LINUX.ORG.RU
ФорумAdmin

Через shorewall не открываются порты для выхода в Интернет

 , ,


0

1

Поднял сервер debian 10 2 сетевые карты одна смотрит в Интернет, а другая в локальную сеть. Через shorewall открыл порты для компьютера кот. находится в локальной сети. Сам сервер выходит в Интернет, а ПК в лок сети нет. Может чего с dns что-то странно все. Локальная сеть 192.168.1.0, а вторая с выходом в инет 192.168.50.0, маршрутизатор 192.168.50.1. На ПК выставил шлюз 192.168.1.1, dns 192.168.50.1 Подскажите куда копать. Спасибо.

Ответ на: комментарий от anc

dns 192.168.50.1 это adsl модем к нему как раз и подключен интернет кабель

root@mail:~# iptables-save

Generated by xtables-save v1.8.2 on Sat May 9 00:08:51 2020

*raw :PREROUTING ACCEPT [654463:325952675]

:OUTPUT ACCEPT [514416:315605888] COMMIT

Completed on Sat May 9 00:08:51 2020

Generated by xtables-save v1.8.2 on Sat May 9 00:08:51 2020

*nat

:PREROUTING ACCEPT [147589:12884880]

:INPUT ACCEPT [5929:464929]

:POSTROUTING ACCEPT [18189:1098449]

:OUTPUT ACCEPT [18481:1120581]

-A PREROUTING -i enp5s1 -p tcp -m tcp –dport 25 -j DNAT –to-destination 192.168.50.2:25

-A POSTROUTING -s 192.168.1.0/24 -o enp3s0 -j MASQUERADE

COMMIT

Completed on Sat May 9 00:08:51 2020

Generated by xtables-save v1.8.2 on Sat May 9 00:08:51 2020

*mangle

:PREROUTING ACCEPT [654463:325952675]

:INPUT ACCEPT [598644:322111067]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [514416:315605888]

:POSTROUTING ACCEPT [514120:315583596]

-A FORWARD -j MARK –set-xmark 0x0/0xff

COMMIT

Completed on Sat May 9 00:08:51 2020

Generated by xtables-save v1.8.2 on Sat May 9 00:08:51 2020

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

:dynamic - [0:0]

:fw-loc - [0:0]

:fw-net - [0:0]

:loc-fw - [0:0]

:loc_frwd - [0:0]

:logdrop - [0:0]

:logflags - [0:0]

:logreject - [0:0]

:net-fw - [0:0]

:net-loc - [0:0]

:net_frwd - [0:0]

:reject - [0:0]

:smurflog - [0:0]

:smurfs - [0:0]

:tcpflags - [0:0]

:sha-lh-cb0a874375bee3df5a85 - [0:0]

:sha-rh-12589e696d2da23cfb76 - [0:0]

:shorewall - [0:0]

-A INPUT -i enp5s1 -j net-fw

-A INPUT -i enp3s0 -j loc-fw

-A INPUT -i lo -j ACCEPT

-A INPUT -m addrtype –dst-type BROADCAST -j DROP

-A INPUT -m addrtype –dst-type ANYCAST -j DROP

-A INPUT -m addrtype –dst-type MULTICAST -j DROP

-A INPUT -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name

lograte -j LOG –log-prefix "INPUT REJECT " –log-level 6

-A INPUT -g reject

-A FORWARD -i enp5s1 -j net_frwd

-A FORWARD -i enp3s0 -j loc_frwd

-A FORWARD -m addrtype –dst-type BROADCAST -j DROP

-A FORWARD -m addrtype –dst-type ANYCAST -j DROP

-A FORWARD -m addrtype –dst-type MULTICAST -j DROP

-A FORWARD -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name

lograte -j LOG –log-prefix "FORWARD REJECT " –log-level 6

-A FORWARD -g reject

-A OUTPUT -o enp5s1 -j fw-net

-A OUTPUT -o enp3s0 -j fw-loc

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -m addrtype –dst-type BROADCAST -j DROP

