LINUX.ORG.RU
ФорумAdmin

Помогите с iptables

 ,


1

2

Добрый день. Есть непонятки в работе шлюза система CentOS 6.3

внешний интерфейс eth1 89.x.x.x внутренний eth2 сеть 192.168.1.0/24

настройки iptables

[root@ptv etc]# cat ./sysconfig/iptables
# Generated by iptables-save v1.4.7 on Sun Feb 24 10:36:02 2013
*mangle
:PREROUTING ACCEPT [1140973:990739744]
:INPUT ACCEPT [6235:434787]
:FORWARD ACCEPT [1134282:990269562]
:OUTPUT ACCEPT [2218:187172]
:POSTROUTING ACCEPT [1136426:990450812]
COMMIT

# Completed on Sun Feb 24 10:36:02 2013
# Generated by iptables-save v1.4.7 on Sun Feb 24 10:36:02 2013


*nat
:PREROUTING ACCEPT [11133:787699]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 8x.x.x.x




COMMIT


# Completed on Sun Feb 24 10:36:02 2013
# Generated by iptables-save v1.4.7 on Sun Feb 24 10:36:02 2013

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FW-ptv-INPUT - [0:0]
-A INPUT -j FW-ptv-INPUT
-A FORWARD -j FW-ptv-INPUT
-A FW-ptv-INPUT -i lo -j ACCEPT
#-A FW-ptv-INPUT -p icmp --icmp-type any -j ACCEPT
-A FW-ptv-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A FW-ptv-INPUT -i eth1 -j ACCEPT
-A FW-ptv-INPUT -o eth1 -j ACCEPT
#DNS open port
-A FW-ptv-INPUT -m tcp -p tcp --dport 53 -j ACCEPT
-A FW-ptv-INPUT -m udp -p udp --dport 53 -j ACCEPT
#http https
-A FW-ptv-INPUT -m tcp -p tcp --dport 80 -j ACCEPT
-A FW-ptv-INPUT -m tcp -p tcp --dport 443 -j ACCEPT
#teamviewere
-A FW-ptv-INPUT -m tcp -p tcp --dport 5938 -j ACCEPT
-A FW-ptv-INPUT -m udp -p udp --dport 5938 -j ACCEPT
#ipcamera
-A FW-ptv-INPUT -m tcp -p tcp --dport 8085 -j ACCEPT
#mail
-A FW-ptv-INPUT -m tcp -p tcp --dport 25 -j ACCEPT
-A FW-ptv-INPUT -m tcp -p tcp --dport 110 -j ACCEPT
-A FW-ptv-INPUT -m tcp -p tcp --dport 587 -j ACCEPT
-A FW-ptv-INPUT -m tcp -p tcp --dport 465 -j ACCEPT
-A FW-ptv-INPUT -m tcp -p tcp --dport 143 -j ACCEPT
-A FW-ptv-INPUT -m tcp -p tcp --dport 995 -j ACCEPT
#FTP
-A FW-ptv-INPUT -m tcp -p tcp --dport 21 -j ACCEPT

#klient bank privat 3264
-A FW-ptv-INPUT -m tcp -p tcp --dport 3264 -j ACCEPT

#WOWZA MEDIA SERVER
-A FW-ptv-INPUT -m udp -p udp --dport 10012:10015 -j ACCEPT
-A FW-ptv-INPUT -m udp -p udp --dport 2007 -j ACCEPT
-A FW-ptv-INPUT -m tcp -p tcp --dport 3346 -j ACCEPT

#-A FW-ptv-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FW-ptv-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A FW-ptv-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
#-A FW-ptv-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

собственно проблема заключаеться в том что попал в руки некий кодер NDS3211H который по UDP предает видео юникастом или мультикастом в зависимости от айпи указаного в параметрах кодера

tcpdump -i eth2 | grep 1316

19:54:09.408789 IP 192.168.1.16.2007 > 213.186.x.x.10015: UDP, length 1316

на внешнем интерфейсе глухо

а вот пакеты с VLC проходят до конца

tcpdump -i eth2 | grep 1316

19:54:10.882500 IP 192.168.1.239.54194 > 213.186.х.х.10014: UDP, length 1316

tcpdump -i eth1 | grep 1316

19:53:54.883183 IP 89.х.х.х.54194 > 213.186.х.х.10014: UDP, length 1316

собственно вопрос почему и куда деваються пакеты с кодера



Последнее исправление: ilia87 (всего исправлений: 3)

Первый раз вижу, чтоб grep'али ввод tcpdump'а. Ну да ладно. Ты режешь в FORWARD где-то, смотри тщательнее. Ну и не совсем понять кто, куда и зачем.

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

то что оно где то закрыто я понимаю привел список правил в том виде что у меня есть, я собственно и прошу что б мне подсказали по поводу где и что может быть закрыто

ilia87
() автор топика

может это чемто поможет вывод с мак адресами

23:00:18.097899 20:12:10:10:19:29 (oui Unknown) > 00:00:00:00:00:00 (oui Ethernet), ethertype IPv4 (0x0800), length 1358: 192.168.1.16.2007 > 213.х.х.х.10015: UDP, length 1316

ilia87
() автор топика

Заработало но не очень коректно проблема действительно была связана с мак 00:00:00:00:00:00

23:00:18.097899 20:12:10:10:19:29 (oui Unknown) > 00:00:00:00:00:00 (oui Ethernet), ethertype IPv4 (0x0800), length 1358: 192.168.1.16.2007 > 213.х.х.х.10015: UDP, length 1316

сначала задаю этому кодеры вещать на 192.168.1.1

20:12:10:10:19:29 (oui Unknown) > 00:04:23:c7:25:fa (oui Unknown), ethertype IPv4 (0x0800), length 1358: 192.168.1.16.2007 > 192.168.1.1.10014: UDP, length 1316

пакеты проходят

потом на лету меняю сервер назначения на коробке

20:12:10:10:19:29 (oui Unknown) > 00:04:23:c7:25:fa (oui Unknown), ethertype IPv4 (0x0800), length 1358: 192.168.1.16.2007 > 213.х.х.х.10014: UDP, length 1316

и все работает

Вопрос почему он сразу не видет мак сервера

причем он посылает в броадкаст arp запрос может это как то настраиваеться что б он сразу мог видеть мак адреса устройств за шдюзом

ilia87
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.