LINUX.ORG.RU
ФорумAdmin

iptables блокирует icmp


0

1

Добрый день! Есть 3 интерфейса: 

eth0 - белый ip 1.2.3.4
eth1 - 192.168.0.1 шлюз, предоставляет доступ через нат
eth2 - 10.0.0.100 подключен к другому локальному dhcp-серверу.
Проблема в следующем. 10.0.0.100 не может пропинговать ни один из клиентов 10.0.0.0/8. Разрешил все 
iptables -S:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Все равно не пингует, кто может подсказать почему?



Последнее исправление: unkgsom (всего исправлений: 1)

Ответ на: комментарий от DALDON 
 ping -I eth2 10.0.0.119
PING 10.0.0.119 (10.0.0.119) from 10.0.0.109 eth2: 56(84) bytes of data.
64 bytes from 10.0.0.119: icmp_req=1 ttl=128 time=0.805 ms
64 bytes from 10.0.0.119: icmp_req=2 ttl=128 time=0.898 ms
64 bytes from 10.0.0.119: icmp_req=3 ttl=128 time=1.40 ms

C:\ping 10.0.0.100

Обмен пакетами с 10.0.0.100 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
unkgsom
() автор топика

ip r get <ip из сети 10.0.0.0/8> то есть посмотреть по какому интерфейсу и с каким сурсом уходит пакет, проверить не попалает ли он под правила ната. И стоит проверить куда отправляет ответ машина из сети 10.0.0.0/8

at ★★
()
Ответ на: комментарий от at

tracert показывает, что никуда 

Трассировка маршрута к 10.0.0.100 с максимальным числом прыжков 30

  1     *        *        *     Превышен интервал ожидания для запроса.

unkgsom
() автор топика
Ответ на: комментарий от unkgsom 
C:\Documents and Settings\1>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0d 88 37 67 4c ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - ╠
шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.0.4       10.0.0.41       20
         10.0.0.0        255.0.0.0        10.0.0.41       10.0.0.41       20
        10.0.0.41  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255        10.0.0.41       10.0.0.41       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
        224.0.0.0        240.0.0.0        10.0.0.41       10.0.0.41       20
  255.255.255.255  255.255.255.255        10.0.0.41       10.0.0.41       1
Основной шлюз:            10.0.0.4
===========================================================================
Постоянные маршруты:
  Отсутствует
unkgsom
() автор топика

заголовок честно говоря не фонтан...
Если ты всё разрешил, то причём тут iptables?
Что с другими протоколами, помимо icmp?

Как надоест в героя играть, выкладывай вывод
ip a
ip r
iptables-save

zolden ★★★★★
()
Ответ на: комментарий от unkgsom

10.0.0.100 не может пропинговать ни один из клиентов 10.0.0.0/8.

Проходят ли пинги в обратном направлении? И как обстоят дела с подключениями по другим протоколам (tcp/udp)?

ddos3
()
Ответ на: комментарий от unkgsom

Я имел ввиду посмотреть куда уходит пакет с машины 10.0.0.100 (в случае ping -I eth2 10.0.0.119 интерфейс явно указан) и попадает ли он под правила ната. В листинге их просто нет.

at ★★
()
Последнее исправление: at (всего исправлений: 1)
Ответ на: комментарий от zolden

может быть мое сообщение неправильно интерпретировали, я им введу то, что сам хост 10.0.0.100 может пропинговать 10.0.0.101 10.0.0.102 и т.д, а вот 10.0.0.101 и 10.0.0.102 не могут пропинговать хост 10.0.0.100. Показываю выводы: 

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:15:5d:01:21:13 brd ff:ff:ff:ff:ff:ff
    inet 10.64.12.38/20 brd 10.64.15.255 scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:15:5d:01:21:14 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:15:5d:01:21:3a brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.109/8 brd 10.255.255.255 scope global eth2
5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 1.2.3.4 peer 1.2.3.4/32 scope global ppp0

ip r
1.2.3.4 dev ppp0  proto kernel  scope link  src 1.2.3.5
192.168.3.0/24 dev eth1  proto kernel  scope link  src 192.168.3.1
10.64.0.0/20 dev eth0  proto kernel  scope link  src 10.64.12.38
10.0.0.0/8 dev eth2  proto kernel  scope link  src 10.0.0.109
default dev ppp0  scope link

