o eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    -A FORWARD -i eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    -A FORWARD -o eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT

    # -A FORWARD -i eth1 -p udp -m udp --dport 53 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 81 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 53 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 81 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT

    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

    -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_FORWARD_packet_died:" --log-level 7

    -A OUTPUT -p tcp -j bad_tcp_packets

    -A OUTPUT -s 127.0.0.1 -j ACCEPT

    -A OUTPUT -s 192.168.2.4 -j ACCEPT

    -A OUTPUT -s 192.168.2.3 -j ACCEPT

    -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ВЁIPT_OUTPUT_packet_died:ВЁ" --log-level 7

    -A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

    -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

    -A allowed -p tcp -j DROP

    -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

    -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "NEW_NOT_SYN:"

    -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

    -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT

    -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

    -A tcp_packets -p tcp -m tcp --dport 25 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 53 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 80 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 81 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 110 -j allowed

    -A udp_packets -p udp -m udp --dport 53 -j allowed

    COMMIT

    # Completed on Mon Sep 22 15:51:08 2008

    # Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008

    *nat

    :PREROUTING ACCEPT [1213:100943]

    :POSTROUTING ACCEPT [126:7719]

    :OUTPUT ACCEPT [160:14904]

    # -A POSTROUTING -o eth0 -j MASQUERADE

    -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.2.3

    COMMIT

    # Completed on Mon Sep 22 15:51:08 2008

  2. Проблема заключается в следующем:

    имеется машина под RedHat являющаяся шлюзом в инет

    на ней настроен iptables

    Происходит следующее - соединение устанавливается, машина с локалки ходит в инет, но через некоторое время пропадает инет на локалке, при этом со шлюза можно продолжать работать с инетом

    конфигурация такая:

    на шлюзе 2 сетевухи - eth0 (192.168.2.3)смотрящая в инет eth1(192.168.2.4) смотрящая в локалку...

    eth0 не на прямую смотрит в нет - через модем ADSL (192.168.2.1) DNS (82.207.69.34)

    В чём может быть проблема? Почему через время рубится соединение для локалки? перестаёт даже пинговаться eth1 и со шлюза сама локалка... Сетевые карты,кабели менял, перенастраивать пробовал несколько раз - проблема не уходит Sad

    В файле /etc/sysctl.conf строка net.ipv4.ip_forward = 1

    Если при отвале отключить iptables - локалка начинает ходить в нет...

    вот конфигурация iptables:

    # Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008

    *filter

    :INPUT DROP [1122:73168]

    :FORWARD DROP [394:23707]

    :OUTPUT DROP [16:3816]

    :allowed - [0:0]

    :bad_tcp_packets - [0:0]

    :icmp_packets - [0:0]

    :tcp_packets - [0:0]

    :udp_packets - [0:0]

    -A INPUT -p tcp -j bad_tcp_packets

    -A INPUT -s 127.0.0.1 -i lo -j ACCEPT

    -A INPUT -s 192.168.2.4 -i lo -j ACCEPT

    -A INPUT -s 192.168.2.3 -i lo -j ACCEPT

    -A INPUT -d 192.168.2.3 -m state --state RELATED,ESTABLISHED -j ACCEPT

    -A INPUT -p tcp -i eth0 -j tcp_packets

    -A INPUT -p udp -i eth0 -j udp_packets

    -A INPUT -p icmp -i eth0 -j icmp_packets

    -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_packet_died:" --log-level 7

    -A FORWARD -p tcp -j bad_tcp_packets

    -A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    -A FORWARD -o eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    -A FORWARD -i eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    -A FORWARD -o eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT

    # -A FORWARD -i eth1 -p udp -m udp --dport 53 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 81 -j ACCEPT

    # -A FORWARD -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 53 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 81 -j ACCEPT

    # -A FORWARD -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT

    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

    -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_FORWARD_packet_died:" --log-level 7

    -A OUTPUT -p tcp -j bad_tcp_packets

    -A OUTPUT -s 127.0.0.1 -j ACCEPT

    -A OUTPUT -s 192.168.2.4 -j ACCEPT

    -A OUTPUT -s 192.168.2.3 -j ACCEPT

    -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ВЁIPT_OUTPUT_packet_died:ВЁ" --log-level 7

    -A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

    -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

    -A allowed -p tcp -j DROP

    -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

    -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "NEW_NOT_SYN:"

    -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

    -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT

    -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

    -A tcp_packets -p tcp -m tcp --dport 25 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 53 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 80 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 81 -j allowed

    -A tcp_packets -p tcp -m tcp --dport 110 -j allowed

    -A udp_packets -p udp -m udp --dport 53 -j allowed

    COMMIT

    # Completed on Mon Sep 22 15:51:08 2008

    # Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008

    *nat

    :PREROUTING ACCEPT [1213:100943]

    :POSTROUTING ACCEPT [126:7719]

    :OUTPUT ACCEPT [160:14904]

    # -A POSTROUTING -o eth0 -j MASQUERADE

    -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.2.3

    COMMIT

    # Completed on Mon Sep 22 15:51:08 2008

×
×
  • Создать...