LINUX.ORG.RU
ФорумAdmin

Не работают правила на FORWARD


0

0

Шлюз в инет. Две сетевухи. На каждой сетевухи своя подсеть.
ifconfig:
eth0 Link encap:Ethernet HWaddr 00:02:B3:B7:CF:2A
inet addr:83.222.222.210 Bcast:83.222.222.223 Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:45256 errors:0 dropped:0 overruns:0 frame:0
TX packets:43474 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3325508 (3.1 Mb) TX bytes:3437906 (3.2 Mb)
Interrupt:10 Base address:0xc000 Memory:de041000-de041038

eth1 Link encap:Ethernet HWaddr 00:02:B3:98:A1:95
inet addr:89.111.114.2 Bcast:89.111.114.127 Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:12579 errors:0 dropped:0 overruns:0 frame:0
TX packets:524 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1099040 (1.0 Mb) TX bytes:298974 (291.9 Kb)
Interrupt:11 Base address:0xc400 Memory:de040000-de040038
iptables:

:INPUT DROP [1113:119974]
:FORWARD DROP [854:41786]
:OUTPUT ACCEPT [132750:25323414]
-A INPUT -s 89.111.114.0/255.255.255.128 -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 83.222.222.210 -i lo -j ACCEPT
-A INPUT -s 89.111.114.2 -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -d 83.222.222.210 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 89.111.114.6 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 89.111.114.6 -i eth0 -p tcp -m tcp --dport 27020:27039 -j ACCEPT
-A FORWARD -d 89.111.114.6 -i eth0 -p udp -m udp --dport 27000:27015 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6112 -j ACCEPT
-A FORWARD -p udp -m udp --dport 6112 -j ACCEPT


При таких настройках компы из сети 89.111.114.0/255.255.255.128 инета не получают.

Но стоит прописать iptables -P FORWARD ACCEPT как все работает.
Но тогда все компы будут видны из инета а этого не надо.


Вопрос что я не так настроил в FORWARD ?????

anonymous

Re: Не работают правила на FORWARD

Добавлю еще.....

На клиентских компах в качестве шлюза прописываю 89.111.114.2

И с такими настройками iptables этот шлюз не пингуеться, хотя должен.

прописываю в -P INPUT ACCEPT шлюз пингуеться...

anonymous
()

Re: Не работают правила на FORWARD

пробуй -j LOG на FORWARD

x97Rang ★★★
()
Ответ на: Re: Не работают правила на FORWARD от Irek

Re: Не работают правила на FORWARD

Именно с этого документа я и начал работу, когда настраивал все....

Вроде бы я все правильно прописал, но не работает...

Что не так?

anonymous
()
Ответ на: Re: Не работают правила на FORWARD от Irek

Re: Не работают правила на FORWARD

Именно с этого документа я и начал работу, когда настраивал все....

Вроде бы я все правильно прописал, но не работает...

Что не так?

anonymous
()
Ответ на: Re: Не работают правила на FORWARD от anonymous

Re: Не работают правила на FORWARD

Так вот если читал этот документ там написано и даже нарисован порядок движения для транзитных пакетов ( я так понял у тебя именно такой случай). При транзитных пакетах цепочка input и output игнорируются. Т.е. если ты хочешь открыть доступ, то открывай его в цепочке FORWARD

Irek
()
Ответ на: Re: Не работают правила на FORWARD от Irek

Re: Не работают правила на FORWARD

???????????????????????

Вобщето это
-A FORWARD -d 89.111.114.6 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
строчка прокидывает черз фаервол доступ к веб серверу стоящему на 89.111.114.6

Ладно фиг сним с форвардом.... Проблема в другом

Не пингуется с клиентов интерфейс смотрящий в 89.111.114.0/25

Если поставить -P INPUT ACCEPT то все ок конечно....


Чего я не так написал то??????
Вроде бы все открыл на eth1

-A INPUT -s 89.111.114.0/255.255.255.128 -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 83.222.222.210 -i lo -j ACCEPT
-A INPUT -s 89.111.114.2 -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin