» ipchains, iptables etc

Уважаемые соконфетники. Вот, встала проблема с Linux - Gateway для сетки. Раньше с Линухом знаком был отдалённо. Теперь углубляюсь. Трудно, конечно после виндов (не знаю, может с непривычки) и не всё гладко. Поставил ASP Linux Baikal 7.2, почитал про IPChains. Экспериментирую - ipchains -L input, - пишет - incompatible whis this kernel.
При написании любых комманд по пересылке пакетов пишет - Protocol not available.
Если к этим коммандам добавлять -p [`all'], на следующей строчке появляется приглашение > , пропадает только после CTRL-C. Тяжко мне. Помогите разобратся. Проверил, ipchains стартован. И ещё, если есть, покажите ссылку какую-нибудь со скриптами для ipchains, мож поможет. Заранее спасибо.

P.S. manы читаю - не понимаю ничаво

Цитата:

Поставил ASP Linux Baikal 7.2

Помоему в 7.2 по умолчанию уже iptables

Оказалось да, Iptables работает. Но ситуация-с - Пишу IPTABLES -P INPUT ACCEPT
IPTABLES -P FORWARD ACCEPT IPTABLES -P OUTPUT ACCEPT - т.е. никаких запретов. Всё равно не ходят из сетки в интернет. Карточки сетевые настроены правильно. С любой сетевой тачки пингуются DNS-сервера провайдера (по-сути интернет уже), а ftp,http ... не ходит. Где в линухе глянуть можно на логи какие-нибудь - где пакеты пропадают. Кажется мне, что провайдер закрыл со своей стороны порты кроме прокси 3128 (по нему счас ходим в интернет через Winroute). Но не признаются, а настойчиво просят денег за вызов спецов, шоб енто починить. А нужно по-зарез ftp и icq. Шо робыть ??????

Ну дык правильно что не ходят, надо в сторону НАТ копать. У тебя порты открыты, а пакеты на рассылает на одресаты, т.к. пути к ним не прописаны!
Читаем и задаем вопросы: http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
Там в принципе расписано все максимально понятно + примеры.
И еще распиши конкретней, своб проблему, что настроего что не настоено и как...
логи у меня например /var/log/...

Тебе нужно сделать две вещи:
Я так понимаю, что у тебя за сервером стоит сетка?
Первым делом подымаешь НАТ, так как на внутренней сетке у тебя, скорее всего нет реальных адресов, делаешь это примерно так:
iptables -t nat -A POSTROUTING -o имя_внешнего_интерфейса -s ip_адрес_или_диапазон_внутренней_сетки -j MASQUERADE
у меня это так: iptables -t nat -A POSTROUTING -o eth1 -s 10.0.1.0/24 -j MASQUERADE

шаг второй:
Разреши маршрутизацию:
echo "1" > /proc/sys/net/ipv4/ip_forward

И если, как ты говоришь, никаких правил фаервола нет и политики в ACCEPT то все должно работать.

Всё сделал как ты написал - iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE, маршрутизацию включил - результата ноль. В таблицах INPUT, OUTPUT, FORWARD - ни одной записи нет (Я их очистил -F, а затем задал всем трём таблицам политики ACCEPT). Log нету в \var\log. Как же посмотреть - где гибнут пакеты. Может запись в лог где-то нужно включить, или они где-то в другом месте лежат.

Приветствую!
Да странно, может у тебя что-то с дистрибутивом?
Ну попробуй, для уверенности, сделать еще следующее:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
#
iptables -X
iptables -t nat -X
iptables -t mangle -X

после сделай те комманды, которые ты делал раньше:
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

echo "1" > /proc/sys/net/ipv4/ip_forward

а так делается лог:
iptables -A [INPUT или OUTPUT или FORWARD] -j LOG --log-level DEBUG --log-prefix "IPT packet: "

И опиши свою конффигурацию. Проблема может быть даже в дровах к сетевухам.
Ты пользвуешь радио-интернетом, ну вобщем расскажи поподробнее, возможно проблема не в фаерволе.
Удачи!

