LINUX.ORG.RU
ФорумAdmin

iptables. Нужна помощь.


0

0

Доброго времени суток. Что то я ни как не могу догнать почему не работает. А не работает вот что:

Для полно понимания сотри схемку http://sharepix.ru/request_original/7rg8bqx7qorchpy49elkjwzxezf6tcbz5s8fi5m0/image741450q.jpeg

Итак, пакета из сети в сеть по впн ходят отлично. а вот противоположный гейт из сети не пингуется не по одному йпишнику (см. схему).

Скажите что еще показать и что поправить, что бы гейты пинговались?

Заранее спасибо.


[spamassassin] Конфиг
yota и работа через NAT/прокси

Посмотрел схему. Ничего нового для себя не узнал, т.к. и раньше неоднократно видел видел стандартную апачевую страницу error 404.

Можно вывод ip ad sh и iptables-save с обоих впн-гейтов?

nnz ★★★★
()
Ответ на: комментарий от zdf

ip не стоит.

Сервер 192.168.0.4 (10.10.10.1): 

iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  10.10.10.0/24        0.0.0.0/0
ACCEPT     0    --  192.168.0.0/24       0.0.0.0/0
ACCEPT     0    --  192.168.1.0/24       0.0.0.0/0
ACCEPT     0    --  127.0.0.1            0.0.0.0/0
ACCEPT     0    --  10.10.10.1           0.0.0.0/0
ACCEPT     0    --  192.168.0.4          0.0.0.0/0
ACCEPT     0    --  192.168.1.4          0.0.0.0/0
ACCEPT     0    --  --------------       0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67
ACCEPT     0    --  0.0.0.0/0            ------------      state RELATED,ESTABLISHED
ACCEPT     0    --  0.0.0.0/0            10.10.10.1          state RELATED,ESTABLISHED
tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
udp_packets  udp  --  0.0.0.0/0            0.0.0.0/0
icmp_packets  icmp --  0.0.0.0/0            0.0.0.0/0
LOG        0    --  0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `IPT INPUT packet died: '

Chain FORWARD (policy DROP)
target     prot opt source               destination
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  192.168.0.0/24       192.168.5.0/24
ACCEPT     0    --  192.168.10.0/24      192.168.5.0/24
ACCEPT     0    --  192.168.10.0/24      192.168.6.0/24
ACCEPT     0    --  192.168.1.0/24       192.168.0.1
ACCEPT     0    --  192.168.0.98         192.168.1.52
ACCEPT     0    --  192.168.1.52         192.168.0.98
ACCEPT     0    --  192.168.0.1          192.168.1.0/24
ACCEPT     0    --  192.168.0.120        192.168.6.0/24
DROP       0    --  192.168.1.0/24       192.168.0.0/24
DROP       0    --  192.168.1.0/24       192.168.5.0/24
DROP       0    --  192.168.0.0/24       192.168.6.0/24
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
LOG        0    --  0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `IPT FORWARD packet died: '

Chain OUTPUT (policy DROP)
target     prot opt source               destination
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  127.0.0.1            0.0.0.0/0
ACCEPT     0    --  10.10.10.1           0.0.0.0/0
ACCEPT     0    --  192.168.0.4          0.0.0.0/0
ACCEPT     0    --  192.168.1.4          0.0.0.0/0
ACCEPT     0    --  --------------       0.0.0.0/0
LOG        0    --  0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `IPT OUTPUT packet died: '

Chain allowed (3 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0

Chain bad_tcp_packets (3 references)
target     prot opt source               destination
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x12/0x12 state NEW reject-with tcp-reset
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW

Chain icmp_packets (1 references)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11

Chain tcp_packets (1 references)
target     prot opt source               destination
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5555
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:55522

Chain udp_packets (1 references)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:123

zdf
() автор топика

> Для полно понимания сотри схемку

сотри

Not Found


Кто-то уже стер до меня :(

YAR ★★★★★
()
Ответ на: комментарий от zdf

Сервер 192.168.5.2 (10.10.10.13): 

iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  10.10.10.0/24        0.0.0.0/0
ACCEPT     0    --  192.168.5.0/24       0.0.0.0/0
ACCEPT     0    --  192.168.6.0/24       0.0.0.0/0
ACCEPT     0    --  127.0.0.1            0.0.0.0/0
ACCEPT     0    --  10.10.10.0/24        0.0.0.0/0
ACCEPT     0    --  192.168.5.2          0.0.0.0/0
ACCEPT     0    --  192.168.6.2          0.0.0.0/0
ACCEPT     0    --  ---------------      0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:68 dpt:67
ACCEPT     0    --  0.0.0.0/0            --------------     state RELATED,ESTABLISHED
ACCEPT     0    --  0.0.0.0/0            10.10.10.0/24       state RELATED,ESTABLISHED
tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
udp_packets  udp  --  0.0.0.0/0            0.0.0.0/0
icmp_packets  icmp --  0.0.0.0/0            0.0.0.0/0
LOG        0    --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 3 LOG flags 0 level 7 prefix `IPT INPUT packet died: '

