LINUX.ORG.RU
ФорумAdmin

помогите разобраться с iptables


0

0

Есть роутер asus wl-600g

ядро 2.6.8.1

iptables v1.2.11

# pwd

/lib/modules/2.6.8.1/kernel/net/ipv4/netfilter

# insmod ip_tables.ko

Using ip_tables.ko

# insmod iptable_filter.ko

Using iptable_filter.ko

# insmod ip_conntrack.ko

Using ip_conntrack.ko

# insmod iptable_nat.ko

Using iptable_nat.ko

#dmesg

ip_tables: (C) 2000-2002 Netfilter core team

ip_conntrack version 2.1 (125 buckets, 0 max) - 384 bytes per conntrack

# iptables -F

# iptables -t nat -F

# iptables -t nat -A POSTROUTING -s 127.0.0.1 -j SNAT --to 1.2.3.4

# iptables -t nat -nvL

Chain PREROUTING (policy ACCEPT 6 packets, 1117 bytes)

pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 SNAT all -- * * 127.0.0.1 0.0.0.0/0 to:1.2.3.4

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

# ping 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

56 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.0 ms

...

# /var/harddisk/tcpdump -i lo

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes

00:05:30.629999 IP 127.0.0.1 > 127.0.0.1:

ICMP echo request, id 700, seq 0, length 64

00:05:30.654999 IP 127.0.0.1 > 127.0.0.1: ICMP echo reply, id 700, seq 0, length 64

# ifconfig

br0 Link encap:Ethernet HWaddr 00:0E:A6:F6:6B:86

inet addr:10.10.10.122 Bcast:10.10.10.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:1560 errors:0 dropped:0 overruns:0 frame:0

TX packets:658 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:96811 (94.5 KiB) TX bytes:61852 (60.4 KiB)

# cat ip_conntrack

tcp 6 431997 ESTABLISHED src=10.10.10.122 dst=10.10.10.32 sport=23 dport=56292 src=10.10.10.32 dst=10.10.10.122 sport=56292 dport=23 use=1

udp 17 9 src=10.10.10.28 dst=10.10.10.255 sport=138 dport=138 [UNREPLIED] src=10.10.10.255 dst=10.10.10.28 sport=138 dport=138 use=1

udp 17 16 src=10.10.10.21 dst=10.10.10.255 sport=138 dport=138 [UNREPLIED] src=10.10.10.255 dst=10.10.10.21 sport=138 dport=138 use=1

udp 17 3 src=10.10.10.12 dst=10.10.10.255 sport=631 dport=631 [UNREPLIED] src=10.10.10.255 dst=10.10.10.12 sport=631 dport=631 use=1

tcp 6 431999 ESTABLISHED src=10.10.10.32 dst=10.10.10.122 sport=37118 dport=23 src=10.10.10.122 dst=10.10.10.32 sport=23 dport=37118 [ASSURED] use=1

udp 17 11 src=10.10.10.47 dst=10.10.10.255 sport=138 dport=138 [UNREPLIED] src=10.10.10.255 dst=10.10.10.47 sport=138 dport=138 use=1

# cat ip_tables_matches

tcp

udp

icmp

# cat ip_tables_names

nat

filter

# cat ip_tables_targets

DNAT

SNAT

# pwd

/proc/sys/net/ipv4

# cat ip_forward

1

$cat /opt/bcm963xx/kernel/linux/.config | grep LOCAL

CONFIG_IP_NF_NAT_LOCAL=y

$ cat /opt/bcm963xx/kernel/linux/.config | grep NAT

CONFIG_IP_ROUTE_NAT=y

CONFIG_IP_NF_NAT=y

CONFIG_IP_NF_NAT_NEEDED=y

CONFIG_IP_NF_NAT_LOCAL=y

CONFIG_IP_NF_NAT_SNMP_BASIC=m

CONFIG_IP_NF_NAT_IRC=m

CONFIG_IP_NF_NAT_FTP=m

CONFIG_IP_NF_NAT_H323=m

CONFIG_IP_NF_NAT_TFTP=m

CONFIG_IP_NF_NAT_IPSEC=m

CONFIG_IP_NF_NAT_RTSP=m

CONFIG_IP_NF_NAT_PPTP=m

# CONFIG_BRIDGE_EBT_T_NAT is not set

# CONFIG_BRIDGE_EBT_DNAT is not set

# CONFIG_BRIDGE_EBT_SNAT is not set

*_EBT_ пробовал включать - реакции ноль.

на обычном компе работает на ура.. что не так?

Спасибо.

ps: тут показан локальный нат, нелокальный ведёт себя так же в точности.

anonymous

Re: помогите разобраться с iptables

ниасилил, тебе что надо то? для простого файрвола на двух сетевушках конфиг я тебе скину.

vilfred ☆☆ ()
Ответ на: Re: помогите разобраться с iptables от vilfred

Re: помогите разобраться с iptables

да почему-то на этом сраном асусе не работает nat\маскарад хоть убейся, вообще игнорирует его. Есть другой роутер - там всё чики-пуки. Может народ подскажет что за косяк может быть то-ли с модулями, то-ли в ядре что-то недовключил...

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.