BearMK Опубликовано 24 сентября, 2008 Жалоба Поделиться Опубликовано 24 сентября, 2008 Проблема заключается в следующем: имеется машина под RedHat являющаяся шлюзом в инет на ней настроен iptables Происходит следующее - соединение устанавливается, машина с локалки ходит в инет, но через некоторое время пропадает инет на локалке, при этом со шлюза можно продолжать работать с инетом конфигурация такая: на шлюзе 2 сетевухи - eth0 (192.168.2.3)смотрящая в инет eth1(192.168.2.4) смотрящая в локалку... eth0 не на прямую смотрит в нет - через модем ADSL (192.168.2.1) DNS (82.207.69.34) В чём может быть проблема? Почему через время рубится соединение для локалки? перестаёт даже пинговаться eth1 и со шлюза сама локалка... Сетевые карты,кабели менял, перенастраивать пробовал несколько раз - проблема не уходит В файле /etc/sysctl.conf строка net.ipv4.ip_forward = 1 Если при отвале отключить iptables - локалка начинает ходить в нет... вот конфигурация iptables: # Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008 *filter :INPUT DROP [1122:73168] :FORWARD DROP [394:23707] :OUTPUT DROP [16:3816] :allowed - [0:0] :bad_tcp_packets - [0:0] :icmp_packets - [0:0] :tcp_packets - [0:0] :udp_packets - [0:0] -A INPUT -p tcp -j bad_tcp_packets -A INPUT -s 127.0.0.1 -i lo -j ACCEPT -A INPUT -s 192.168.2.4 -i lo -j ACCEPT -A INPUT -s 192.168.2.3 -i lo -j ACCEPT -A INPUT -d 192.168.2.3 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -i eth0 -j tcp_packets -A INPUT -p udp -i eth0 -j udp_packets -A INPUT -p icmp -i eth0 -j icmp_packets -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_packet_died:" --log-level 7 -A FORWARD -p tcp -j bad_tcp_packets -A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT -A FORWARD -o eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT -A FORWARD -i eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT -A FORWARD -o eth0 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT # -A FORWARD -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT # -A FORWARD -i eth1 -p udp -m udp --dport 53 -j ACCEPT # -A FORWARD -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT # -A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT # -A FORWARD -i eth1 -p tcp -m tcp --dport 81 -j ACCEPT # -A FORWARD -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT # -A FORWARD -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT # -A FORWARD -o eth1 -p tcp -m tcp --dport 53 -j ACCEPT # -A FORWARD -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT # -A FORWARD -o eth1 -p tcp -m tcp --dport 81 -j ACCEPT # -A FORWARD -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_FORWARD_packet_died:" --log-level 7 -A OUTPUT -p tcp -j bad_tcp_packets -A OUTPUT -s 127.0.0.1 -j ACCEPT -A OUTPUT -s 192.168.2.4 -j ACCEPT -A OUTPUT -s 192.168.2.3 -j ACCEPT -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "ВЁIPT_OUTPUT_packet_died:ВЁ" --log-level 7 -A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A allowed -p tcp -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "NEW_NOT_SYN:" -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT -A tcp_packets -p tcp -m tcp --dport 25 -j allowed -A tcp_packets -p tcp -m tcp --dport 53 -j allowed -A tcp_packets -p tcp -m tcp --dport 80 -j allowed -A tcp_packets -p tcp -m tcp --dport 81 -j allowed -A tcp_packets -p tcp -m tcp --dport 110 -j allowed -A udp_packets -p udp -m udp --dport 53 -j allowed COMMIT # Completed on Mon Sep 22 15:51:08 2008 # Generated by iptables-save v1.3.5 on Mon Sep 22 15:51:08 2008 *nat :PREROUTING ACCEPT [1213:100943] :POSTROUTING ACCEPT [126:7719] :OUTPUT ACCEPT [160:14904] # -A POSTROUTING -o eth0 -j MASQUERADE -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.2.3 COMMIT # Completed on Mon Sep 22 15:51:08 2008 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
vpk_vpk Опубликовано 24 сентября, 2008 Жалоба Поделиться Опубликовано 24 сентября, 2008 Обе сетевые находятся в одной сети (192.168.2.0). Перенастройте eth0 на 192.168.1.3, модем 192.168.1.1 ... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
BearMK Опубликовано 24 сентября, 2008 Автор Жалоба Поделиться Опубликовано 24 сентября, 2008 Спасибо! яы тоженатолкнулся на это ток я немного нетак сделал - перевёл локалку в другую подсеть Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.