-A OUTPUT -m addrtype –dst-type ANYCAST -j DROP

-A OUTPUT -m addrtype –dst-type MULTICAST -j DROP

-A OUTPUT -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name

lograte -j LOG –log-prefix "OUTPUT REJECT " –log-level 6

-A OUTPUT -g reject

-A fw-loc -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT

-A fw-loc -d 192.168.1.1/32 -p udp -m udp –dport 53 -j ACCEPT

-A fw-loc -p icmp -m icmp –icmp-type 8 -j ACCEPT

-A fw-loc -p icmp -j ACCEPT

-A fw-loc -m addrtype –dst-type BROADCAST -j DROP

-A fw-loc -m addrtype –dst-type ANYCAST -j DROP

-A fw-loc -m addrtype –dst-type MULTICAST -j DROP

-A fw-loc -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name

lograte -j LOG –log-prefix "fw-loc REJECT " –log-level 6

-A fw-loc -g reject

-A fw-net -p udp -m udp –dport 67:68 -j ACCEPT

-A fw-net -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT

-A fw-net -p udp -m udp –dport 53 -m comment –comment DNS -j ACCEPT

-A fw-net -p tcp -m multiport –dports 53,80,21,443,110,25 -m comment –comment «DNS and others» -j ACCEPT

-A fw-net -p icmp -m icmp –icmp-type 8 -j ACCEPT

-A fw-net -p icmp -j ACCEPT

-A fw-net -s 192.168.1.17/32 -p tcp -m multiport –dports 80,443 -j ACCEPT

-A fw-net -m addrtype –dst-type BROADCAST -j DROP

-A fw-net -m addrtype –dst-type ANYCAST -j DROP

-A fw-net -m addrtype –dst-type MULTICAST -j DROP

-A fw-net -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name

lograte -j LOG –log-prefix "fw-net REJECT " –log-level 6

-A fw-net -g reject

-A loc-fw -m conntrack –ctstate INVALID,NEW,UNTRACKED -j dynamic

-A loc-fw -m conntrack –ctstate INVALID,NEW,UNTRACKED -j smurfs

-A loc-fw -p tcp -j tcpflags

-A loc-fw -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT

-A loc-fw -p udp -m udp –dport 53 -m comment –comment DNS -j ACCEPT

-A loc-fw -p tcp -m tcp –dport 53 -m comment –comment DNS -j ACCEPT

-A loc-fw -s 192.168.1.17/32 -p tcp -m tcp –dport 22 -m comment –comment SSH -j ACCEPT

-A loc-fw -p icmp -m icmp –icmp-type 8 -m comment –comment Ping -j ACCEPT

-A loc-fw -s 192.168.50.2/32 -p tcp -m tcp –dport 25 -j ACCEPT

-A loc-fw -s 192.168.1.0/24 -p tcp -m multiport –dports 110,25,995,143,993,2525,465 -j ACCEPT

-A loc-fw -s 192.168.1.17/32 -p tcp -m multiport –dports 110,25,995,143,993,2525,465 -j ACCEPT