С уважением,
Евгений Ким.

drinkens
Опиши какие адреса у тебя в сети. Какие на обеих интерфейсах роутера.
Какой адрес у тебя данный провайдером и всю остальную инфу которую дал тебе провайдер.
Выведи нам результат команды route print
Не забудь прописать дефолт-шлюз на рабочих станциях (адрес внутреннего инт роутера), а когда пропишешь - попробуй с них пропинговать оба интерфейса роутера.

Пингуется ли провайдерский ip ?

Не боись - разберемся

З.Ы. еще раз проверь файл /proc/sys/net/ipv4/ip_forward на наличие в нем "1" и рестартни систему после прописания ее туда.

Модули все подключены?

Файл /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=Linux
GATEWAY=192.168.1.102 #(роутер провайдера)
DNS1=212.9.224.1 #(ДНС провайдера)
DNS2=212.9.224.2 #(ДНС провайдера)

Файл /etc/sysconfig/network-scripts/ifcfg-eth0 (сетка)

DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.0.62
NETMASK=255.255.255.0
NETWORK=192.168.0.0
BROADCAST=192.168.0.255

Файл /etc/sysconfig/network-scripts/ifcfg-eth1 (и-нет)

DEVICE=eth1
ONBOOT=yes
IPADDR=192.168.1.151
NETMASK=255.255.255.0
NETWORK=192.168.1.0
BROADCAST=192.168.1.255

Комманда route-

Kernel IP routing table
Destination Gateway Genmask Flags MetricRef Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.1.102 0.0.0.0 UG 0 0 0 eth1

Далее запускаю скрипт:

#!/bin/bash
# IPTABLES configuration
IPTABLES="/sbin/iptables"

# Module loading

# needed to initialy load modules

/sbin/depmod -a

# Required modules

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

# Required proc configuration
echo "Required proc..."

echo "1" > /proc/sys/net/ipv4/ip_forward

# Set policies

echo "Set policies"
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
#

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X



echo "Enable simple IP Forwarding and NAT"

$IPTABLES -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

$IPTABLES -A INPUT -j LOG --log-level DEBUG --log-prefix "IPT Packet:"
$IPTABLES -A OUTPUT -j LOG --log-level DEBUG --log-prefix "IPT Packet:"



Что происходит : Пингуются роутер провайдера, мой роутер, ДНС-Сервера провайдера с любой машины в сети. Всё остальное в сети не пингуется. При пинге, например yandex.ru, выдаёт его айпишник (всё-таки резолвит его откуда-то), а затем пишет – Host unrichable. То же происходит и в ИЕ с любой машины в сети. Пишу например адрес – www.rambler.ru. Начинается процесс, внизу появляется надпись Connecting to 81.19.66.109, далее висим минут 5, и говорит что не может открыть страницу. В логе пишет вот что :

IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22457 DF PROTO=TCP SPT=2140 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24677 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22457 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22462 DF PROTO=TCP SPT=2140 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24678 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22462 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22468 DF PROTO=TCP SPT=2140 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24679 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22468 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22474 DF PROTO=TCP SPT=2141 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24680 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22474 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22477 DF PROTO=TCP SPT=2141 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24681 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22477 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22493 DF PROTO=TCP SPT=2141 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24682 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.176 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22493 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22518 DF PROTO=TCP SPT=2144 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24683 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22518 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22523 DF PROTO=TCP SPT=2144 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24684 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22523 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=105 TOS=0x00 PREC=0x00 TTL=127 ID=22524 PROTO=UDP SPT=2146 DPT=53 LEN=85
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=180 TOS=0x00 PREC=0x00 TTL=60 ID=50595 PROTO=UDP SPT=53 DPT=2146 LEN=160
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=79 TOS=0x00 PREC=0x00 TTL=127 ID=22526 PROTO=UDP SPT=2147 DPT=53 LEN=59
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=154 TOS=0x00 PREC=0x00 TTL=60 ID=50637 PROTO=UDP SPT=53 DPT=2147 LEN=134
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=121 TOS=0x00 PREC=0x00 TTL=127 ID=22527 PROTO=UDP SPT=2148 DPT=53 LEN=101
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=196 TOS=0x00 PREC=0x00 TTL=60 ID=50650 PROTO=UDP SPT=53 DPT=2148 LEN=176
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=22528 PROTO=UDP SPT=2149 DPT=53 LEN=40
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=147 TOS=0x00 PREC=0x00 TTL=60 ID=50684 PROTO=UDP SPT=53 DPT=2149 LEN=127
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22529 DF PROTO=TCP SPT=2150 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24685 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22529 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN= OUT=eth0 SRC=192.168.0.62 DST=192.168.0.61 LEN=88 TOS=0x00 PREC=0xC0 TTL=255 ID=32402 PROTO=ICMP TYPE=11 CODE=0 [SRC=192.168.0.61 DST=212.9.224.2 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=22538 DF PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=19200 ]
IPT Packet:IN= OUT=eth0 SRC=192.168.0.62 DST=192.168.0.61 LEN=88 TOS=0x00 PREC=0xC0 TTL=255 ID=32403 PROTO=ICMP TYPE=11 CODE=0 [SRC=192.168.0.61 DST=212.9.224.2 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=22539 DF PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=19456 ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22542 DF PROTO=TCP SPT=2150 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24686 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22542 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22547 DF PROTO=TCP SPT=2144 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24687 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.208 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22547 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22552 DF PROTO=TCP SPT=2150 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24688 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=81.19.66.109 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22552 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22573 DF PROTO=TCP SPT=2153 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24689 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22573 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22579 DF PROTO=TCP SPT=2153 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24690 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=64.152.73.240 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22579 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=212.9.224.1 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=22581 PROTO=UDP SPT=2154 DPT=53 LEN=45
IPT Packet:IN=eth1 OUT=eth0 SRC=212.9.224.1 DST=192.168.0.61 LEN=349 TOS=0x00 PREC=0x00 TTL=60 ID=55876 PROTO=UDP SPT=53 DPT=2154 LEN=329
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22582 DF PROTO=TCP SPT=2155 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24691 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22582 DF PROTO=TCP INCOMPLETE [8 bytes] ]
IPT Packet:IN=eth0 OUT=eth1 SRC=192.168.0.61 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=22587 DF PROTO=TCP SPT=2155 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
IPT Packet:IN=eth1 OUT=eth0 SRC=192.168.1.102 DST=192.168.0.61 LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=24692 PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.1.151 DST=207.68.176.250 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=22587 DF PROTO=TCP INCOMPLETE [8 bytes] ]

Ну как, есть соображения ?

drinkens
не, пиши такие правила -
$IPTABLES -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to-source <внешний IP>
p.s. и маршрутизацию все-таки включи

to all
народ, а что такое rx и tx bytes в ifconfig??

Добавлено
эээ... кстати.. а тебе надо абсолютно все туда кидать? может определишься, какие порты кидать, а какие нет?

Цитата:

Файл /etc/sysconfig/network-scripts/ifcfg-eth1 (и-нет)

DEVICE=eth1
ONBOOT=yes
IPADDR=192.168.1.151
NETMASK=255.255.255.0
NETWORK=192.168.1.0
BROADCAST=192.168.1.255

Это не "(и-нет)". Это локальная сеть провайдера.
Тебе вообще нужен не роутер а бридж и в своей локалке выставить адреса 192.168.1.0/24
Попробуй выставить эти адреса на локальные машины, прописать дефолт шлюз 192.168.1.102 и воткнуть свой (и-нет) себе просто в свитч/хаб.

если тебе все таки нужно будет юзать свои адреса, надо будет чуть чуть по другому настроить НАТ.

