VPF::Не проходят пинги во внешнюю сеть

St. Andrew

Дата 29.11.2007, 14:47 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 142
Регистрация: 28.3.2005
Где: Санкт-Петербург

Репутация: 1
Всего: 8

Здравствуйте!! У меня из локальной сети не идут пинги в Интернет, и я очень бы хотел понять почему. Мы тут постепенно разворачиваем VPN, и в этом необходимо разобраться! Причем со шлюза пингуется все, а компы, подключенные по VPN, с других компов локалки также не пингуются. Надеюсь на вас, эксперты!

Конфигурация сети:
Шлюз: два сетевухи. На той, которая смотрит в Инет IP=213.182.177.90. На второй, которая смотрит в локальную сеть, IP=192.168.0.1.
На шлюзе стоит прокси Squid. ОС RH Linux.
Веб-сервер имеет IP=192.168.0.254, при обращении к шлюзу http-запросы перенаправляются ему.
Локальная сеть 192.168.0.0/24.

Насколько я понимаю, дело в настройках IPTables. Поэтому привожу эти настройки:

Код


# Generated by iptables-save v1.2.1a on Thu Nov 29 12:04:10 2007
*nat
:PREROUTING ACCEPT [8507416:884655613]
:POSTROUTING ACCEPT [119654:8262001]
:OUTPUT ACCEPT [985544:67682515]
#Это для переадресации http-запросов на 192.168.0.254
-A PREROUTING -d 213.182.177.90 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.254 
-A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.254 
-A POSTROUTING -d 192.168.0.254 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.1 
-A POSTROUTING -o eth0 -j SNAT --to-source 213.182.177.90 
COMMIT
# Completed on Thu Nov 29 12:04:10 2007
# Generated by iptables-save v1.2.1a on Thu Nov 29 12:04:10 2007
*mangle
:PREROUTING ACCEPT [60760783:35829067769]
:OUTPUT ACCEPT [52187699:35085744522]
COMMIT
# Completed on Thu Nov 29 12:04:10 2007
# Generated by iptables-save v1.2.1a on Thu Nov 29 12:04:10 2007
*filter
:INPUT DROP [5406596:358763101]
:FORWARD DROP [104340:6665815]
:OUTPUT DROP [947:108989]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets 
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT 
-A INPUT -s 192.168.0.0/255.255.255.0 -i ppp0 -j ACCEPT 
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT 
-A INPUT -s 192.168.0.1 -i lo -j ACCEPT 
-A INPUT -s 213.182.177.90 -i lo -j ACCEPT 
-A INPUT -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT 
-A INPUT -d 213.182.177.90 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -j tcp_packets 
-A INPUT -i eth0 -p udp -j udp_packets 
-A INPUT -i eth0 -p icmp -j icmp_packets 
-A INPUT -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7 
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT 

-A FORWARD -p tcp -j bad_tcp_packets 
-A FORWARD -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT 
-A FORWARD -i eth1 -p udp -m udp --dport 53 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 143 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 3623 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 1024:65535 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 465 -j ACCEPT 
-A FORWARD -i eth1 -p tcp -m tcp --dport 995 -j ACCEPT 
-A FORWARD -d 192.168.0.254 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT 
-A FORWARD -i ppp0 -p udp -m udp --dport 53 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 110 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 143 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 465 -j ACCEPT 
-A FORWARD -i ppp0 -p tcp -m tcp --dport 995 -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.0.6 -i eth1 -p tcp -j LOG --log-prefix "192.168.0.6: " --log-tcp-options 
-A FORWARD -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7 
-A FORWARD -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT 

-A OUTPUT -p tcp -j bad_tcp_packets 
-A OUTPUT -s 127.0.0.1 -j ACCEPT 
-A OUTPUT -s 192.168.0.1 -j ACCEPT 
-A OUTPUT -s 213.182.177.90 -j ACCEPT 
-A OUTPUT -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7 
-A OUTPUT -o ppp -j ACCEPT 
-A OUTPUT -o eth1:1 -j ACCEPT 

-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT 
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A allowed -p tcp -j DROP 

-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with reject-with 
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:" --log-level 7 
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A icmp_packets -s ! 192.168.0.0/255.255.255.0 -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A icmp_packets -s ! 192.168.0.0/255.255.255.0 -p icmp -m icmp --icmp-type 11 -j ACCEPT 

-A tcp_packets -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 25 -j allowed 
-A tcp_packets -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 22 -j allowed 
-A tcp_packets -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 20 -j allowed 
-A tcp_packets -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 21 -j allowed 
-A tcp_packets -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 3623 -j allowed 
-A tcp_packets -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j allowed 
-A tcp_packets -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 8080 -j allowed 
-A udp_packets -s ! 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT 
COMMIT
# Completed on Thu Nov 29 12:04:10 2007

Ну вот...а может быть дело еще и в том, что прокси на шлюзе стоит....?

В общем, с надеждой жду советов! Оперативно предоставлю любые дополнительные сведения и настройки! smile

Добавлено через 9 минут и 15 секунд
smile

Чет до меня неожиданно дошло))))))
Добавил правило
-A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT
И пинги пошли))
Все-таки иногда полезно грамотно сформулировать вопрос!

--------------------

Оглянитесь вокруг! В мире так много прекрасного!

Imple

Дата 29.11.2007, 14:59 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87

С самого шлюза пинги ходят?
Дайте вывод

Код


ifconfig -a
cat /proc/sys/net/ipv4/ip_forward

--------------------

Не шалю, никого не трогаю, починяю сервер.

St. Andrew

Дата 29.11.2007, 14:59 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 142
Регистрация: 28.3.2005
Где: Санкт-Петербург

Репутация: 1
Всего: 8

А вообще подобное правило не повредит безопасности сети? smile

--------------------

Оглянитесь вокруг! В мире так много прекрасного!

Imple

Дата 29.11.2007, 15:00 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87

Цитата(St. Andrew @ 29.11.2007, 17:59

)

А вообще подобное правило не повредит безопасности сети?

Нет. Вы все равно за NAT'ом

--------------------

Не шалю, никого не трогаю, починяю сервер.

bilbobagginz

Дата 29.11.2007, 23:40 (ссылка)

(нет голосов)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

Цитата

-A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT

это правило повредит сети, если вы и входящие пинги не блокируете и исходящие.
данное правило позволяет сообщниям по протоколу icmp в адресе исходящем проходить данный фаетвол.
без указания откуда и куда.
можно поделикатнее правило создать с помощью входного и выходного устройств.

--------------------

Я ещё не демон. Я только учусь.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| *Администрирование NIX систем** \| Следующая тема »