-A loc-fw -s 192.168.1.17/32 -p tcp -m tcp –dport 9090 -j ACCEPT

-A loc-fw -s 192.168.1.0/24 -p tcp -m tcp –dport 5322 -j ACCEPT

-A loc-fw -s 192.168.1.17/32 -p tcp -m multiport –dports 443,80 -j ACCEPT

-A loc-fw -s 192.168.1.17/32 -p udp -m udp –dport 80 -j ACCEPT

-A loc-fw -m addrtype –dst-type BROADCAST -j DROP

-A loc-fw -m addrtype –dst-type ANYCAST -j DROP

-A loc-fw -m addrtype –dst-type MULTICAST -j DROP

-A loc-fw -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name

lograte -j LOG –log-prefix "loc-fw REJECT " –log-level 6

-A loc-fw -g reject

-A loc_frwd -m conntrack –ctstate INVALID,NEW,UNTRACKED -j dynamic

-A loc_frwd -m conntrack –ctstate INVALID,NEW,UNTRACKED -j smurfs

-A loc_frwd -p tcp -j tcpflags

-A loc_frwd -o enp5s1 -j ACCEPT

-A logdrop -j DROP

gimmortal ()
Ответ на: комментарий от gimmortal

-A logflags -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name

lograte -j LOG –log-prefix "logflags DROP " –log-level 6 –log-ip-options

-A logflags -j DROP

-A logreject -j reject

-A net-fw -m conntrack –ctstate INVALID,NEW,UNTRACKED -j dynamic

-A net-fw -m conntrack –ctstate INVALID,NEW,UNTRACKED -j smurfs

-A net-fw -p udp -m udp –dport 67:68 -j ACCEPT

-A net-fw -p tcp -j tcpflags

-A net-fw -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT

-A net-fw -p icmp -m icmp –icmp-type 8 -m comment –comment Ping -j DROP

-A net-fw -p tcp -m tcp –dport 25 -j ACCEPT

-A net-fw -m addrtype –dst-type BROADCAST -j DROP

-A net-fw -m addrtype –dst-type ANYCAST -j DROP

-A net-fw -m addrtype –dst-type MULTICAST -j DROP

-A net-fw -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name lograte -j LOG –log-prefix "net-fw DROP " –log-level 6

-A net-fw -j DROP

-A net-loc -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT

-A net-loc -d 192.168.50.2/32 -p tcp -m tcp –dport 25 -m conntrack –ctorigdstport 25 -j ACCEPT

-A net-loc -m addrtype –dst-type BROADCAST -j DROP

-A net-loc -m addrtype –dst-type ANYCAST -j DROP

-A net-loc -m addrtype –dst-type MULTICAST -j DROP

-A net-loc -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name lograte -j LOG –log-prefix "net-loc DROP " –log-level 6

-A net-loc -j DROP

-A net_frwd -m conntrack –ctstate INVALID,NEW,UNTRACKED -j dynamic

-A net_frwd -m conntrack –ctstate INVALID,NEW,UNTRACKED -j smurfs

-A net_frwd -p tcp -j tcpflags

-A net_frwd -o enp3s0 -j net-loc

-A reject -m addrtype –src-type BROADCAST -j DROP

-A reject -s 224.0.0.0/4 -j DROP

-A reject -p igmp -j DROP

-A reject -p tcp -j REJECT –reject-with tcp-reset

-A reject -p udp -j REJECT –reject-with icmp-port-unreachable

-A reject -p icmp -j REJECT –reject-with icmp-host-unreachable

-A reject -j REJECT –reject-with icmp-host-prohibited

-A smurflog -m hashlimit –hashlimit-upto 1/sec –hashlimit-burst 10 –hashlimit-mode srcip –hashlimit-name lograte -j LOG –log-prefix "smurfs DROP " –log-level 6

-A smurflog -j DROP

-A smurfs -s 0.0.0.0/32 -j RETURN

-A smurfs -m addrtype –src-type BROADCAST -g smurflog

-A smurfs -s 224.0.0.0/4 -g smurflog

-A tcpflags -p tcp -m tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g logflags

-A tcpflags -p tcp -m tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g logflags

-A tcpflags -p tcp -m tcp –tcp-flags SYN,RST SYN,RST -g logflags

-A tcpflags -p tcp -m tcp –tcp-flags FIN,RST FIN,RST -g logflags

-A tcpflags -p tcp -m tcp –tcp-flags FIN,SYN FIN,SYN -g logflags

-A tcpflags -p tcp -m tcp –tcp-flags FIN,PSH,ACK FIN,PSH -g logflags

-A tcpflags -p tcp -m tcp –sport 0 –tcp-flags FIN,SYN,RST,ACK SYN -g logflags

-A shorewall -m recent –set –name %CURRENTTIME –mask 255.255.255.255 –rsource

COMMIT

Completed on Sat May 9 00:08:51 2020

gimmortal ()

вот это поворот… ты каким образом на linuxe оказался?

Anoxemian ★★★★★ ()
Ответ на: комментарий от gimmortal

1.

dns 192.168.50.1 это adsl модем к нему как раз и подключен интернет кабель

И? Он является dns сервером? Замените на 8.8.8.8

2.
Фига себе портянка. Парсить лениво. Даже у ufw хоть и кумарная но проще.

3.
Про ip_forward не забыли?
echo 1 > /proc/sys/net/ipv4/ip_forward

anc ★★★★★ ()
Ответ на: комментарий от anc

Не успел
2.1
Разово проверяем

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -I FORWARD -j ACCEPT

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.