Да, наверное бридж не сгодится, так как я хочу настроить в firewall со всеми правилами. Сначала так и поступил - не работало. Сейчас хочу просто без всяких правил попасть через эту тачку в интернет, а потом уж добавлять правила firewall.

Добавлено
Ну вот, поэкспериментировал. Значит так, взял компьютер в сетке. Прописал на нём дефолт шлюз 192.168.1.102 В DNS записал сервера 212.9.224.1 & 212.9.224.2. Адрес сетевушки сменил на 192.168.1.152. + подключил всё это дело в сетку провайдера (ISDN Hub Router ZyXEL c 4 сосками для лана), поведение точно такое, как и через линукс-машину. Пингуются только ДНС-сервера провайдера + 192.168.1.102. Опять подворачивается мысль, что провайдер закрыл все порты, кроме 3128 (через прокси работает всё нормально). Может есть способ глянуть какие порты у них открыты, а какие закрыты. Просто мистика какая-то. Мож имеют они меня просто.

Так у тебя и с Линуксовой машины ничего не работает? (кроме пинга и ДНС)
Тогда само собой это провайдер тебя лажает!
Нет смысла настраивать все это если даже шлюзовая машина ничего не видит!
Видимо провайдер у тебя предоставляет только proxy доступ.
Тогда особо файрволить нечего - просто установи на linux'e squid, сделай прозрачное проксирование, остальные порты закрой и наслаждайся проксёвым интернетом.

Дело в том, что нужны порты 5190 и 21 (ftp+icq). Они не работают через прокси. Провайдеры божатся и клянутся, что у нас всё открыто и проблема в нашем шлюзе. Они мило согласились приехать к нам и за 50 баков починить всё. Но я не собираюсь платить эти деньги просто так. Ведь мне кажется что проблема не у нас. Они приедут, в это же время включат нам закрытые порты, - и дело в шляпе, денюшки заработали. А фиг им. Есть ли способ 100% уличить их в подставе и начать ругатся по-серьёзному (пока ещё сохраняется вероятность что у меня что-то не фурычит)

Всем привет!
Я тут, не было меня.
Я смотрю, что ситуация похожа на ту, когда из человека делают идиота. Но я не уверен в этом на 100%, может дествительно в чем-то проблема.
Я бы на твоем месте, взял бы подлючил виндовую машину, где настроить неправильно, что в туалет сходить мимо. Все бы настроил на виндах, и протестировал "связь". после этого сделал бы выводы. И если виноваты провайдеры - мило с ними бы поговарил, если не повелись бы уже разговаривал с начальством, показав все "улики" по этому делу.


А по поводу связи: говоришь пинги идут? а обмен информацией не получается?

У меня была такая проблемка, когда работал на госпредприятии: купили хабы 10Мбит. поставили. проверили - все ок(проверяли пингами, да и чат стоял, по моему sechat - все работало). Но оказалось что все остальное не рботает. - оказалось что вышел из строя один из хабов. Микросхема полетела. Мелкие пакеты пропускает, а побольше - большая комбинация из трех пальцев!

Так что советую тебе обратиться к друзьям, которые могут тебе помочь, а если таковых по близости нету - возьми у кого-нибудь : другую сетевуху, другой свич или хаб, проверить обжимку коннекторов, ну вобщем все проверить.

Удачи!
Если че - пиши

Цитата:

У меня была такая проблемка, когда работал на госпредприятии: купили хабы 10Мбит. поставили. проверили - все ок(проверяли пингами, да и чат стоял, по моему sechat - все работало). Но оказалось что все остальное не рботает. - оказалось что вышел из строя один из хабов. Микросхема полетела. Мелкие пакеты пропускает, а побольше - большая комбинация из трех пальцев!

Не надо лишнего, прочитай внимательно - www через прокси работает!

А вот первая половина правильная, настрой все - покажи начальству что не работает, если после приезда настройщиков все "заработает" - вот тебе и улики.