-A OUTPUT -o eth0 -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
COMMIT
# Completed on Thu Jun 19 16:26:16 2014
# Generated by iptables-save v1.4.8 on Thu Jun 19 16:26:16 2014
*nat
:PREROUTING ACCEPT [3767:260356]
:POSTROUTING ACCEPT [166:11931]
:OUTPUT ACCEPT [166:11931]
:NAT_POSTROUTING_CHAIN - [0:0]
:NAT_PREROUTING_CHAIN - [0:0]
:POST_NAT_POSTROUTING_CHAIN - [0:0]
:POST_NAT_PREROUTING_CHAIN - [0:0]
-A PREROUTING -j NAT_PREROUTING_CHAIN
-A PREROUTING -j POST_NAT_PREROUTING_CHAIN
-A POSTROUTING -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -j NAT_POSTROUTING_CHAIN
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -j POST_NAT_POSTROUTING_CHAIN
COMMIT
# Completed on Thu Jun 19 16:26:16 2014
# Generated by iptables-save v1.4.8 on Thu Jun 19 16:26:16 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:BASE_FORWARD_CHAIN - [0:0]
:BASE_INPUT_CHAIN - [0:0]
:BASE_OUTPUT_CHAIN - [0:0]
:DMZ_FORWARD_IN_CHAIN - [0:0]
:DMZ_FORWARD_OUT_CHAIN - [0:0]
:DMZ_INET_FORWARD_CHAIN - [0:0]
:DMZ_INPUT_CHAIN - [0:0]
:DMZ_LAN_FORWARD_CHAIN - [0:0]
:DMZ_OUTPUT_CHAIN - [0:0]
:EXT_FORWARD_IN_CHAIN - [0:0]
:EXT_FORWARD_OUT_CHAIN - [0:0]
:EXT_ICMP_FLOOD_CHAIN - [0:0]
:EXT_INPUT_CHAIN - [0:0]
:EXT_OUTPUT_CHAIN - [0:0]
:FORWARD_CHAIN - [0:0]
:HOST_BLOCK_DROP - [0:0]
:HOST_BLOCK_DST - [0:0]
:HOST_BLOCK_SRC - [0:0]
:INET_DMZ_FORWARD_CHAIN - [0:0]
:INPUT_CHAIN - [0:0]
:INT_FORWARD_IN_CHAIN - [0:0]
:INT_FORWARD_OUT_CHAIN - [0:0]
:INT_INPUT_CHAIN - [0:0]
:INT_OUTPUT_CHAIN - [0:0]
:LAN_INET_FORWARD_CHAIN - [0:0]
:OUTPUT_CHAIN - [0:0]
:POST_FORWARD_CHAIN - [0:0]
:POST_INPUT_CHAIN - [0:0]
:POST_INPUT_DROP_CHAIN - [0:0]
:POST_OUTPUT_CHAIN - [0:0]
:RESERVED_NET_CHK - [0:0]
:SPOOF_CHK - [0:0]
:VALID_CHK - [0:0]
-A INPUT -j BASE_INPUT_CHAIN
-A INPUT -j INPUT_CHAIN
-A INPUT -j HOST_BLOCK_SRC
-A INPUT -j SPOOF_CHK
-A INPUT -i ppp0 -j VALID_CHK
-A INPUT -i ppp0 ! -p icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i ppp0 -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i ppp0 -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i eth0 -j VALID_CHK
-A INPUT -i eth0 ! -p icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i eth1 -j INT_INPUT_CHAIN
-A INPUT -j POST_INPUT_CHAIN
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "AIF:Dropped INPUT packet: " --log-level 6
-A INPUT -j DROP
-A FORWARD -j BASE_FORWARD_CHAIN
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j FORWARD_CHAIN
-A FORWARD -j HOST_BLOCK_SRC
-A FORWARD -j HOST_BLOCK_DST
-A FORWARD -i ppp0 -j EXT_FORWARD_IN_CHAIN
-A FORWARD -o ppp0 -j EXT_FORWARD_OUT_CHAIN
-A FORWARD -i eth0 -j EXT_FORWARD_IN_CHAIN
-A FORWARD -o eth0 -j EXT_FORWARD_OUT_CHAIN
-A FORWARD -i eth1 -j INT_FORWARD_IN_CHAIN
-A FORWARD -o eth1 -j INT_FORWARD_OUT_CHAIN
-A FORWARD -j SPOOF_CHK
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -j LAN_INET_FORWARD_CHAIN
-A FORWARD -i eth1 -o eth0 -j LAN_INET_FORWARD_CHAIN
-A FORWARD -j POST_FORWARD_CHAIN
-A FORWARD -m limit --limit 1/min --limit-burst 3 -j LOG --log-prefix "AIF:Dropped FORWARD packet: " --log-level 6
-A FORWARD -j DROP
-A OUTPUT -j BASE_OUTPUT_CHAIN
-A OUTPUT -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -j OUTPUT_CHAIN
-A OUTPUT -j HOST_BLOCK_DST
-A OUTPUT -f -m limit --limit 3/min -j LOG --log-prefix "AIF:Fragment packet: " --log-level 6
-A OUTPUT -f -j DROP
-A OUTPUT -o ppp0 -j EXT_OUTPUT_CHAIN
-A OUTPUT -o eth0 -j EXT_OUTPUT_CHAIN
-A OUTPUT -o eth1 -j INT_OUTPUT_CHAIN
-A OUTPUT -j POST_OUTPUT_CHAIN
-A OUTPUT -j ACCEPT
-A BASE_FORWARD_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_FORWARD_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_FORWARD_CHAIN -i lo -j ACCEPT
-A BASE_INPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_INPUT_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_INPUT_CHAIN -i lo -j ACCEPT
-A BASE_OUTPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_OUTPUT_CHAIN -o lo -j ACCEPT
-A EXT_FORWARD_IN_CHAIN -j VALID_CHK
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-
ACCEPT Я делал после этого, думал, мб фаервол где блочит

