Iptables Движение пакетов.

Автор: brutaljonn
Дата сообщения: 19.07.2010 15:55

Ситуация следующая, интересует как двигается транзитный пакет из ЛАН в ВАН через netfilter. По идее должен так LAN -> mangle PREROUTING -> nat PREROUTING -> mangle FORWARD -> filter FORWARD -> mangle POSTROUTING -> nat POSTROUTING -> WAN
Повесив LOG на filter FORWARD никакого движения не вижу, хотя mangle FORWARD кишит, вотпрос как такое может быть? Т.е. пакеты идут по mangle и не попадают в filter( Правил фильтрации в mangle нет, может кто уже сталкивался с таким, гугл ответ не дал((

Автор: urodliv
Дата сообщения: 19.07.2010 16:21

Если вы не против...
iptables -t mangle -nvL
iptables -t filter -nvL

Автор: brutaljonn
Дата сообщения: 19.07.2010 16:55

iptables -t mangle -nvL
--------------------------------------------------------------------------------
Chain PREROUTING (policy ACCEPT 126K packets, 77M bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 317K packets, 185M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 91174 packets, 42M bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 99082 packets, 77M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 400K packets, 267M bytes)
pkts bytes target prot opt in out source destination
--------------------------------------------------------------------------------
[more=iptables -t filter -nvL]
--------------------------------------------------------------------------------

Chain INPUT (policy DROP 576 packets, 42871 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP icmp -f * * 0.0.0.0/0 0.0.0.0/0
90246 51M bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
42953 5571K ACCEPT all -- eth1.2 * 192.168.0.0/24 0.0.0.0/0
12415 1583K ACCEPT all -- lo * 127.0.0.1 0.0.0.0/0
64 4234 ACCEPT all -- lo * 192.168.0.33 0.0.0.0/0
0 0 ACCEPT all -- lo * 193.254.233.190 0.0.0.0/0
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5080
36887 44M ACCEPT all -- * * 0.0.0.0/0 193.254.233.190 state RELATED,ESTABLISHED
361 17484 tcp_packets tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
232 25285 udp_packets udp -- eth0 * 0.0.0.0/0 0.0.0.0/0
9 568 icmp_packets icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
0 0 REJECT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:113 reject-with icmp-port-unreachable
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
233 26287 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- eth0 * 0.0.0.0/0 193.254.233.255

Chain FORWARD (policy DROP 220 packets, 47698 bytes)
pkts bytes target prot opt in out source destination
149 23002 QUEUE all -- eth1.54 eth0 0.0.0.0/0 0.0.0.0/0
121 24895 QUEUE all -- eth0 eth1.54 0.0.0.0/0 0.0.0.0/0
0 0 QUEUE all -- eth1.53 eth0 0.0.0.0/0 0.0.0.0/0
0 0 QUEUE all -- eth0 eth1.53 0.0.0.0/0 0.0.0.0/0
0 0 QUEUE all -- eth1.16 eth0 0.0.0.0/0 0.0.0.0/0
0 0 QUEUE all -- eth0 eth1.16 0.0.0.0/0 0.0.0.0/0
0 0 QUEUE all -- eth1.14 eth0 0.0.0.0/0 0.0.0.0/0
0 0 QUEUE all -- eth0 eth1.14 0.0.0.0/0 0.0.0.0/0
20582 22M QUEUE all -- eth1.2 eth0 0.0.0.0/0 0.0.0.0/0
13633 4276K QUEUE all -- eth0 eth1.2 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * eth0 0.0.0.0/0 193.254.233.255
118 16029 bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 192.168.0.5 192.168.13.162
8 3196 ACCEPT all -- * * 192.168.0.5 0.0.0.0/0
0 0 ACCEPT all -- * * 10.10.10.0/24 192.168.0.5
0 0 ACCEPT all -- * * 192.168.0.5 10.10.10.0/24
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.0.5 tcp dpt:50000
1 131 ACCEPT udp -- eth0 * 0.0.0.0/0 192.168.0.5 udp dpt:50000
0 0 ACCEPT all -- * * 192.168.0.123 0.0.0.0/0
2 127 ACCEPT all -- * eth0 192.168.0.100 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.155 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.247 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.3 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.4 0.0.0.0/0
0 0 ACCEPT all -- * * 192.168.0.25 192.168.13.162
0 0 ACCEPT all -- * * 192.168.0.204 192.168.13.162
0 0 ACCEPT all -- * * 192.168.0.160 192.168.13.162
0 0 ACCEPT all -- * eth0 192.168.0.71 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.88 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.38 0.0.0.0/0
5 466 ACCEPT all -- * eth0 192.168.0.113 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.36 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.12 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.103 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.0.95 0.0.0.0/0
0 0 ACCEPT tcp -- * eth0 192.168.0.183 0.0.0.0/0 multiport dports 5190
0 0 ACCEPT tcp -- * eth0 192.168.0.109 0.0.0.0/0 multiport dports 5190
0 0 ACCEPT tcp -- * * 192.168.0.24 0.0.0.0/0 multiport dports 5190
0 0 ACCEPT tcp -- * * 192.168.0.62 0.0.0.0/0 multiport dports 5190
0 0 ACCEPT all -- eth1.13 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- eth1.14 eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- eth1.16 eth0 0.0.0.0/0 0.0.0.0/0
159 9997 ACCEPT all -- eth1.18 eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- eth1.18 eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:6050
0 0 ACCEPT tcp -- eth1.18 eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:68
0 0 ACCEPT tcp -- eth1.18 eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:67
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.13.22 tcp dpt:6050
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.13.22 tcp dpt:68
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.13.22 tcp dpt:67
0 0 ACCEPT all -- eth1.53 eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * eth0 192.168.13.166 0.0.0.0/0
0 0 DROP all -- * * 192.168.13.0/24 192.168.0.0/24
0 0 DROP tcp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 DROP tcp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
1 48 DROP tcp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
5 466 DROP tcp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 DROP tcp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 DROP tcp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4662
0 0 DROP tcp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4711
0 0 DROP udp -- eth1.2 * 0.0.0.0/0 0.0.0.0/0 udp dpt:4672