Всем большой большой привет. Настроение сегодня то, что нада. Закончился вчера мой кошмар с и-нетом. Позвонил по Вашему совету в милую контору IP Telecom, выслушал опять песню о том что надо рыть в своей сетке, но после того как я сказал что мне по....... ети байки и то, что я на 100% уверен в своей непричастности, меня куда-то переключили (додумались блин, наконец-то), там другой парень опять сказал, что всё Ок, но он, чтобы мне хоть как-то полегчало сейчас всё заново проверит. Проверял он енто дело минут 20 (я висел всё время на телефоне). Вижу, ICQ моё поднялось (парень что-то лабает дальше, наверное уже всё закончил, но время тянет, чтобы найти слова для оправдания). Я ему говорю-хорош, всё работает, что же ето было ?. На что мне мило отвечают - " Да, блин мы тут на новые роутеры переходили, забыли вас прописать" - Во, блин. Далее на все мои нехорошие слова у него находилось в ответ только одно слово - "Бывает, шо зробыш!". Теперь всё работает и через наш старый шлюз (Винда) и через моё новое Линуксоподобное детище. Правда пока всё открыто, приступаю к написанию правил фаервола. Со временем, если всё гладко получится, перейду на линукс полностью. Что для почты посоветуете, уважаемые. Да, и всем спасибо за советы, много вы умных для меня вещей подсказали с меня (Киев)

Рад за тебя!

Забавно но факт - стал я ковыряться в своем роутере и вырубил NAT - инет как работал так и работает... Безобразие

Может объяснит кто - почему достаточно одного форвардинга?

Добавлено
ЗЫ Сквид НЕ работает, да и всякие контры нормально бегают - дело не в проксе...

К вопросу про iptables:
Надо открыть нескольким пользователям доступ к портам осла. Я пишу так:
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4242 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4242 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4662 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4662 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4672 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4672 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4661 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4661 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4665 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4665 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4666 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4666 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4667 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4667 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4668 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4668 -j ACCEPT
$IPT -A FORWARD -o eth0 -p udp -d 10.0.10.167 --source-port 4669 -j ACCEPT
$IPT -A FORWARD -i eth0 -p udp -s 10.0.10.167 --destination-port 4669 -j ACCEPT
$IPT -A FORWARD -o eth0 -p tcp -d 10.0.10.167 --source-port 4711 -j ACCEPT
$IPT -A FORWARD -i eth0 -p tcp -s 10.0.10.167 --destination-port 4711 -j ACCEPT
Но не работает... В чем ошибка?
Скрипт запущен на Gate

Пытаюсь закрыть 135 порт:

iptables -I INPUT -p tcp --dport 135 -j DROP
iptables -I INPUT -p udp --dport 135 -j DROP
iptables -I FORWARD -p tcp --dport 135 -j DROP
iptables -I FORWARD -p udp --dport 135 -j DROP

Но tcpdump все равно ловит пакеты с назначением на порт 135. Что я делаю не так?

оооххх...
Вообщеи ситуевина такая.. сидел себе я два года веб программером и был у нас сис адин. Но он уволился и вся работа легла на мои плечи... Так.. более менее чего-то шарю.. ядро там перекомпилить, чего-то где-то поднастроить малость и все..
и вот звонит мне недавно админ провайдерский и грит от тебя уже вторую неделю по какому-то UDP порту постоянно вылетает мусор длинной 48 байт... при чем не слабо.. траффик генерится не по детски. я сказал что разберусь.. да не тут то было... залез я в скрипты, которые управляют ipchains и попал в ступор.. ничего понять не могу
почитал http://www.opennet.ru/docs/HOWTO-RU/Ipchains.koi8-r.html, но мало чего понял. перевод такой, буд-то бы через промт пропустили.

пытался потестировать на своей рабочей машине, да как-то трудно с тестингом
с чего начать млин? Чего делать? файл с цепочками около 340 строк... Пока в них разберусь - хз скока времени пройдет. Голова короче раскалывается. А тут еще в лог ядра нет нет сыпятся какие-то записи непонятные.. вообщем завал полный...