Chain FORWARD (policy DROP)
target     prot opt source               destination
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  192.168.6.0/24       192.168.0.120
ACCEPT     0    --  192.168.5.0/24       192.168.0.0/24
ACCEPT     0    --  192.168.6.0/24       192.168.1.0/24
DROP       0    --  192.168.5.0/24       192.168.6.0/24
DROP       0    --  192.168.6.0/24       192.168.5.0/24
DROP       0    --  192.168.5.0/24       192.168.1.0/24
DROP       0    --  192.168.6.0/24       192.168.0.0/24
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
LOG        0    --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 3 LOG flags 0 level 7 prefix `IPT FORWARD packet died: '

Chain OUTPUT (policy DROP)
target     prot opt source               destination
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  127.0.0.1            0.0.0.0/0
ACCEPT     0    --  10.10.10.0/24        0.0.0.0/0
ACCEPT     0    --  192.168.5.2          0.0.0.0/0
ACCEPT     0    --  192.168.6.2          0.0.0.0/0
ACCEPT     0    --  ---------------      0.0.0.0/0
LOG        0    --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 3 LOG flags 0 level 7 prefix `IPT OUTPUT packet died: '

Chain allowed (2 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0

Chain bad_tcp_packets (3 references)
target     prot opt source               destination
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x12/0x12 state NEW reject-with tcp-reset
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW

Chain icmp_packets (1 references)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11

Chain tcp_packets (1 references)
target     prot opt source               destination
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5555
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain udp_packets (1 references)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:123

zdf
() автор топика

Да, проблема нетривиальная. А что пинг говорит об ошибке? Обычный таймаут или еще что-нибудь?

Интересуют еще таблицы роутинга со всех хостов-участников.

nnz ★★★★
()
Ответ на: комментарий от nnz

Это с 192.168.0.120

ping 192.168.5.2
Обмен пакетами с 192.168.5.2 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.5.2:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

ping 192.168.5.1
Обмен пакетами с 192.168.5.1 по 32 байт:

Ответ от 192.168.5.1: число байт=32 время=184мс TTL=62
Ответ от 192.168.5.1: число байт=32 время=210мс TTL=62
Ответ от 192.168.5.1: число байт=32 время=144мс TTL=62
Ответ от 192.168.5.1: число байт=32 время=157мс TTL=62

Статистика Ping для 192.168.5.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 144мсек, Максимальное = 210 мсек, Среднее = 173 мсек

ping 192.168.0.4
Обмен пакетами с 192.168.0.4 по 32 байт:

Ответ от 192.168.0.4: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.4: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.4: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.4: число байт=32 время<1мс TTL=64

Статистика Ping для 192.168.0.4:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

ping 10.10.10.1
Обмен пакетами с 10.10.10.1 по 32 байт:

Ответ от 10.10.10.1: число байт=32 время<1мс TTL=64
Ответ от 10.10.10.1: число байт=32 время<1мс TTL=64
Ответ от 10.10.10.1: число байт=32 время<1мс TTL=64
Ответ от 10.10.10.1: число байт=32 время<1мс TTL=64

Статистика Ping для 10.10.10.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

ping 10.10.10.13
Обмен пакетами с 10.10.10.13 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 10.10.10.13:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

tracert 192.168.5.1
Трассировка маршрута к main-push.push.msservic.ru [192.168.5.1]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  gateway.***.ru [192.168.0.4]
  2   284 ms   185 ms   133 ms  gate-push.vpn.***.ru [10.10.10.13]
  3   175 ms   160 ms   133 ms  main-push.push.***.ru [192.168.5.1]

Трассировка завершена.
zdf
() автор топика
Ответ на: комментарий от zdf

Это с 192.168.5.1

morphine@main-push:~$ ping 192.168.0.120
PING 192.168.0.120 (192.168.0.120) 56(84) bytes of data.
64 bytes from 192.168.0.120: icmp_seq=1 ttl=126 time=344 ms
64 bytes from 192.168.0.120: icmp_seq=2 ttl=126 time=144 ms

--- 192.168.0.120 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 144.375/244.606/344.837/100.231 ms

morphine@main-push:~$ ping 192.168.0.4
PING 192.168.0.4 (192.168.0.4) 56(84) bytes of data.

--- 192.168.0.4 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2001ms

morphine@main-push:~$ ping 192.168.5.2
PING 192.168.5.2 (192.168.5.2) 56(84) bytes of data.
64 bytes from 192.168.5.2: icmp_seq=1 ttl=64 time=0.124 ms
64 bytes from 192.168.5.2: icmp_seq=2 ttl=64 time=0.102 ms

--- 192.168.5.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.102/0.113/0.124/0.011 ms

morphine@main-push:~$ ping 10.10.10.13
PING 10.10.10.13 (10.10.10.13) 56(84) bytes of data.
64 bytes from 10.10.10.13: icmp_seq=1 ttl=64 time=0.134 ms
64 bytes from 10.10.10.13: icmp_seq=2 ttl=64 time=0.140 ms

--- 10.10.10.13 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.134/0.137/0.140/0.003 ms

morphine@main-push:~$ ping 10.10.10.1
PING 10.10.10.1 (10.10.10.1) 56(84) bytes of data.

