Jump to content

iptables - проблемы с маршрутизацией


Recommended Posts

Проблема заключается в следующем:

имеется машина под RedHat являющаяся шлюзом в инет

на ней настроен iptables

Происходит следующее - соединение устанавливается, машина с локалки ходит в инет, но через некоторое время пропадает инет на локалке, при этом со шлюза можно продолжать работать с инетом

конфигурация такая:

на шлюзе 2 сетевухи - eth0 (192.168.2.3)смотрящая в инет eth1(192.168.2.4) смотрящая в локалку...

eth0 не на прямую смотрит в нет - через модем ADSL (192.168.2.1) DNS (82.207.69.34)

В чём может быть проблема? Почему через время рубится соединение для локалки? перестаёт даже пинговаться eth1 и со шлюза сама локалка... Сетевые карты,кабели менял, перенастраивать пробовал несколько раз - проблема не уходит Sad

В файле /etc/sysctl.conf строка net.ipv4.ip_forward = 1

Если при отвале отключить iptables - локалка начинает ходить в нет...

вот конфигурация iptables:

# Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008

*filter

:INPUT DROP [1122:73168]

:FORWARD DROP [394:23707]

:OUTPUT DROP [16:3816]

:allowed - [0:0]

:bad_tcp_packets - [0:0]

:icmp_packets - [0:0]

:tcp_packets - [0:0]

:udp_packets - [0:0]

-A INPUT -p tcp -j bad_tcp_packets

-A INPUT -s 127.0.0.1 -i lo -j ACCEPT

-A INPUT -s 192.168.2.4 -i lo -j ACCEPT

-A INPUT -s 192.168.2.3 -i lo -j ACCEPT

-A INPUT -d 192.168.2.3 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -i eth0 -j tcp_packets

-A INPUT -p udp -i eth0 -j udp_packets

-A INPUT -p icmp -i eth0 -j icmp_packets

-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_packet_died:" --log-level 7

-A FORWARD -p tcp -j bad_tcp_packets

-A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

-A FORWARD -o eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

-A FORWARD -i eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

-A FORWARD -o eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT

# -A FORWARD -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT

# -A FORWARD -i eth1 -p udp -m udp --dport 53 -j ACCEPT

# -A FORWARD -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT

# -A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT

# -A FORWARD -i eth1 -p tcp -m tcp --dport 81 -j ACCEPT

# -A FORWARD -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT

# -A FORWARD -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT

# -A FORWARD -o eth1 -p tcp -m tcp --dport 53 -j ACCEPT

# -A FORWARD -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT

# -A FORWARD -o eth1 -p tcp -m tcp --dport 81 -j ACCEPT

# -A FORWARD -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_FORWARD_packet_died:" --log-level 7

-A OUTPUT -p tcp -j bad_tcp_packets

-A OUTPUT -s 127.0.0.1 -j ACCEPT

-A OUTPUT -s 192.168.2.4 -j ACCEPT

-A OUTPUT -s 192.168.2.3 -j ACCEPT

-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ВЁIPT_OUTPUT_packet_died:ВЁ" --log-level 7

-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

-A allowed -p tcp -j DROP

-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "NEW_NOT_SYN:"

-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

-A tcp_packets -p tcp -m tcp --dport 25 -j allowed

-A tcp_packets -p tcp -m tcp --dport 53 -j allowed

-A tcp_packets -p tcp -m tcp --dport 80 -j allowed

-A tcp_packets -p tcp -m tcp --dport 81 -j allowed

-A tcp_packets -p tcp -m tcp --dport 110 -j allowed

-A udp_packets -p udp -m udp --dport 53 -j allowed

COMMIT

# Completed on Mon Sep 22 15:51:08 2008

# Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008

*nat

:PREROUTING ACCEPT [1213:100943]

:POSTROUTING ACCEPT [126:7719]

:OUTPUT ACCEPT [160:14904]

# -A POSTROUTING -o eth0 -j MASQUERADE

-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.2.3

COMMIT

# Completed on Mon Sep 22 15:51:08 2008

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...