может есть какая приблуда, который вытаскивает все правила и "readable" форме их расписывает? я так хоть быстрее пойму что к чему...

valhalla
Не правильно создаете правило...
Для того чтобы это понять воспользуйтесь небольшой подсказкой...
iptables --help
--insert он же -I, вставляет правила в цепочку под номером.
--append он же -A, добавляет правила в цепочку.

Вам следует изначально все запретить! После чего открыть только то что Вам нужно... и Ваши проблемы исчезнут...
Рекомендую обратить Ваше внимание на GIPTables, http://www.giptables.org

Удачи..;)

ginger,

купил сеня книжку "Брэндмауэры в Linux", рулезная штука

стал хоть во что-то врубатся вроде

вообщем ситуация такая
стоит сервер (DNS, POP, SMTP, HTTP, FTP, SSH)
неа ней две сетевухи - одна наружу, другая во внуттреннюю сеть смотрит
по умолчанию входящий и исходящий траффик акцептится, при этом пакеты, как я понял, поступающие на "внешний интерефейс" акцепятся, если сервис существует или реджектятся если нифига нету.

юзвери ходять в нет, при этом не маскарадятся. при чем имеют доступ такого плана: отсылать пакеты могут куда угодно и по любому порту, но принимать могут только по разрешенным, то есть к примеру вирус поймали и вперед отсылать по UDP... Если у пользователя нет разрешенных портов, то он все равно может отсылать все что угодно во внешний мир, но при этом не получит ответа, но может свободно пользоваться сервисами на сервере.

также идет подсчет траффика с помощью сторонних скриптов. пакеты между сервером и провайдером не считаются.
идет подсчет входящего и исходящего траффика между "внешним" и "внутренним" интерфейсами, а также входящего и исходящего интернет траффика для каждого пользователя локальной сети.

помоему политика не правильная. я предпологаю следующий расклад вещей:

1. разрешить входящие и исходящие пакеты к сервисным портам (DNS, POP, SMTP, HTTP, FTP, SSH) от куда угодно
2. запретить внутренней сетке отправлять и принимать пакеты во внешний мир
4. разрешить полный доступ к локальному серверу
3. разрешить некоторым пользователям использовать интернет:
а) пропускать исходящие пакеты если порт назначения является сервисным (HTTP, FTP, ICQ, SSH и т.п.)
б) пропускать входящие пакеты, если инициатором соединения был локальный компьютер
в) блокировать входящие пакеты, если локальный компьютер не был инициатором соединения
г) маскарадить пользователей, которые ходят в интернет.
д) все прыдедущие пункты сделать для ppp соединений
------------------------------------------------------------------------------------------

я так понял все это можно запросто осуществить? Правильна ли политика? Что нужно подправить и какие есть подводные камни?

я вот еще не совсем с порядком правил разобрался...

Добавлено
и если чего упустил с политикой.. то подскажите плиз...

ginger

Цитата:

Не правильно создаете правило...

Как это не правильно?
I - вставляет правило в начало списка (под номером 1). Оно будет проверяться в первую очередь, независимо от того, разрешено ли что-то ниже или запрещено и от того, какая POLICY.

блин... ребяты... у кого есть аська? может кто-нить проконсультировать по ipchains?

а то сижу тут разбираю правила установленные старым админом и чет хреново получается, туго въезжаю пока..

Добавлено
блин... ну не могу я въехать в запись такого плана:

ipchains -A input -i ! $EXTERNAL_INTERFACE -d $MY_ISP -j ACCEPT

Если я правильно мыслю, то эта запись означает следующее:
принимать любые пакеты с не $EXTERNAL_INTERFACE (lo, ppp, и т.д.) предназначеные для провайдера

а где смысл этой записи?

может быть в той ситуации, если локальная сеть маскарадится, пользовательская машина выходит в интернет и сперва передает пакет (output packet) на $LOCALNET_INTERFACE, этот интерфейс в свою очередь передает (output packet) на $EXTERNAL_INTERFACE, и срабатывает запись: принимать пакеты для провайдера, если он пришел не с $EXTERNAL_INTERFACE...