--- 10.10.10.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2011ms

morphine@main-push:~$ traceroute 192.168.0.120
traceroute to 192.168.0.120 (192.168.0.120), 30 hops max, 40 byte packets
 1  gate-push (192.168.5.2)  0.173 ms  0.154 ms  0.145 ms
 2  10.10.10.1 (10.10.10.1)  359.053 ms  320.541 ms  298.966 ms
 3  192.168.0.120 (192.168.0.120)  392.950 ms  265.602 ms  295.945 ms
morphine@main-push:~$
zdf
() автор топика
Ответ на: комментарий от nnz

Роутинк.

192.168.0.120: 

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\admin.MSSERVIC>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
0x3 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
0x4 ...00 1d 60 05 48 b8 ...... Attansic L1 Gigabit Ethernet 10/100/1000Base-T C
ontroller - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.4   192.168.0.120       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0    192.168.0.120   192.168.0.120       10
    192.168.0.120  255.255.255.255        127.0.0.1       127.0.0.1       10
    192.168.0.255  255.255.255.255    192.168.0.120   192.168.0.120       10
     192.168.73.0    255.255.255.0     192.168.73.1    192.168.73.1       20
     192.168.73.1  255.255.255.255        127.0.0.1       127.0.0.1       20
   192.168.73.255  255.255.255.255     192.168.73.1    192.168.73.1       20
    192.168.202.0    255.255.255.0    192.168.202.1   192.168.202.1       20
    192.168.202.1  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.202.255  255.255.255.255    192.168.202.1   192.168.202.1       20
        224.0.0.0        240.0.0.0    192.168.0.120   192.168.0.120       10
        224.0.0.0        240.0.0.0     192.168.73.1    192.168.73.1       20
        224.0.0.0        240.0.0.0    192.168.202.1   192.168.202.1       20
  255.255.255.255  255.255.255.255    192.168.0.120   192.168.0.120       1
  255.255.255.255  255.255.255.255     192.168.73.1    192.168.73.1       1
  255.255.255.255  255.255.255.255    192.168.202.1   192.168.202.1       1
Основной шлюз:         192.168.0.4
===========================================================================
Постоянные маршруты:
  Отсутствует

192.168.0.4:

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
*.*.*.*         0.0.0.0         255.255.255.252 U         0 0          0 eth0
192.168.7.0     10.10.10.14     255.255.255.0   UG        0 0          0 tap0
192.168.6.0     10.10.10.13     255.255.255.0   UG        0 0          0 tap0
192.168.5.0     10.10.10.13     255.255.255.0   UG        0 0          0 tap0
192.168.4.0     10.10.10.12     255.255.255.0   UG        0 0          0 tap0
192.168.3.0     10.10.10.11     255.255.255.0   UG        0 0          0 tap0
192.168.2.0     10.10.10.10     255.255.255.0   UG        0 0          0 tap0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
10.10.10.0      0.0.0.0         255.255.255.0   U         0 0          0 tap0
192.168.10.0    10.10.10.20     255.255.255.0   UG        0 0          0 tap0
192.168.9.0     10.10.10.17     255.255.255.0   UG        0 0          0 tap0
192.168.8.0     10.10.10.16     255.255.255.0   UG        0 0          0 tap0
0.0.0.0         *.*.*.*         0.0.0.0         UG        0 0          0 eth0

192.168.5.2:

 netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
*.*.*.*         0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.6.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.5.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.1.0     10.10.10.1      255.255.255.0   UG        0 0          0 tap0
192.168.0.0     10.10.10.1      255.255.255.0   UG        0 0          0 tap0
10.10.10.0      0.0.0.0         255.255.255.0   U         0 0          0 tap0
192.168.10.0    10.10.10.20     255.255.255.0   UG        0 0          0 tap0
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 ppp0

192.168.5.1:

netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.6.0     0.0.0.0         255.255.255.0   U         0 0          0 eth3
192.168.5.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
0.0.0.0         192.168.5.2     0.0.0.0         UG        0 0          0 eth1
zdf
() автор топика

Раз из каждого сегмента сети можно попасть в соседний, полагаю, дело в маршрутизации.

Нужно прописать маршруты для каждой подсети. Судя по всему, на 192.168.0.120 не прописан маршрут на 10.10.10.13. И еще: почему на картинке встречается такое: 

192.192.5.2 -- FAIL
192.192.6.2 -- FAIL
Это опечатка?

Igron ★★★★★
()

И еще одно: на момент отладки лучше почистить все правила фаервола во избежание.

Igron ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[spamassassin] Конфиг
Admin
yota и работа через NAT/прокси