После обновления сисеты, перестал раздаватся инет!
Goga075 27 февраля, 2012 - 21:19
Обновил мир. И после этого сервер перестал раздавать интернет!
Конфиги обновил, даже восстановил старые, но ничего это не дало...
Инет раздавал shorewall через функцию IP_FORWARDING
Подскажите плиз почему инет не раздается теперь??
Или может у кого какие мысли есть...
лог файл shorewall-init.log
Здесь был лог на 4-ре листа, прилетело НЛО и его не стало. Топикстартеру читать местное FAQ по теме wgetpaste.
slepnoga
Спасибо за внимание.
»
- Для комментирования войдите или зарегистрируйтесь
... у самого совсем недавно
... у самого совсем недавно отвалились сетевые интерфейсы (eth1,eth2), проверь ...
Ди интерфейсы в норме. Даже
Ди интерфейсы в норме. Даже VPN поднимает как не удивительно!
Ну, во-первых, shorewall -
Ну, во-первых, shorewall - это только набор скриптов, которые на основе своих конфигурационных файлов, которые вы создаёте генерирует конфигурацию для iptables.
Если вы обновляли ядро проверьте конфигурацию netfilter в старом и новом ядре.
Ну а самое простое правило "раздачи" интернет, это:
Где ethX - внешний интерфейс.
Или можно так:
X.X.X.X - ip адрес сети или хоста.
MASK - маска сети / хоста, можно писать так /24, что равносильно 255.255.255.0.
Проверьте если с такими настройками работает то проблема в вашем shorewall, но скорее всего проблема в конфиге ядра, если вы его обновляли.
А зачем вам shorewall, т.к. он всё равно генерирует правила для iptables, а web интерфейса у него нет, так не проще ли сразу писать правила iptables?
После написания правил iptables выполните:
Нет, я мир обновил просто! Да
Нет, я мир обновил просто!
Да все это ставилось давно, и на горячую руку. И что и куда я уже подзабыл конечно!!
Мне-бы лучше shorewall настроить и понять почему он не работает!!
Вот вопрос по shorewall, он использует iptables??
А если делать все на iptables, то опять будут непонятные мне вопросы!
Цитата: Нет, я мир обновил
Мда, если это сервер/шлюз то нужно было делать бэкап.
Тем более бэкап, да и записывать нужно то, что делаете, если сделали по руководству и н слишком вдавались в детали настройки.
Да, он работает с iptables или ipchains (предыдущая версия пакетного фильтра, до iptables). shorewall - это прослойка, для которой вы пишете конфиг на более понятном вам "языке", а он уже на основе написанного конфига генерирует правила для iptables.
Почитайте документацию по iptables, вот неплохая http://www.opennet.ru/docs/RUS/iptables/ , правда уже достаточно давняя.
Вы попробовали задействовать NAT так, как я вам указал, получилось или нет ?
Да бэкап это святое, он
Да бэкап это святое, он разумеется есть.
Делал конечно по мануалу довольно не плохому. Причем сохранил его для себя.
Пробежался по быстрому по конфигам, вроде все функции включены, но инет не раздается!
Вот заметил что iptables не стартует, попробую поправить.
Вашей рекомендацией пока не воспользовался. Если с shorewall'ом не разберусь придется переделывать!
При запуске iptables сервер из локалки становится невидим вообще!
Цитата: При запуске iptables
Я что здесь написал и для кого?
Значит политика безопасности по умолчанию для iptables в вашей Генте 'DROP', а не 'ACCEPT', выполните вот отсюда первую часть команд, без iptables -t nat ... http://gentoo.ru/node/24916#comment-186017 это очистка всех цепочек и добавление правил разрешающих продвижение пакетов.
затем сохраните настройки iptables.
Почитайте хотя бы введение в этому руководстве: http://www.opennet.ru/docs/RUS/iptables/
Можете за основу взять правили, сгенерированные shorewall, правда вам там будет трудно разобраться.
Да я iptables запускал
Да я iptables запускал потому-что вы сказали что shorewall его использует. А iptables не запускался из-за ошибки.
А так я пока хочу попробовать настроить shorewall.
Цитата: Да я iptables
Правила iptables добавляются и удаляются с помощью одноименной утилиты iptables, стартовый сценарий '/etc/init.d/iptables' при старте просто загружает ранее сохраненный набор правил iptables., который сохраняется командой '/etc/init.d/iptables save' здесь: /var/lib/iptables/rules-save, но перед тем как его сохранить нужно сначала добавить правила.
Вот в этом сообщении я вам указал как добавлять правила: http://gentoo.ru/node/24916#comment-186017 , в данном случае пример самой простой настройки шлюза в интернет, включается маскарадинг (NAT) со всех интерфейсов и сетей, а пакеты перенаправляются на интерфейс ethX.
Для работы shorewall не нужно запускать стартовый сценарий iptables ( '/etc/init.d/iptables start' ), который по сути выполняет вот эти простые действия.
Для '/etc/init.d/iptables start' будет выполнена загрузка сохранённых правил из файла
Для '/etc/init.d/iptables save' будет выполнено сохранение правил в файл
Для '/etc/init.d/iptables stop' будет выполнена очистка правил в таблицах пакетного фильтра ядра и установка политик по умолчанию
Как видно посмотреть текущие правила можно командой iptables-save.
Конечно не запуститься, так как стартовый сценарий '/etc/init.d/iptables', который при вызове функции 'start' должен загрузить правила из файла просто не найдёт файл с ранее сохранёнными правилами.
