LINUX.ORG.RU
ФорумAdmin

Iptables против Пинга и Трассера


0

0

Есть прокси сервер на  linux red had 9.
d iptables   полно правил  но нет ни  одного 
которое бы  хоть как  торезало  ICMP.

Однако не  пинг ни трассер не идет.

нарисовал  правила

iptables -I INPUT -p icmp -j icmp_packets
iptables -N icmp_packets
iptables -A icmp_packets -p ICMP --icmp-type 3 -j ACCEPT
iptables -A icmp_packets -p ICMP --icmp-type 8 -j ACCEPT
iptables -A icmp_packets -p ICMP --icmp-type 11 -j ACCEPT
iptables -A icmp_packets -p ICMP -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

однако  ничего не изменилось как  не   мог  ничего пропинговать так и  не могу,  где   еще что подкрутить  
  ( с отключенным iptables пинг и трассер идет легко и не принужденно)

Re: Iptables против Пинга и Трассера

Воткни в правила строчку, и посмотри в логах, какие именно типы 
пакетов отбрасываются, сразу все понятно станет.

iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "

Ты пингаешь с сервака, или с машинки за ним? Если за ним, то не INPUT,
а  FORWARD.

boatman ()
Ответ на: Re: Iptables против Пинга и Трассера от boatman

Re: Iptables против Пинга и Трассера

Пинг с самого сервера идет прекрасно, во внешний мир но не идет в локалку, а слокалки не идет ни на сервера ни во внешний мир трассер говорит что нет такого имени пинг говорит что при проверки узла не удалось обноружить...

Koran ()
Ответ на: Re: Iptables против Пинга и Трассера от anonymous

Re: Iptables против Пинга и Трассера

Выше написаны все команды которые я вбивал относительно ICMP других нет. Форварды и нат работают но вних нет ни единой строчки об ICMP все покеты кроме этих летают, прокси работает народ и поту получает и внет лазит, с самого сервера пинтуется внешняя сеть, но внутренняя нет, так же и он сам со внутренней сети не пинтуется, но и свич и сетевухи работают прекрансо темболее что сетевух, всмысли втнутренних ситей 3 (тоесть 3 сетевухи) и с одной пинг не идет... повторюсь, доступ внет шуршит прекрасно, если отключи iptables пинг и трассер идет свободно. поскажите какими командами принудительно можно разрешить ICMP (пинг и трассер)

Koran ()
Ответ на: Re: Iptables против Пинга и Трассера от Koran

Re: Iptables против Пинга и Трассера

Никто не подскажет,  или  просто тема устарела ???

может у кого нить есть ссылка,  на  настройку  iptables  именно  насчет  пакетов  ICMP  ведь скорее всего, кто то настраивал  что то вроде, меня пинговать нельзя  я могу  пинговать,  трассер  запретить,
  принимать  только  ответы на  мои icmp  остальные  отбрасывать...
или  никто не сталкивался ?

Koran ()
Ответ на: Re: Iptables против Пинга и Трассера от Koran

Re: Iptables против Пинга и Трассера

А что говорит tcpdump ?
iptables -I icmp_packets -p ICMP --icmp-type 0 -j ACCEPT

> Пинг с самого сервера идет прекрасно
При ваших правилах быть такого не может, т.к. первое правило для входящих ICMP пакетов отправит проверку в цепочку icmp_packets, а там будет делаться DROP всем ICMP, кроме типов 3, 8, 11, в то время, как "echo replay" имеет тип 0. Т.е. все входящие "echo replay" будут убиты.

> d iptables полно правил
Может и их покажете ?

> трассер говорит что нет такого имени
Проблема с DNS ?

spirit ★★★★★ ()
Ответ на: Re: Iptables против Пинга и Трассера от spirit

Re: Iptables против Пинга и Трассера

опишу более  подробно!

проксисервер (Linux RH9) с 2мя сетевыми  на первую  приходит инет скажем  200,200,200,200 посел он передается  на вторую сетевую 192,168,10,3  и подается  на  второй прокси(linux RH9 с 3мя сетвыми)  на первую подается трафик  далее iptables разбивает потоки подменяеет IP адреса  и подает на  2 подсети. 

Схемма  работает прекрасно  но  вот проблемма/ не пинг  ни трассер  не идут ни с  локальной сети ни  со второго проксис  сервера. 
С первого  который смотрит прямо в нет, все идет и трассер и  пинг. 
Подскажите  где  и что  нужно настроить чтоб  можно  было пинговать внешний мир  с  локальнйо сети 
Еще один  нюанс,  при отключении IPtables  так же пинг  не идет.    

Koran ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.