radmin не "просачивается" через iptables
Никак не могу понять, в чем дело. Как обычно -- есть сервер (gentoo), выполняющий роль роутера. Есть внутренняя локалка 10.0.0.x, из нее идем в инет через этот роутер.
С машины, находящейся в этой локалке (windows), я пытаюсь подключиться к внешнему серверу программы radmin (тоже windows), т.е., мой запрос должен пройти через цепочку FORWARD и достигнуть radmin-сервера. radmin работает на порту 4899. Так вот -- radmin-клиент из локалки не может соединиться с внешним сервером (пишет про сбой соединения). Порт открыт. Причем замечена такая страннность -- когда я лезу telnet-ом с роутера на radmin-сервер, порт 4899, то соединение остается активным пока я не нажму enter, если же залезть telnet-ом с машины в локалке, то соединение рвется сразу же после ввода первого символа -- такой вот странный симптом.
Вот вывод iptables-save:
# Generated by iptables-save v1.4.0 on Thu Oct 30 13:55:30 2008
*raw
:PREROUTING ACCEPT [3728840514:1307243833084]
:OUTPUT ACCEPT [3643465540:1199302686280]
COMMIT
# Completed on Thu Oct 30 13:55:30 2008
# Generated by iptables-save v1.4.0 on Thu Oct 30 13:55:30 2008
*nat
:PREROUTING ACCEPT [34125519:4150857908]
:POSTROUTING ACCEPT [20263768:1419532257]
:OUTPUT ACCEPT [20336070:1424516028]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5000 -j DNAT --to-destination 10.0.0.5:5000
-A PREROUTING -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 10.0.0.80:5000
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5000 -j DNAT --to-destination 10.0.0.5:5000
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 10.0.0.5:5001
-A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Oct 30 13:55:30 2008
# Generated by iptables-save v1.4.0 on Thu Oct 30 13:55:30 2008
*mangle
:PREROUTING ACCEPT [3728840466:1307243828840]
:INPUT ACCEPT [3625537965:1260345062332]
:FORWARD ACCEPT [90024039:44189889270]
:OUTPUT ACCEPT [3643465514:1199302682726]
:POSTROUTING ACCEPT [3739578348:1244269841713]
COMMIT
# Completed on Thu Oct 30 13:55:30 2008
# Generated by iptables-save v1.4.0 on Thu Oct 30 13:55:30 2008
*filter
:INPUT ACCEPT [4:1494]
:FORWARD ACCEPT [1770:424268]
:OUTPUT ACCEPT [48736:31028095]
:badflags - [0:0]
:dropwall - [0:0]
:firewall - [0:0]
:silent - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.0.0.0/32 -j ACCEPT
-A INPUT -i eth2 -p tcp -j ACCEPT
-A INPUT -i eth2 -p udp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3690 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j badflags
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j badflags
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j badflags
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j badflags
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j badflags
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j badflags
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 113 -j dropwall
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -j firewall
-A INPUT -s 10.0.0.0/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j dropwall
-A FORWARD -s 10.0.0.5/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.20/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.21/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.35/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.181/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.175/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.153/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.145/32 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -o eth0 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 10.0.0.21/32 -o eth0 -p tcp -m tcp --dport 4899 -j ACCEPT
-A FORWARD -s 10.0.0.21/32 -o eth0 -p udp -m udp --dport 4899 -j ACCEPT
-A FORWARD -s 10.0.0.5/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.6/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.30/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.32/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.173/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.33/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.14/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.34/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.20/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.21/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.35/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.27/32 -o eth0 -j ACCEPT
-A FORWARD -s 10.0.0.145/32 -o eth0 -j ACCEPT
-A FORWARD -o eth0 -p tcp -m tcp --dport 4899 -j ACCEPT
-A FORWARD -o eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A badflags -m limit --limit 15/min
-A badflags -j DROP
-A dropwall -m limit --limit 15/min
-A dropwall -j DROP
-A firewall -m limit --limit 15/min
-A firewall -j DROP
-A silent -j DROP
COMMIT
# Completed on Thu Oct 30 13:55:30 2008
Очень надеюсь на дельный совет! Потому как сам уже запутался и не понимаю уже, что может быть не так?
- Для комментирования войдите или зарегистрируйтесь
-
часто в логах можно посмотреть что происходит в момент обрыва соединения
________________________
"We Will Win"Да как-то ничего не
Да как-то ничего не происходит. В messages не падает ничего.
Такое впечатление, что роутер "считает", что он работает правильно, как будто какая-то настройка стоит неаерная и мешает нормальному выполнению. У меня есть только подозрения, что:
а) может не происходить нормальной маршрутизации пакетов из инета в локалку -- запрос на сервер уходит, ответ не приходит;
или
б) стоит какое-то принудительное закрытие сокета после передачи 1 символа.
В общем, странное что-то творится.
-
если файрвол отключить, то работает?
________________________
"We Will Win"Файрвол отключить где? На
Файрвол отключить где?
На клиентской винде (откуда коннектимся) он отключен.
На серверной (где radmin server) -- он включен, но не влияет на работу -- из других мест коннектилось без проблем.
На сервере-роутере кроме iptables ничего нет, настройку его я привел выше, там вроде как radmin-овский порт открыт аж несколько раз -- и всем, и конкретно коннетящемуся хосту (10.0.0.21).
Попробуй добавить iptables -t
Попробуй добавить
iptables -t nat -A PREROUTING -i $EXT_IF -p tcp --dport 4899 -j DNAT --to-destination $LOCAL_IP
параметры естественно подставь. может получится.
А по другим протоколам связь
А по другим протоколам связь установить между этими машинами удаётся?
-= Concordia victoriam gignit =-
вывод iptables -nvL FORWARD в
вывод iptables -nvL FORWARD в студию
__________________________________
Главное не забыть mount /dev/hands