Не работают правила на FORWARD

0

0

Шлюз в инет. Две сетевухи. На каждой сетевухи своя подсеть.
ifconfig:
eth0 Link encap:Ethernet HWaddr 00:02:B3:B7:CF:2A
inet addr:83.222.222.210 Bcast:83.222.222.223 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:45256 errors:0 dropped:0 overruns:0 frame:0
TX packets:43474 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3325508 (3.1 Mb) TX bytes:3437906 (3.2 Mb)
Interrupt:10 Base address:0xc000 Memory:de041000-de041038

eth1 Link encap:Ethernet HWaddr 00:02:B3:98:A1:95
inet addr:89.111.114.2 Bcast:89.111.114.127 Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:12579 errors:0 dropped:0 overruns:0 frame:0
TX packets:524 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1099040 (1.0 Mb) TX bytes:298974 (291.9 Kb)
Interrupt:11 Base address:0xc400 Memory:de040000-de040038
iptables:

:INPUT DROP [1113:119974]
:FORWARD DROP [854:41786]
:OUTPUT ACCEPT [132750:25323414]
-A INPUT -s 89.111.114.0/255.255.255.128 -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 83.222.222.210 -i lo -j ACCEPT
-A INPUT -s 89.111.114.2 -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -d 83.222.222.210 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 89.111.114.6 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 89.111.114.6 -i eth0 -p tcp -m tcp --dport 27020:27039 -j ACCEPT
-A FORWARD -d 89.111.114.6 -i eth0 -p udp -m udp --dport 27000:27015 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6112 -j ACCEPT
-A FORWARD -p udp -m udp --dport 6112 -j ACCEPT

При таких настройках компы из сети 89.111.114.0/255.255.255.128 инета не получают.

Но стоит прописать iptables -P FORWARD ACCEPT как все работает.
Но тогда все компы будут видны из инета а этого не надо.

Вопрос что я не так настроил в FORWARD ?????

Ссылка

←	Как сделать что бы apache запускался от имени пользователя

telnet на 25 порт

→

Добавлю еще.....

На клиентских компах в качестве шлюза прописываю 89.111.114.2

И с такими настройками iptables этот шлюз не пингуеться, хотя должен.

прописываю в -P INPUT ACCEPT шлюз пингуеться...

anonymous
(08.11.06 22:58:02 MSK)

Ссылка

пробуй -j LOG на FORWARD

x97Rang ★★★
(08.11.06 23:23:14 MSK)

Ссылка

Рекомендовал бы почитать http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html, а именно по поводу FORWARD раздел http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#TRAVERSINGOFT...

Irek ★
(09.11.06 09:07:19 MSK)

Ответ на: комментарий от Irek 09.11.06 09:07:19 MSK

Именно с этого документа я и начал работу, когда настраивал все....

Вроде бы я все правильно прописал, но не работает...

Что не так?

anonymous
(09.11.06 10:31:16 MSK)

Ссылка

Ответ на: комментарий от Irek 09.11.06 09:07:19 MSK

Именно с этого документа я и начал работу, когда настраивал все....

Вроде бы я все правильно прописал, но не работает...

Что не так?

anonymous
(09.11.06 10:34:37 MSK)

Ответ на: комментарий от anonymous 09.11.06 10:34:37 MSK

Так вот если читал этот документ там написано и даже нарисован порядок движения для транзитных пакетов ( я так понял у тебя именно такой случай). При транзитных пакетах цепочка input и output игнорируются. Т.е. если ты хочешь открыть доступ, то открывай его в цепочке FORWARD

Irek ★
(09.11.06 15:17:35 MSK)

Ответ на: комментарий от Irek 09.11.06 15:17:35 MSK

Это так для информации, до этого я сам не сразу допер. А у тебя судя по всему в цепочке FORWARD указан не тот интерфейс для доступа eth0 вместо eth1

Irek ★
(09.11.06 15:19:43 MSK)

Ответ на: комментарий от Irek 09.11.06 15:19:43 MSK

А именно вот тут: -A FORWARD -d 89.111.114.6 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT должно быть для доступа в инет -A FORWARD -s 89.111.114.6 -p tcp -m tcp --dport 80 -j ACCEPT

Irek ★
(09.11.06 15:24:45 MSK)

Ответ на: комментарий от Irek 09.11.06 15:24:45 MSK

???????????????????????

Вобщето это
-A FORWARD -d 89.111.114.6 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
строчка прокидывает черз фаервол доступ к веб серверу стоящему на 89.111.114.6

Ладно фиг сним с форвардом.... Проблема в другом

Не пингуется с клиентов интерфейс смотрящий в 89.111.114.0/25

Если поставить -P INPUT ACCEPT то все ок конечно....

Чего я не так написал то??????
Вроде бы все открыл на eth1

-A INPUT -s 89.111.114.0/255.255.255.128 -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 83.222.222.210 -i lo -j ACCEPT
-A INPUT -s 89.111.114.2 -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT

anonymous
(09.11.06 15:42:13 MSK)

Ответ на: комментарий от anonymous 09.11.06 15:42:13 MSK

А так не пробовал? iptables -A INPUT -i $LOCAL_IFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o $LOCAL_IFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Irek ★
(09.11.06 16:56:04 MSK)

Ответ на: комментарий от Irek 09.11.06 16:56:04 MSK

iptables -A INPUT -i $INET_IFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -o $INET_IFACE -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Irek ★
(09.11.06 16:56:38 MSK)

Ответ на: комментарий от Irek 09.11.06 16:56:38 MSK

Блин вообще к вечеру голова не варит $INET_IFACE есть eth1

Irek ★
(09.11.06 16:57:32 MSK)

Ссылка

Ответ на: комментарий от Irek 09.11.06 16:56:38 MSK

а нафига трогать OUTPUT ????

-P OUTPUT ACCEPT

там все разрешено.....

anonymous
(09.11.06 17:10:59 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как сделать что бы apache запускался от имени пользователя

Admin

telnet на 25 порт

→

Похожие темы