unkgsom
() автор топика
Ответ на: комментарий от zolden 
unreachable floo                                                        d: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-time-exceeded f                                                        ld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-param-problem f                                                        ld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request(ping) fl                                                        d: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-reply(pong) floo                                                        d: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-source-quench fl                                                        d: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP(other) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-le                                                        vel 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-le                                                        vel 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:TCP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:UDP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level                                                         6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-unreachable: " --log-                                                        level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-time-exceeded: " --l                                                        og-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-param.-problem: " --                                                        log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 3 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 11 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 12 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth                                                         scan? (UNPRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth sca                                                        n? (PRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV connect attempt: " --log                                                        -level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV connect attempt: " --log                                                        -level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV connect attempt: "
unkgsom
() автор топика
Ответ на: комментарий от zolden 
--log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV connect attempt: "                                                         --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_CHAIN
-A EXT_INPUT_CHAIN -p tcp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -m limit --limit 1/min -j LOG --log-prefix "AIF:Connect attempt: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_DROP_CHAIN
-A HOST_BLOCK_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Blocked host(s): " --log-level 6
-A HOST_BLOCK_DROP -j DROP
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level                                                         6
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A INT_INPUT_CHAIN -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log                                                        -level 6
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A LAN_INET_FORWARD_CHAIN -p tcp -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p udp -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -j ACCEPT
-A POST_INPUT_DROP_CHAIN -j DROP
-A RESERVED_NET_CHK -s 10.0.0.0/8 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class A address: " --log-level 6
-A RESERVED_NET_CHK -s 172.16.0.0/12 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class B address: " --log-level 6
-A RESERVED_NET_CHK -s 192.168.0.0/16 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class C address: " --log-level 6
-A RESERVED_NET_CHK -s 169.254.0.0/16 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Class M$ address: " --log-level 6
-A RESERVED_NET_CHK -s 224.0.0.0/24 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Multicast address: " --log-level 6
-A RESERVED_NET_CHK -s 239.0.0.0/24 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Multicast address: " --log-level 6
-A RESERVED_NET_CHK -s 10.0.0.0/8 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 172.16.0.0/12 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 192.168.0.0/16 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 169.254.0.0/16 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 224.0.0.0/24 -j POST_INPUT_DROP_CHAIN
-A RESERVED_NET_CHK -s 239.0.0.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -s 192.168.0.0/24 -i eth1 -j RETURN
-A SPOOF_CHK -s 192.168.0.0/24 -m limit --limit 3/min -j LOG --log-prefix "AIF:Spoofed packet: " --log-level 6
-A SPOOF_CHK -s 192.168.0.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -j RETURN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS scan:                                                         " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XM                                                        AS-PSH scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealt                                                        h XMAS-ALL scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth FIN scan: " --log-                                                        level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/RST scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/FIN scan?: " --log-level 6                                                        
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth Null scan: " --lo                                                        g-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(64): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(128): " --log-level                                                         6
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -m state --state INVALID -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -f -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Fragment packet: "
-A VALID_CHK -f -j DROP
COMMIT
# Completed on Thu Jun 19 16:26:16 2014
unkgsom
() автор топика
Ответ на: комментарий от at 
ip r get 10.0.0.41
10.0.0.41 dev eth2  src 10.0.0.109
    cache  mtu 1500 advmss 1460 hoplimit 64
unkgsom
() автор топика
Ответ на: комментарий от unkgsom

Похоже, что проблема в правилах iptables, к сожалению, они скопировались не полностью. Для начала предлагаю выполнить 

iptables -I INPUT -i eth2 -j ACCEPT
, то есть явно разрешить все входящие пакеты с интерфейса eth2.

