Помогите найти ошибку в правилах iptables Решено
Oochee3m 9 апреля, 2012 - 16:28
Стоит Gentoo-роутер. К нему подключены несколько компьютеров, в том числе один с виндой к которой подключаются из внешнего интернета по rdesktop.
Правила iptables такие:
#! /bin/bash
#
# останавливаем iptables
/etc/init.d/iptables stop
#
# First we flush our current rules
iptables -F
iptables -t nat -F
# Setup default policies to handle unmatched traffic
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Copy and paste these examples ...
export LAN=eth0
export WAN=ppp0
# Then we lock our services so they only work from the LAN
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps ! -i ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain ! -i ${LAN} -j REJECT
# (Optional) Allow access to our ssh server from the WAN
# iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
# Allow access to our rde server from the WAN
iptables -A INPUT -p TCP --dport 3889 -i ${WAN} -j ACCEPT
# Drop TCP / UDP packets to privileged ports
iptables -A INPUT -p TCP ! -i ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP ! -i ${LAN} -d 0/0 --dport 0:1023 -j DROP
# Finally we add the rules for NAT
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
# rde forwarding to an internal host
iptables -t nat -A PREROUTING -p tcp --dport 3889 -i ${WAN} -j DNAT --to 192.168.0.103
# This is so when we boot we don't have to run the rules by hand
/etc/init.d/iptables save
# iptables start
/etc/init.d/iptables start
На первый взгляд всё работает. Но при этом браузеры на локальных компьютерах не грузят многие сайты. С самого роутера эти сайты загружаются. Не могу понять что я не так зделал. С правилами iptables накосячил или ядро неправильно собрал ?
»
- Для комментирования войдите или зарегистрируйтесь
man iptables iptables -t
man iptables
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
/
Не настроил журналирование.
При отладке правил пакетного фильтра --- первейшее дело.
Да и вообще на роутере ИМХО необходимо.
:wq
--
Live free or die
Вы имеете ввиду именно
Вы имеете ввиду именно журналирование iptables ?
evadim забанен за хамское поведение и нецензурную речь
У Вас проблема с MTU - это
У Вас проблема с MTU - это довольно таки частный случай, и не везде эта проблема возникает. Вам выше предложили принудительно изменять mtu с помощью iptables.
gebs написал(а):У Вас
Большое спасибо. Всё мигом заработало :-) Вот теперь можно не дёргаясь читать "man iptables".
evadim забанен за хамское поведение и нецензурную речь
gebs написал(а): У Вас
Смех в том, что топикстартер в первом сообщении привёл копипаст из Home router HOWTO, в конце которого, в секции устранения проблем описана и сама ситуация и её решение, которое тут же копипастом и привели. :)
Неужели действительно так ?
Неужели действительно так ? Задним умом мы все крепки. Копипастом не особо увлекаюсь. Если где-то меня цитируют подскажите, буду гордиться.
А смех в том что: грамотные люди (их 2) помогли мне очень вовремя. Огромное им человеческое СПАСИБО.
Остальным надо у них учится (а не чмокать). Я стараюсь учиться. Всем привет.
P.S. Таки iptables в спокойной обстановке вполне воспринимается, но частный случай я мог бы долго не победить.
P.S.S. Ещё раз спасибо грамотным людям которые не ленятся помогать друг-другу. Аминь
P.S.S.S Там в iptables ещё очень много интересного. Я честно признаюсь увлёкся.
Сложность в названиях. (Ну типа: "стринг"). Я думал это трусы для пидарав, ан-нет !
Програмистам поди легче... Прошу прощения.
evadim забанен за хамское поведение и нецензурную речь
Дочитать это уже несчастное
Дочитать это уже несчастное руководство.
Не грусти, товарищ! Всё хорошо, beautiful good!
соглашусь.
соглашусь.
Таки придётся :-/
Таки придётся :-/
evadim забанен за хамское поведение и нецензурную речь
evadim
Я так понимаю что тут между собой согласились 2 волшебника владеющие в совершенстве вопросом ?
Или 2 ниндзя ? Если волшебники то возьму на заметку к кому обращатся. Ну а если нинзи... то где их найдёщ ?
Пожалуйста не оставляйте мой комментарий без ответа. В совершенстве ли вы владеете вопросом или меня как обычно ожидает поток словоблудия и фекалий ?
evadim забанен за хамское поведение и нецензурную речь
Никакие не гуру и ниндзя.
Никакие не гуру и ниндзя. Есть старое доброе оффициальное Home Router HOWTO http://www.gentoo.org/doc/en/home-router-howto.xml и твой скрипт из первого поста, мягко говоря похож на Code Listing 5.2: Setting up iptables оттуда. А дальше, есть секция Troubleshooting в которой есть описание твоей проблемы - Code Listing 7.2: Circumvent MTU issues
Так вот, оно в самом конце. Исходя именно из этого контекста, мы так и ответили.
Спасибочки. Ты только
Спасибочки. Ты только представь, как бы понятно и актуально это могло БЫ звучать ? К сожалению на момент вопроса я не читал предложенное вами руководство. И это хорошо. По тому как если из него исходить, то не только роутера. Никого интернета не БУДЕТ. Исчё раз огромное Вам спасибо Бряцайте оружием и дальше
evadim забанен за хамское поведение и нецензурную речь
Oochee3m написал(а): По тому
Звучит это очень интригующее, ибо я именно по нему не раз и не два делал, и что характерно - интернет есть.
evadim написал(а): Oochee3m
А в чём интрига ? Ты мальчик или девочка ? Может у нас трусы разные, ну или к примеру провайдеры ?
evadim забанен за хамское поведение и нецензурную речь
Oochee3m написал(а): А в чём
Кто укурен? Я укурен?
Трусы, как и провайдеры, совершенно не влияют на применимость данного HOWTO
Бешено извиняюсь, имел
Бешено извиняюсь, имел неосторожность зайти на форум выпимши. :-/
evadim забанен за хамское поведение и нецензурную речь
evadim написал(а):Oochee3m
Чё-та время прошло и я всё эту бодягу перечитал. Тем кто мне в тот раз помог ещё раз спасибо. А тем кто утверждает что по русскому руководству можно сделать просто фак. Не в смысле аббревиатуры. а именно в том смысле что они ********* и дилетанты.
evadim я хотел бы попросить использовать цензурную лексику и вести полемику основываясь на фактах, а не на крепких выражениях.
evadim забанен за хамское поведение и нецензурную речь
Oochee3m написал(а): evadim
Я давал ссылку на английское руководство. Хотя именно это и не так сильно устарело.
Если бы я делал по тому
вопрос исчерпан
evadim забанен за хамское поведение и нецензурную речь
Много чего сказать можно, и
Много чего сказать можно, и сказать нужно. Но напечатать нельзя.
То-ли Энштейн то-ли Асприн сказал.
Офтоп сори сотрите
evadim забанен за хамское поведение и нецензурную речь