Я не зря вам написал команды в своём первом сообщении.
Ну хотите дальше, пока не выполните то что я вам сказал в этом посте http://gentoo.ru/node/24916#comment-186017 мы не сможем двигаться дальше и определять причину ваших проблем. Я дал эти команды, что бы понять всё ли собрано правильно, в частности ядро, и определить загружаются ли правила и работает ли пакетный фильтр.
Так же можете применить правила вашего shorewall и выполнить команду:
И посмотреть содержимое файла. Если он не пуст то выложите содержимое на pastebin сервис и сюда ссылку.
Вообще если вы не будете делать то, что вам советуют и в полном объёме и, тем более, не читать то что вам советуют, хотя бы что бы разобраться минимально как работает то, что вы используете у вас ничего не получится.
Так же покажите:
Почему вы пренебрегаете тем что вам написали и делаете какие-то свои "левые" действия, не понимая что делаете ?
Жду ответов.
Вот не заметил из начале но
Вот не заметил из начале но при старте eth0 и ppp0 вылетают такие предупреждения:
* You are using a bash array for config_eth0.
* This feature will be removed in the future.
* Please see net.example for the correct format for config_eth0.
и
* You are using a bash array for pppd_ppp0.
* This feature will be removed in the future.
* Please see net.example for the correct format for pppd_ppp0.
Может это как-то влияет??
etc-update исполнял?
etc-update исполнял?
Обязательно! Но он ругается
Обязательно!
Но он ругается на файл /etc/init.d/net
Весь конфиг перепахал, все равно выдает эти ошибки...
Это просто предупреждение от
Это просто предупреждение от openrc. Чтобы его избежать уберите скобки из conf.d/net.
например, было:
надо чтобы стало
P.S. А вообще net.example рулит
В общем cat
В общем
cat /proc/net/ip_tables_names
raw
mangle
nat
filter
iptables-save > /tmp/shorewall_iptables.rules
Пустой
Почитал литературку и написал такие правила:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport microsoft-ds -j DROP
iptables -A INPUT -i ppp0 -p udp --dport microsoft-ds -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT
iptables -A FORWARD -i eth0 -o ppp0 -j REJECT
iptables -t nat -I PREROUTING -p tcp --dport 27015 -j DNAT --to-destination 10.1.3.195
iptables -t nat -I PREROUTING -p udp --dport 27015 -j DNAT --to-destination 10.1.3.195
iptables -t nat -I PREROUTING -p tcp --dport 4898 -j DNAT --to-destination 10.1.3.195
iptables -t nat -I PREROUTING -p udp --dport 4898 -j DNAT --to-destination 10.1.3.195
iptables -A INPUT -i eth0 -p tcp --sport 80 --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 80 --dport 20 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 --dport 20 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 10 -j REJECT
iptables -A INPUT -p icmp -m icmp -i eth0 --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -m icmp -o eth0 --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -m icmp -i ppp0 --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -m icmp -o ppp0 --icmp-type echo-request -j ACCEPT
Интернет появился, но частично. У некоторых программ он есть, а у некоторых нету.
Так-же сайты не все отображаются!
Цитата:iptables-save >
Ну это логично сначала нужно правила загрузить.
Попробуйте сделать как здесь я вам указал : http://gentoo.ru/node/24916#comment-186017 всего с одним правилом на NAT (MASQUERADING) "-o" - интерфейс локальной сети.
ppp0 - vpn канал ?
Попробуйте изменить mtu в передаваемых пакетах, т.к. в Ethernel сетях он равен 1500 а в VPN меньше, попробуйте указать 1400 или меньше.
Почитайте как в iptales управлять mtu.
Сохраните для начала ваши текущие правила.
ppp0 - vpn канал Правило на
ppp0 - vpn канал
Правило на mtu уже было прописано выше.
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Правила "iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE" тоже было прописано.
Видать какое-то правило не давало правильно работать.
Сейчас оставил правило по MASQUERADE и mtu, и работает норм.
Правила прописал в файл /etc/conf.d/net Надеюсь правильно.
Заметил что нужные порты уже были открыты. Я так понимаю это все-таки shorewall принимает в этом участие?
На ваш взгляд стоит ли его убрать полностью или оставить в качестве некого костыля?
[qupt=Goga075]Правила
Ещё раз, shorewall это только редактор правил с web интерфейсом, в управлении пакетами он ни как не участвует.
Его можете вообще удалить.
Как правильно сохранить правила iptables я вам указал здесь http://gentoo.ru/node/24916#comment-186017 если вы не внимательно читали могу ещё раз указать.
Они будут сохранены здесь '/var/lib/iptables/rules-save' и при старте системы сценарий '/etc/init.d/iptables' будет их применять.
>>> После обновления сисеты а
>>> После обновления сисеты
а шо такое сисета? Вы с заголовком не ошиблись?
Зачем вы мне написали этот
Зачем вы мне написали этот комментарий ?
Я тоже не знаю что такое
Я тоже не знаю что такое сисета, ответьте пожалуйста.
.
Вот что интересно:
Только меня удивляет отсутствие в теме, посвящённой отладке пнабора правил пакетного фильтра указаний на полезность журнала?
:wq
--
Live free or die
Да, только тебя. Остальные
Да, только тебя. Остальные или не удивляются,или не знаюы, или им глубоко положить на первых двух
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)