-P INPUT ACCEPT это действие по умолчанию, оно работает только если нет явного правила

P.S. Длинные листинги удобней копировать на http://pastebin.com/ или подобный сервис.

at ★★
()
Последнее исправление: at (всего исправлений: 2)
Ответ на: комментарий от at

скидываю список правил, чтобы вам было удобней 

#!/bin/sh
INET="ppp0"
#разрешаем исходящие соединения
iptables -P OUTPUT ACCEPT
#запрещаем входящие соединения
iptables -P INPUT DROP
##Разрешаем проходить пакетам по уже установленным соединениям
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#разрешаем трафик на петле
iptables -A INPUT -i lo -j ACCEPT
#разрешаем входящее соединение локальной сети
iptables -A INPUT -i eth2 -s 10.0.0.0/8 -j ACCEPT
#разрешаем входящее соединение локальной сети
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT
#разрешаем icmp трафик
iptables -A INPUT -i eth2 -s 10.0.0.0/8 -p icmp -j ACCEPT
#разрешаем icmp трафик
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
#разрешаем соединение по следующим протоколам
iptables -A INPUT -p tcp -m multiport --dports 21,80,2202 -j ACCEPT
#разрешаем подмену адреса(масскарадинг)на указанном интерфейсе
iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE
#разрешаем локальной сети ходить в интернет
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1
#На всякий случай очистим цепочку FORWARD
iptables -F FORWARD
#Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#Разрешаем исходящие соединения из локальной сети в интернет
iptables -A FORWARD -m state --state NEW -i eth1 -s 192.168.0.0/24 -j ACCEPT

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

В приведенном скрипте отсутствует создание цепочек BASE_FORWARD_CHAIN, BASE_INPUT_CHAIN, BASE_OUTPUT_CHAIN. И т.д. То есть правила для iptables создает не только этот скрипт. Насколько понимаю это arno-iptables-firewall. Необходимо использовать что то одно.

P.S. если это arno, то у него в конфиге есть параметр LAN_OPEN_ICMP=1 который разрешает/запрещает пинги из локальной сети.

at ★★
()
Последнее исправление: at (всего исправлений: 1)
Ответ на: комментарий от at

т.е нужно изменить его значение или что? в /etc/arno-iptables-firewall/firewall.conf действительно содержится данный параметр

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

Если использовать arno то LAN_OPEN_ICMP или DMZ_OPEN_ICMP. Они разрешают пинговать хост из локальной сети или dmz. Чем является eth2 можно определить по переменным EXT_IF, INT_IF, DMZ_IF в /etc/arno-iptables-firewall/firewall.conf

at ★★
()
Ответ на: комментарий от at

в последующем, мне нужно не только дать возможность его пинговать, но и дать доступ по определенным портам, т.е вам нужна конфигурация /etc/arno-iptables-firewall/firewall.conf ?

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

«использовать что-то одно» — это значит либо arno (или подобную утилиту) либо собственные скрипты конфигурации. При совместном использовании в зависимости от очередности их выполнения можно получить довольно странные результаты.

at ★★
()
Ответ на: комментарий от at

т.е отключить arno и использовать файл конфигурации, который представлен выше? или так работать ничего не будет, просто я никогда не трогал arno, написал скрипт в котором идут определенные цепочки правил и думал, что этого достаточно. Что сейчас необходимо сделать?

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

В скрипте я не вижу правил для прохождения пакетов между 192.168.0.1 и 10.0.0.100 и не могу понять зачем dnat-ить пакет на свой же адрес 192.168.0.1, но, насколько понимаю, работать должно. То есть не могу понять что надо сделать.

Можно попробовать временно отключить arno и проверить как работает скрипт

at ★★
()
Последнее исправление: at (всего исправлений: 2)
Ответ на: комментарий от at

можете описать правило прохождения между 192.168.0.1 и 10.0.0.100? хосты и без прохождения через эти сетевые интерфейсы должны пинговать ip на eth2, разве это не так? поправьте, если не так...

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

Кроме этого хосты в сети 10.0.0.0/8 должны знать где находится сеть 192.168.0.1/24 (судя по route print с 10.0.0.41 это не так). То же самое для сети 192.168.0.1/24, если эта машина не является гейтом по умолчанию для этой сети.

Это решается либо настройкой гейта (10.0.0.4), либо прописыванием доп. роутов на машины в сети 10.0.0.0/8, либо dnat-ом.

Возможно необходимы правила фильтрации (то есть открыть/закрыть порт и т.д.)

at ★★
()
Последнее исправление: at (всего исправлений: 1)
Ответ на: комментарий от at

просто в чем проблема, прописать роут я не смогу, точнее смогу, но толку от него не будет, ведь чтобы ходить в сеть 192 через 10.0.0.100, нужно чтобы он пинговался,был доступным для той подсетки, иначе вообще никак...

unkgsom
() автор топика
Ответ на: комментарий от unkgsom

Я не совсем понял что требуется. Дать возможность пинговать eth2 или сделать что то ещё? Как открыть пинг в случае arno я уже писал, в случае скрипта iptables блокирует icmp (комментарий) пинги уже открыты. Роуты это один из вариантов решения проблемы. Возможно, что в данном случае они не нужны.

ya.eugene-park@yandex.com

at ★★
()
Последнее исправление: at (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin