После обновления сисеты, перестал раздаватся инет!

Обновил мир. И после этого сервер перестал раздавать интернет!
Конфиги обновил, даже восстановил старые, но ничего это не дало...

Инет раздавал shorewall через функцию IP_FORWARDING

Подскажите плиз почему инет не раздается теперь??
Или может у кого какие мысли есть...

лог файл shorewall-init.log

Здесь был лог на 4-ре листа, прилетело НЛО и его не стало. Топикстартеру читать местное FAQ по теме wgetpaste.
slepnoga

Спасибо за внимание.

... у самого совсем недавно

... у самого совсем недавно отвалились сетевые интерфейсы (eth1,eth2), проверь ...

Ди интерфейсы в норме. Даже

Ди интерфейсы в норме. Даже VPN поднимает как не удивительно!

Ну, во-первых, shorewall -

Ну, во-первых, shorewall - это только набор скриптов, которые на основе своих конфигурационных файлов, которые вы создаёте генерирует конфигурацию для iptables.

Если вы обновляли ядро проверьте конфигурацию netfilter в старом и новом ядре.

Ну а самое простое правило "раздачи" интернет, это:

echo 1 > /proc/sys/net/ipv4/ip_forward
-------------Очистка старых правил------------------
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
-------------Задействование NAT---------------------
iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE

Где ethX - внешний интерфейс.

Или можно так:

...
iptables -t nat -A POSTROUTING -s X.X.X.X/MASK -j MASQUERADE

X.X.X.X - ip адрес сети или хоста.
MASK - маска сети / хоста, можно писать так /24, что равносильно 255.255.255.0.

Проверьте если с такими настройками работает то проблема в вашем shorewall, но скорее всего проблема в конфиге ядра, если вы его обновляли.

А зачем вам shorewall, т.к. он всё равно генерирует правила для iptables, а web интерфейса у него нет, так не проще ли сразу писать правила iptables?

После написания правил iptables выполните:

/etc/init.d/iptables save
rc-update add iptables default

Нет, я мир обновил просто! Да

Нет, я мир обновил просто!

Да все это ставилось давно, и на горячую руку. И что и куда я уже подзабыл конечно!!
Мне-бы лучше shorewall настроить и понять почему он не работает!!
Вот вопрос по shorewall, он использует iptables??

А если делать все на iptables, то опять будут непонятные мне вопросы!

Цитата: Нет, я мир обновил

Цитата:
Нет, я мир обновил просто!

Мда, если это сервер/шлюз то нужно было делать бэкап.

Цитата:
Да все это ставилось давно, и на горячую руку. И что и куда я уже подзабыл конечно!!

Тем более бэкап, да и записывать нужно то, что делаете, если сделали по руководству и н слишком вдавались в детали настройки.

Цитата:
Вот вопрос по shorewall, он использует iptables??

Да, он работает с iptables или ipchains (предыдущая версия пакетного фильтра, до iptables). shorewall - это прослойка, для которой вы пишете конфиг на более понятном вам "языке", а он уже на основе написанного конфига генерирует правила для iptables.

Цитата:
А если делать все на iptables, то опять будут непонятные мне вопросы!

Почитайте документацию по iptables, вот неплохая http://www.opennet.ru/docs/RUS/iptables/ , правда уже достаточно давняя.

Вы попробовали задействовать NAT так, как я вам указал, получилось или нет ?

Да бэкап это святое, он

Да бэкап это святое, он разумеется есть.

Делал конечно по мануалу довольно не плохому. Причем сохранил его для себя.
Пробежался по быстрому по конфигам, вроде все функции включены, но инет не раздается!
Вот заметил что iptables не стартует, попробую поправить.

Вашей рекомендацией пока не воспользовался. Если с shorewall'ом не разберусь придется переделывать!

При запуске iptables сервер из локалки становится невидим вообще!

Цитата: При запуске iptables

Цитата:
При запуске iptables сервер из локалки становится невидим вообще!

Я что здесь написал и для кого?

kostik87 написал(а):
После написания правил iptables выполните:

/etc/init.d/iptables save
rc-update add iptables default

Значит политика безопасности по умолчанию для iptables в вашей Генте 'DROP', а не 'ACCEPT', выполните вот отсюда первую часть команд, без iptables -t nat ... http://gentoo.ru/node/24916#comment-186017 это очистка всех цепочек и добавление правил разрешающих продвижение пакетов.