Chain OUTPUT (policy DROP 9 packets, 4816 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP icmp -f * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * eth0 0.0.0.0/0 193.254.233.255
99694 78M bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
12415 1583K ACCEPT all -- * * 127.0.0.1 0.0.0.0/0
66054 73M ACCEPT all -- * * 192.168.0.33 0.0.0.0/0
22789 3139K ACCEPT all -- * * 193.254.233.190 0.0.0.0/0
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25

Chain allowed (1 references)
pkts bytes target prot opt in out source destination
22 1076 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0

Chain bad_tcp_packets (3 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 192.168.0.140 193.254.233.190
0 0 DROP all -- * * 192.168.13.162 193.254.233.190
0 0 DROP all -- * * 192.168.13.165 193.254.233.190
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset
8 344 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x16/0x02 state NEW

Chain icmp_packets (1 references)
pkts bytes target prot opt in out source destination
8 512 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11

Chain tcp_packets (1 references)
pkts bytes target prot opt in out source destination
22 1076 allowed tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25

Chain udp_packets (1 references)
pkts bytes target prot opt in out source destination
1 72 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
--------------------------------------------------------------------------------
eth0 - WAN
eth1.2 - LAN
[/more]

Автор: urodliv
Дата сообщения: 19.07.2010 18:05

Хе-хе-хе. Ну у вас и правил же...
Согласно этим правилам:

Цитата:

20582 22M QUEUE all -- eth1.2 eth0 0.0.0.0/0 0.0.0.0/0
13633 4276K QUEUE all -- eth0 eth1.2 0.0.0.0/0 0.0.0.0/0

у вас через filter forward должно пройти как минимум 26 метров трафика. Но при этом вы пишите, что

Цитата:

Повесив LOG на filter FORWARD никакого движения не вижу, хотя mangle FORWARD кишит

Тогда у меня к вам встречный вопрос, куда вы вешаете этот самый лог? Если до этих правил, то он должен показывать хождение пакетов, если после, то - нет. Почему? Потому что эти правила отправляют пакеты в userspace, где их обрабатывает какая-то программа. А эта программа их уже пропускает по цепочкам output. То есть у нас налицо изменение пути прохождения.
Но ваши счётчики меня всё равно ставят в тупик, ибо по цепочке mangle forward прошло 42 метра, а по цепочке filter forward только 26. Объяснить это не могу.

Автор: brutaljonn
Дата сообщения: 21.07.2010 09:19

Да действительно дело было в QUEUE, повесил счетчик на интерфейс в Netams и забыл про него, вот он завернул трафик в output. Спасибо тебе добрый человек за подсказку))) Я просто думал что схема движения в QUEUE строится иначе и пакеты возвращаются после обработки в эту же таблицу, в реальности оказалось иначе, будем знать. Еще раз спасибо!

» Iptables Движение пакетов.