Не идут внешние пинги

0

0

Зарегистрировался в системе DynDNS.org Пингую машину из локалки --- всё работает. Пингую извне --- пинг не идёт. Просто выводит что то типа

~% ping ххххх

PING хххх (ххх.ххх.ххх.ххх) 56(84) bytes of data.

и замирает.

Конфигурация сети: Машина, на которой работает dyndns-клиент, соединена через eth0 с модемом, настроенном как роутер и через eth1 с другим компьютером, работая для него шлюзом.

Сеть поднимается так

~# cat stream.sh

#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward

ifconfig eth0 down

ifconfig eth1 down

ifconfig eth1 up 192.168.1.35

ifconfig eth0 up

dhcpcd -dnRYN eth0

~# cat iptables_nat.sh

#!/bin/sh

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -P FORWARD ACCEPT

Вопрос: почему извне пинг не идёт, и как сделать так, чтобы он пошёл. Если вопрос тупой (а я подозреваю что это так), просьба сказать ключевые слова для гугления и эртээфэминья.

P.S. Советовали строку "ip nat loopback on". Не помогло

Ссылка

←	HAL+KDE: как настроить параметры монтирования устройств?

Не получается запустить Squid

→

У машины два сетевых интерфейса.. Один имеет внешний IP-шник, другой, соответственно, внутренний.. Имя, разумеется, зарегистрировано на внешний IP? Пингуешь извне по имени или по IP? И в обоих случаях не проходит?

MiracleMan ★★★★★
(25.07.07 23:17:08 MSD)

А icmp разрешен файрволом?

~~qsloqs~~ ★★
(25.07.07 23:26:34 MSD)

Ответ на: комментарий от MiracleMan 25.07.07 23:17:08 MSD

> Имя, разумеется, зарегистрировано на внешний IP?

Да, конечно.

> Пингуешь извне по имени или по IP?

По имени.

Я тут прочитал, что если модем настроен как роутер, то внешние пинги ходить не будут. Нужно port forwarding настраивать. Внимание идиотский вопрос: какой порт использует ping?

ugoday ★★★★★
(25.07.07 23:29:47 MSD) автор топика

Ответ на: комментарий от ugoday 25.07.07 23:29:47 MSD

> какой порт использует ping?

=))

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

~~qsloqs~~ ★★
(25.07.07 23:34:35 MSD)

Ответ на: комментарий от qsloqs 25.07.07 23:26:34 MSD

Я ничего специально не делал, чтобы его запретить. iptables -p icmp -h выдаёт много всякой фигни, в которой я не могу разобраться.

ugoday ★★★★★
(25.07.07 23:34:40 MSD) автор топика

Ответ на: комментарий от ugoday 25.07.07 23:34:40 MSD

У тебя по дефольту всё дропается? Если да то icmp надо разрешить.

~~qsloqs~~ ★★
(25.07.07 23:36:54 MSD)

Ответ на: комментарий от qsloqs 25.07.07 23:34:35 MSD

Как я понял мне в настройках модема нужно сказать: всё что придёт на порт Х тупо бросай на ip xxx.xxx.xxx.xxx:Y и не выпендривайся со своим натом. Вот вопрос по порту для пинга был в этом контексте.

ugoday ★★★★★
(25.07.07 23:37:41 MSD) автор топика

Ссылка

Ответ на: комментарий от qsloqs 25.07.07 23:36:54 MSD

> У тебя по дефольту всё дропается? 

Нет. 

 iptables  -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ugoday ★★★★★
(25.07.07 23:42:50 MSD) автор топика

Ответ на: комментарий от ugoday 25.07.07 23:42:50 MSD

#!/bin/sh

###############################################################################
#
# General Settings
#

# IPTables Location

IPT="/sbin/iptables"

# Internet Interface

# INET_IFACE="eth1"

# Local Interface Information

LOCAL_IFACE="eth1"

LOCAL_IP="192.168.100.2"

LOCAL_NET="192.168.100.0/24"

LOCAL_BCAST="192.168.100.255"

# Localhost Interface

LO_IFACE="lo"

LO_IP="127.0.0.1"

###############################################################################
#
# Modules
#

# /sbin/modprobe ip_tables

# /sbin/modprobe ip_conntrack

# /sbin/modprobe ip_nat_ftp

# /sbin/modprobe ip_conntrack_ftp

# /sbin/modprobe ip_conntrack_irc

###############################################################################
#
# Kernel Parameters
#

# echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

###############################################################################
#
# Flush Rules/Chains and set Policies
#

$IPT -F

$IPT -F -t nat

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

###############################################################################
#
# INPUT Chain
#