далее видимо должны быть правила, передавть пакет наружу или нет...
типа

ipchains -A output -i $EXTERNAL_INTERFACE -p tcp -d $ANYWHERE 80 -j accept

Я в том направлении мыслю?

И еще объясните схему соединения...

к примеру я сижу за рабочей станцией и хочу попасть на яндекс:80
у меня на компе открывается предположим 3650-ый порт и стучится к моему серверу, что хочет получить данные от 80-го порта www.yandex.ru.. что делает сервер? открывает свободный порт и стучится с таким же запросом к моему провайдеру (MY_SERVER:4073 MY_ISP: 80) ??? и так далее пока не дойдем до яндекса? хочу просто вникнуть в сетевой принцип передачи данных

Добавлено
и еще не могу понять запись такого плана:

ipchains -A output -i ! $EXTERNAL_INTERFACE -p tcp -s 0/0 8080 -j $LOCALNET_TCP_IN

искал что есть 0/0 в документации, но не нашел, наверное любой адрес

так вот не могу разобрать смысл записи

во первых что значит -j $LOCALNET_TCP_IN

$LOCALNET_TCP_IN - цепочка входящих TCP пакетов, а после -j вроде какое-то действие должно быть (ACCEPT,REJECT,DENY,FORWARD,MASQ, REDIRECT)

чувствую что-то связанно с учетом траффика между локальной сетью и сквидом.. но понять не могу.. кстати эта самая перва запись в firewall

P.S. лишь бы я никого не достал, а то такое ощущение, что разговариваю с самим собой.

Infection
Ты лучше выложи скрипт с настройками ipchains где-нибудь, а мы почитаем. Может дело веселее пойдет.

ooptimum
ну так совсем не интересно... хотелось бы самому разобраться... только вот туго идет

и все же скрипты вот здесь валяются

http://www.tourist.kz/utils/ipchains.tar.bz2

Infection

Цитата:

блин... ребяты... у кого есть аська? может кто-нить проконсультировать по ipchains?

Об этом в ПМ...;)

Цитата:

ipchains -A input -i ! $EXTERNAL_INTERFACE -d $MY_ISP -j ACCEPT

Все достаточно просто,
-A input - добавляем правило в таблицу input.
-i - указываем интерфейс.
! - знак инверсии.
$EXTERNAL_INTERFACE - переменная, которая объявленна где-то ранее, содержит имя внешнего интерфейса.
-d - куда (destination)
$MY_ISP - переменная, которая объявленна где-то ранее, содержит диапазон IP-адреса Вашего провайдера.
-j ACCEPT- применение (jump) к ACCEPT


Цитата:

и еще не могу понять запись такого плана:
ipchains -A output -i ! $EXTERNAL_INTERFACE -p tcp -s 0/0 8080 -j $LOCALNET_TCP_IN

Что ж давайте поглядим, что тут непонятного...
-A output - описываем правило для исходящих пакетов
-i ! $EXTERNAL_INTERFACE - кроме внешнего интерфейса
-p tcp - по протоколу tcp
-s 0/0 8080 - источник (source) 0/0 - любой адрес, порт 8080
-j $LOCALNET_TCP_IN - здесь используется переменная, в которой описаны входящие правила для локальной сети по протоколу tcp. Почему так? Очень просто, вот как я рассуждала LOCALNET, можно перевести как локальная сеть, TCP_IN, речь идет о TCP и IN о входящих пакетах.
...хм, только тут скорее всего ошибка, т.к. правило добавляется в таблицу output, т.е. пакеты фильтруются на выходе, а перенаправляются они на LOCALNET_TCP_IN, хотя судить я не бурусь.

Вообще, чтобы понять что и как, воспользуйтесь справкой, типа:
ipchains --help
man ipchains

После этого большинство вопросов отпадет само собой...;)

ginger,