Провайдер сменил IP-адреса и роутер перестал работать
SbOy 21 декабря, 2008 - 21:29
Самое интересное, что trace идёт, пинг тоже, страницы просто не открываются, браузер может висеть по 30 минут, на стадии загрузки "ожидание ответа от ${host_name}".
От отчаения пробовал переставить всё с нуля, но дело как и предполагалось было не в моих руках, а в шаманстве провайдера, который, кстати говоря Интернет раздаёт через PPPoE.
Вот мои правила iptables, которые до смены диапазонов отлично работали.
#!/bin/bash
#чищу таблицы
iptables -F
iptables -t nat -F
#используемые правила создаю
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Переменные
export LAN=eth0
export WAN=ppp0
#ретранслирую адреса
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/24 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 --out-interface ppp0 -j SNAT --to-source 79.120.84.217
#проброс портов для p2p
iptables -t nat -I PREROUTING -p tcp --dport 9769 -i ${WAN} -j DNAT --to 192.168.0.2
iptables -t nat -I PREROUTING -p udp --dport 12770 -i ${WAN} -j DNAT --to 192.168.0.2
#траффик отца
iptables -t nat -I PREROUTING -p tcp --dport 55000 -i ${WAN} -j DNAT --to 192.168.0.3
iptables -t nat -I PREROUTING -p udp --dport 55000 -i ${WAN} -j DNAT --to 192.168.0.3
#траффик ноутбука
iptables -t nat -I PREROUTING -p tcp --dport 20650 -i ${WAN} -j DNAT --to 192.168.0.4
iptables -t nat -I PREROUTING -p udp --dport 19789 -i ${WAN} -j DNAT --to 192.168.0.4
#.14зда всем TCP
iptables -A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -o ppp0 -p tcp -j DROP
#раскупориваемся
iptables -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 40000:60000 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 873 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 111 -j ACCEPT
#jabber
iptables -A INPUT -i ppp0 -p tcp --dport 5222 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 5223 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 5269 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 5585 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 5269 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 5280 -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT
#mldonkey Donkey ports
iptables -A INPUT -p TCP --dport 15052 -j ACCEPT
iptables -A INPUT -p UDP --dport 15056 -j ACCEPT
#Overnet ports
#iptables -A INPUT -p TCP --dport 8740 -j ACCEPT
#iptables -A INPUT -p UDP --dport 8740 -j ACCEPT
#Kademlia port
#iptables -A INPUT -p TCP --dport 6956 -j ACCEPT
#iptables -A INPUT -p UDP --dport 6956 -j ACCEPT
#web port
iptables -A INPUT -p TCP --dport 4080 -j ACCEPT
#Gnutella
#iptables -A INPUT -p TCP --dport 6346 -j ACCEPT
#G2
#iptables -A INPUT -p TCP --dport 6347 -j ACCEPT
#DC PORT
iptables -A INPUT -p TCP --dport 65000 -j ACCEPT
#FastTrack
#iptables -A INPUT -p TCP --dport 1214 -j ACCEPT
#torrents
iptables -A INPUT -p TCP --dport 6882 -j ACCEPT
iptables -A INPUT -p TCP --dport 6881 -j ACCEPT
##
#посылать на йух всех кто брутит ssh
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j LOG --log-prefix "SSH_brute_force"
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j DROP
PS
На самом сервере интернет работает замечательно :(
»
- Для комментирования войдите или зарегистрируйтесь
Пинг идёт на IP адреса или на
Пинг идёт на IP адреса или на имена ресурсов?
Frustra fit per plura quod potest fieri per pauciora (William of Ockham)
Проблема известная,
Проблема известная, добавьте перед ...-j MASQUERADE:
iptables -t nat -A POSTROUTING -o ${WAN} -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Зы: А вообще у вас правила интересно составлены:
>iptables -P INPUT ACCEPT
>#раскупориваемся
Первая строка означает, что вы принимаете все, что не запретили явно, так что все дальнейшие разрешения в input не имеют никакого смысла. Стоит также ознакомиться с механизмом состояний, без применения которого хорошую защиту просто невозможно сделать. Вот по чему я учился:
http://www.opennet.ru/docs/RUS/iptables/
Огромное спасибо,
Огромное спасибо, помогло.
По поводу строчки, iptables -P INPUT ACCEPT - не обращайте внимания, во время боёв перепробовал всё, что пришло в голову, изначально там было iptables -P INPUT DROP.
За ссылку так же, отдельное спасибо, интересно будет почитать.
С Уважением, Sb0y.