$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

$IPT -A INPUT -p tcp -i $LOCAL_IFACE --dport 22 -j ACCEPT

$IPT -A INPUT -p tcp -i $LOCAL_IFACE --dport 80 -j ACCEPT

# $IPT -A INPUT -p tcp -i $INET_IFACE --dport 22 -j ACCEPT

$IPT -A INPUT -p udp -i $LOCAL_IFACE --dport 53 -j ACCEPT

# $IPT -A INPUT -p tcp -i $INET_IFACE --dport 4662 -j ACCEPT

# $IPT -A INPUT -p tcp -i $INET_IFACE --dport 6891 -j ACCEPT

# $IPT -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCAL_BCAST -j ACCEPT

$IPT -A INPUT -p icmp -s $LOCAL_NET -i $LOCAL_IFACE -j ACCEPT

# $IPT -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p ALL -i $LOCAL_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# $IPT -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH Connection Attempt: "

###############################################################################
#
# FORWARD Chain
#
# $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT

# $IPT -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

# $IPT -A FORWARD -p tcp -i $INET_IFACE -o $LOCAL_IFACE -d 192.168.0.3 --dport 80 -j ACCEPT

# $IPT -A FORWARD -p tcp -i $INET_IFACE -o $LOCAL_IFACE -d 192.168.0.3 --dport 9999:10008 -j ACCEPT

###############################################################################
#
# OUTPUT Chain
#

$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

$IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -j ACCEPT

# $IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT

###############################################################################
#
# POSTROUTING chain
#

# $IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

##############################################################################
#
# PREROUTING chain
#

# $IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --dport 80 -j DNAT --to 192.168.0.3:80
# $IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --dport 9999:10008 -j DNAT --to 192.168.0.3

~~qsloqs~~ ★★
(25.07.07 23:48:03 MSD)

Ответ на: комментарий от qsloqs 25.07.07 23:48:03 MSD

Разкомментируй нужные тебе строчки. Это готовый мой старый скрипт =)

~~qsloqs~~ ★★
(25.07.07 23:49:24 MSD)

Ответ на: комментарий от ugoday 25.07.07 23:29:47 MSD

А по IP модем и внешний интерфейс машинки тоже не пингуются?

MiracleMan ★★★★★
(25.07.07 23:51:44 MSD)

Ответ на: комментарий от MiracleMan 25.07.07 23:51:44 MSD

> А по IP

А по ip не пробовал.

ugoday ★★★★★
(25.07.07 23:56:13 MSD) автор топика

Ответ на: комментарий от qsloqs 25.07.07 23:49:24 MSD

> нужные тебе

*** Ушол читать man iptables, чтобы понять что из этого мне нужно.

ugoday ★★★★★
(25.07.07 23:56:58 MSD) автор топика

Ссылка

Ответ на: комментарий от ugoday 25.07.07 23:56:13 MSD

А ты попробуй.. Если по IP пройдёт, то проблемы именно с разрешением имён, а это уже немного другое.. чем просто возможная блокировка icmp датаграмм..

MiracleMan ★★★★★
(26.07.07 00:00:49 MSD)

Ответ на: комментарий от MiracleMan 26.07.07 00:00:49 MSD

> Если по IP пройдёт, то проблемы именно с разрешением имён

Обосраться газированным поносом. По ip прошло. Ошибка с разрешением имён. Буду разбираться с dynamic dns'ом.

ugoday ★★★★★
(26.07.07 00:22:41 MSD) автор топика

Ответ на: комментарий от ugoday 26.07.07 00:22:41 MSD

P.S. dyndns почему-то вместо внешнего ip показывает внутренний ip eth0. Попытка пинговать 192.168.2.2 приводит несколько не к тем последствиям. ;-(

ugoday ★★★★★
(26.07.07 00:23:57 MSD) автор топика

Ответ на: комментарий от ugoday 26.07.07 00:22:41 MSD

Но на iptables всёравно не клади =)

~~qsloqs~~ ★★
(26.07.07 00:27:17 MSD)

Ответ на: комментарий от qsloqs 26.07.07 00:27:17 MSD

Чтобы разобраться как всё это работает нужно взять себя в руки. А с этим проблема. :-(

ugoday ★★★★★
(26.07.07 00:31:24 MSD) автор топика

Ссылка

Ответ на: комментарий от ugoday 26.07.07 00:23:57 MSD

dyndns-клиент, говоришь? проверь ещё раз настройки.. Естественно, извне пинговать 192.168.2.2 глупо..

MiracleMan ★★★★★
(26.07.07 00:40:01 MSD)

Ответ на: комментарий от MiracleMan 26.07.07 00:40:01 MSD

Уже проверил и поправил. Всё работает. Всем спасибо.

ugoday ★★★★★
(26.07.07 00:46:28 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	HAL+KDE: как настроить параметры монтирования устройств?

Admin

Не получается запустить Squid

→

Похожие темы