LINUX.ORG.RU

Сообщения ядра - быть может файерволл?


0

0

Доброго времени суток!
Задумл поднять опенвпн сервер. поднял: линукс-линукс. но хосты не пингуют друг друга. в логах при пинге такие сообщения:
May 23 08:58:31 office kernel: [264599.791130] IN= OUT=tun0 SRC=10.10.10.1 DST=10.10.10.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=49715 SEQ=1
May 23 08:58:32 office kernel: [264600.800198] IN= OUT=tun0 SRC=10.10.10.1 DST=10.10.10.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=49715 SEQ=2
May 23 08:58:33 office kernel: [264601.798559] IN= OUT=tun0 SRC=10.10.10.1 DST=10.10.10.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=49715 SEQ=3
May 23 08:58:34 office kernel: [264602.796870] IN= OUT=tun0 SRC=10.10.10.1 DST=10.10.10.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=49715 SEQ=4
May 23 08:58:35 office kernel: [264603.795202] IN= OUT=tun0 SRC=10.10.10.1 DST=10.10.10.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=49715 SEQ=5
May 23 08:58:36 office kernel: [264604.793553] IN= OUT=tun0 SRC=10.10.10.1 DST=10.10.10.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=49715 SEQ=6


Я подозреваю неправильно настроен файерволл. Может подскажете как разрешить в iptables связь по каналу опенвпн?

Выкинуть файерволл. На правильно настроенной рабочей станции (там, где netstat -l -n -A inet,inet6 выдает только 127.0.0.1 или ::1) он не нужен.

AEP ★★★★★
()
Ответ на: комментарий от YAR

Может и точно укажете, где я не прав?
mangle
:PREROUTING ACCEPT [42744:16020764]
:INPUT ACCEPT [19500:6943062]
:FORWARD ACCEPT [22990:9030216]
:OUTPUT ACCEPT [19706:14413209]
:POSTROUTING ACCEPT [42695:23443644]
COMMIT
# Completed on Sat May 23 13:15:58 2009
# Generated by iptables-save v1.3.8 on Sat May 23 13:15:58 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j LOG
-A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j DROP
-A INPUT -d 255.255.255.255 -i eth0 -j ACCEPT
-A INPUT -d 255.255.255.255 -i tun0 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -s 10.10.10.2 -i tun0 -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -i eth0 -p ! tcp -j ACCEPT
-A INPUT -d 224.0.0.0/240.0.0.0 -i tun0 -p ! tcp -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j LOG
-A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j DROP
-A INPUT -s 10.10.10.1 -i ppp0 -j ACCEPT
-A INPUT -d 255.255.255.255 -i ppp0 -j ACCEPT
-A INPUT -d 89.105.243.70 -i ppp0 -j ACCEPT
-A INPUT -d 224.0.0.1 -j DROP
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -s 10.10.10.2 -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 10.10.10.2 -j ACCEPT
-A FORWARD -s 10.10.10.1 -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -d 10.10.10.1 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o ppp0 -j ACCEPT
-A FORWARD -s 10.10.10.2 -i tun0 -o ppp0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j LOG
-A FORWARD -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROP
-A FORWARD -d 10.10.10.1 -o ppp0 -j ACCEPT
-A FORWARD -d 224.0.0.1 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 255.255.255.255 -o eth0 -j ACCEPT
-A OUTPUT -d 255.255.255.255 -o tun0 -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o eth0 -j ACCEPT
-A OUTPUT -d 10.10.10.2 -o tun0 -j ACCEPT
-A OUTPUT -d 224.0.0.0/240.0.0.0 -o eth0 -p ! tcp -j ACCEPT
-A OUTPUT -d 224.0.0.0/240.0.0.0 -o tun0 -p ! tcp -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROP
-A OUTPUT -d 10.10.10.1 -o ppp0 -j ACCEPT
-A OUTPUT -d 255.255.255.255 -o ppp0 -j ACCEPT
-A OUTPUT -s 89.105.243.70 -o ppp0 -j ACCEPT
-A OUTPUT -d 224.0.0.1 -j DROP
-A OUTPUT -j LOG
-A OUTPUT -j DROP
COMMIT
# Completed on Sat May 23 13:15:58 2009
# Generated by iptables-save v1.3.8 on Sat May 23 13:15:58 2009
*nat
:PREROUTING ACCEPT [5664:480963]
:POSTROUTING ACCEPT [1300:99234]
:OUTPUT ACCEPT [1303:99486]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.2 -o ppp0 -j MASQUERADE
COMMIT

ruslanpisarev
() автор топика
Ответ на: комментарий от ruslanpisarev

Ну, например, у тебя нигде в правилах не описано прохождение пакетов на хосты в сети 10.0.0.0, отличные от 10.10.10.2, соответственно, пакеты для 10.10.10.6 по цепочке правил проходят до "-A OUTPUT -j LOG" и падают в логи. Соответственно, "-A OUTPUT -j DROP" тоже никогда не будет работать. Можешь добавить для начала что-то типа
message "Enabling ICMP-messages"
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT # Dest unreachable
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -j ACCEPT # Dest unreachable
iptables -A FORWARD -p icmp --icmp-type destination-unreachable -j ACCEPT &> /dev/null # Dest unreachable
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT # Time exceeded
iptables -A OUTPUT -p icmp --icmp-type time-exceeded -j ACCEPT # Time exceeded
iptables -A FORWARD -p icmp --icmp-type time-exceeded -j ACCEPT &> /dev/null # Time exceeded
iptables -A INPUT -p icmp --icmp-type parameter-problem -j ACCEPT # Parameter Problem
iptables -A OUTPUT -p icmp --icmp-type parameter-problem -j ACCEPT # Parameter Problem
iptables -A FORWARD -p icmp --icmp-type parameter-problem -j ACCEPT &> /dev/null # Parameter Problem

и для нужных интерфейсов/направлений:

# Allow ping
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

Кроме того, сваливать без ограничений все в лог не есть хорошо - какой-нибудь ping -f с машин в сети, для которых не разрешен этот самый ping - и на твоем сервере достаточно быстро закончится место на диске из-за разросшихся логов. Ну и сами правила тоже пересмотри, например:

# все исходящие пакеты для сети 192.168.0.0/24 будут разрешены
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j ACCEPT
# а вот это уже никогда работать не будет, так пакеты пропустила предыдущая цепочка
-A OUTPUT -d 192.168.0.0/255.255.255.0 -o ppp0 -j DROP

YAR ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.