затем сохраните настройки iptables.

/etc/init.d/iptables save
rc-update add iptables default

Почитайте хотя бы введение в этому руководстве: http://www.opennet.ru/docs/RUS/iptables/

Можете за основу взять правили, сгенерированные shorewall, правда вам там будет трудно разобраться.

Да я iptables запускал

Да я iptables запускал потому-что вы сказали что shorewall его использует. А iptables не запускался из-за ошибки.
А так я пока хочу попробовать настроить shorewall.

Цитата: Да я iptables

Цитата:
Да я iptables запускал потому-что вы сказали что shorewall его использует.

Правила iptables добавляются и удаляются с помощью одноименной утилиты iptables, стартовый сценарий '/etc/init.d/iptables' при старте просто загружает ранее сохраненный набор правил iptables., который сохраняется командой '/etc/init.d/iptables save' здесь: /var/lib/iptables/rules-save, но перед тем как его сохранить нужно сначала добавить правила.

Вот в этом сообщении я вам указал как добавлять правила: http://gentoo.ru/node/24916#comment-186017 , в данном случае пример самой простой настройки шлюза в интернет, включается маскарадинг (NAT) со всех интерфейсов и сетей, а пакеты перенаправляются на интерфейс ethX.

Для работы shorewall не нужно запускать стартовый сценарий iptables ( '/etc/init.d/iptables start' ), который по сути выполняет вот эти простые действия.

Для '/etc/init.d/iptables start' будет выполнена загрузка сохранённых правил из файла

iptable-restore /var/lib/iptables/rules-save

Для '/etc/init.d/iptables save' будет выполнено сохранение правил в файл

iptable-save /var/lib/iptables/rules-save

Для '/etc/init.d/iptables stop' будет выполнена очистка правил в таблицах пакетного фильтра ядра и установка политик по умолчанию

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t filter -F
iptables -t filter -X

Как видно посмотреть текущие правила можно командой iptables-save.

Цитата:
А iptables не запускался из-за ошибки.

Конечно не запуститься, так как стартовый сценарий '/etc/init.d/iptables', который при вызове функции 'start' должен загрузить правила из файла просто не найдёт файл с ранее сохранёнными правилами.
Я не зря вам написал команды в своём первом сообщении.

Цитата:
А так я пока хочу попробовать настроить shorewall.

Ну хотите дальше, пока не выполните то что я вам сказал в этом посте http://gentoo.ru/node/24916#comment-186017 мы не сможем двигаться дальше и определять причину ваших проблем. Я дал эти команды, что бы понять всё ли собрано правильно, в частности ядро, и определить загружаются ли правила и работает ли пакетный фильтр.

Так же можете применить правила вашего shorewall и выполнить команду:

iptables-save > /tmp/shorewall_iptables.rules

И посмотреть содержимое файла. Если он не пуст то выложите содержимое на pastebin сервис и сюда ссылку.

Вообще если вы не будете делать то, что вам советуют и в полном объёме и, тем более, не читать то что вам советуют, хотя бы что бы разобраться минимально как работает то, что вы используете у вас ничего не получится.

Так же покажите:

# cat /proc/net/ip_tables_names

Почему вы пренебрегаете тем что вам написали и делаете какие-то свои "левые" действия, не понимая что делаете ?

Жду ответов.

Вот не заметил из начале но

Вот не заметил из начале но при старте eth0 и ppp0 вылетают такие предупреждения:

* You are using a bash array for config_eth0.
* This feature will be removed in the future.
* Please see net.example for the correct format for config_eth0.

и

* You are using a bash array for pppd_ppp0.
* This feature will be removed in the future.
* Please see net.example for the correct format for pppd_ppp0.

Может это как-то влияет??

etc-update исполнял?

etc-update исполнял?

Обязательно! Но он ругается

Обязательно!
Но он ругается на файл /etc/init.d/net
Весь конфиг перепахал, все равно выдает эти ошибки...

Это просто предупреждение от

Это просто предупреждение от openrc. Чтобы его избежать уберите скобки из conf.d/net.
например, было:

config_eth0=( "x.x.x.x/24" )
routes_eth0=( "y.y.y.y via z.z.z.z" "default via z.z.z.z" )

надо чтобы стало

config_eth0="x.x.x.x/24"
routes_eth0="
y.y.y.y via z.z.z.z 
default via z.z.z.z"

P.S. А вообще net.example рулит

В общем cat

В общем
cat /proc/net/ip_tables_names
raw
mangle
nat
filter

iptables-save > /tmp/shorewall_iptables.rules
Пустой

Почитал литературку и написал такие правила:

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport microsoft-ds -j DROP
iptables -A INPUT -i ppp0 -p udp --dport microsoft-ds -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT
iptables -A FORWARD -i eth0 -o ppp0 -j REJECT
iptables -t nat -I PREROUTING -p tcp --dport 27015 -j DNAT --to-destination 10.1.3.195
iptables -t nat -I PREROUTING -p udp --dport 27015 -j DNAT --to-destination 10.1.3.195
iptables -t nat -I PREROUTING -p tcp --dport 4898 -j DNAT --to-destination 10.1.3.195
iptables -t nat -I PREROUTING -p udp --dport 4898 -j DNAT --to-destination 10.1.3.195
iptables -A INPUT -i eth0 -p tcp --sport 80 --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 80 --dport 20 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 --dport 20 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 10 -j REJECT
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -m icmp -i ppp0 --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -m icmp -o ppp0 --icmp-type echo-request -j ACCEPT

Интернет появился, но частично. У некоторых программ он есть, а у некоторых нету.
Так-же сайты не все отображаются!

Цитата:iptables-save >

Цитата:
iptables-save > /tmp/shorewall_iptables.rules
Пустой

Ну это логично сначала нужно правила загрузить.

Цитата:
Интернет появился, но частично. У некоторых программ он есть, а у некоторых нету.
Так-же сайты не все отображаются!

Попробуйте сделать как здесь я вам указал : http://gentoo.ru/node/24916#comment-186017 всего с одним правилом на NAT (MASQUERADING) "-o " - интерфейс локальной сети.

ppp0 - vpn канал ?

Попробуйте изменить mtu в передаваемых пакетах, т.к. в Ethernel сетях он равен 1500 а в VPN меньше, попробуйте указать 1400 или меньше.

Почитайте как в iptales управлять mtu.

Сохраните для начала ваши текущие правила.

ppp0 - vpn канал Правило на

ppp0 - vpn канал
Правило на mtu уже было прописано выше.
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Правила "iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE" тоже было прописано.
Видать какое-то правило не давало правильно работать.
Сейчас оставил правило по MASQUERADE и mtu, и работает норм.
Правила прописал в файл /etc/conf.d/net Надеюсь правильно.

Заметил что нужные порты уже были открыты. Я так понимаю это все-таки shorewall принимает в этом участие?
На ваш взгляд стоит ли его убрать полностью или оставить в качестве некого костыля?

[qupt=Goga075]Правила

Goga075 написал(а):
Правила прописал в файл /etc/conf.d/net Надеюсь правильно.

Заметил что нужные порты уже были открыты. Я так понимаю это все-таки shorewall принимает в этом участие?

Ещё раз, shorewall это только редактор правил с web интерфейсом, в управлении пакетами он ни как не участвует.

Его можете вообще удалить.

Как правильно сохранить правила iptables я вам указал здесь http://gentoo.ru/node/24916#comment-186017 если вы не внимательно читали могу ещё раз указать.

kostik87 написал(а):
После написания правил iptables выполните:

/etc/init.d/iptables save
rc-update add iptables default

Они будут сохранены здесь '/var/lib/iptables/rules-save' и при старте системы сценарий '/etc/init.d/iptables' будет их применять.

>>> После обновления сисеты а

>>> После обновления сисеты

а шо такое сисета? Вы с заголовком не ошиблись?

Зачем вы мне написали этот

Зачем вы мне написали этот комментарий ?

Я тоже не знаю что такое

Я тоже не знаю что такое сисета, ответьте пожалуйста.

.

Вот что интересно:
Только меня удивляет отсутствие в теме, посвящённой отладке пнабора правил пакетного фильтра указаний на полезность журнала?

:wq
--
Live free or die

Да, только тебя. Остальные

Да, только тебя. Остальные или не удивляются,или не знаюы, или им глубоко положить на первых двух

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".