непонятки с iptables полные (кто рулит пакетами?)

сам текстовичёк скрипта такой


cat /etc/gore
# Generated by iptables-save v1.4.6 on Thu Apr 1 21:08:06 2010
*nat
:PREROUTING ACCEPT [9:453]
:POSTROUTING ACCEPT [4:263]
:OUTPUT ACCEPT [4:263]
-A PREROUTING -i lo -j ACCEPT
-A POSTROUTING -o lo -j ACCEPT
COMMIT
# Completed on Thu Apr 1 21:08:06 2010
# Generated by iptables-save v1.4.6 on Thu Apr 1 21:08:06 2010
*mangle
:PREROUTING ACCEPT [1812861:2636595669]
:INPUT ACCEPT [1812861:2636595669]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1454553:96800741]
:POSTROUTING ACCEPT [1454756:96818153]
-A PREROUTING -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p udp -m udp --dport 53 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p udp -m udp --dport 53 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
COMMIT
# Completed on Thu Apr 1 21:08:06 2010
# Generated by iptables-save v1.4.6 on Thu Apr 1 21:08:06 2010
*filter
:INPUT ACCEPT [30:6522]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [31:4180]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Thu Apr 1 21:08:06 2010

Где качаются торренты, где прописываются правила - непонятно.

правила - текстовичёк в /etc
содержание такое

cat /etc/gore
# Generated by iptables-save v1.4.6 on Thu Apr 1 21:33:36 2010
*nat
:PREROUTING ACCEPT [398:20263]
:POSTROUTING ACCEPT [345:21772]
:OUTPUT ACCEPT [345:21772]
-A PREROUTING -i lo -j ACCEPT
-A POSTROUTING -o lo -j ACCEPT
COMMIT
# Completed on Thu Apr 1 21:33:36 2010
# Generated by iptables-save v1.4.6 on Thu Apr 1 21:33:36 2010
*mangle
:PREROUTING ACCEPT [3285:2050904]
:INPUT ACCEPT [3285:2050904]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3317:541025]
:POSTROUTING ACCEPT [3343:544444]
-A PREROUTING -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p udp -m udp --dport 53 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A PREROUTING -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A PREROUTING -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p udp -m udp --dport 53 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 67 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -o ppp+ -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
COMMIT
# Completed on Thu Apr 1 21:33:36 2010
# Generated by iptables-save v1.4.6 on Thu Apr 1 21:33:36 2010
*filter
:INPUT ACCEPT [8:503]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [14:755]
-A INPUT -p udp -m udp --dport 6800:6900 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6800:6900 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Thu Apr 1 21:33:36 2010

Обратись к своему провайдеру.

Многие провайдеры так людей разводят — внешний айпишник на халяву, а порты закрыты и открываются только за денежку.

вот уж фигня...
винда в дуалбуте - раздаёт блестяще

А какой торрент-клиент юзаешь? Внешний айпишник он правильно определяет?

от ещё забыл инфу


route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
92.50.178.11 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.97.10.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
10.0.0.0 10.97.10.1 255.0.0.0 UG 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

дык и без торрент-клиента видать, что порты закрыты

http://www.utorrent.com/testport?port=6881

http://ping.eu/port-chk/

как бы однозначны в своих суждениях: - порт закрыт

nmap -A -T4 127.0.0.0

Starting Nmap 5.00 ( http://nmap.org ) at 2010-04-01 22:07 YEKST
All 1000 scanned ports on 127.0.0.0 are filtered
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 120.40 seconds

на убунтовском форуме проскакивала фразка, что типо если фаервол не тиранил, то типа

iptables -A INPUT -p tcp --destination-port 6881:6999 -j ACCEPT

должна спасти отца русской демократии..
НО!
типа если ковырялся в фаерволе - проще переустановить ВСЮ систему и тогда это заклинание (простое, как 3 рубля) сработает...

но так удалять гланды - не наш метод

>nmap -A -T4 127.0.0.0

127.0.0.1 сканить не пробовал?

как бы однозначны в своих суждениях: - порт закрыт

А если приложение не слушает данный порт на данном адресе — он и будет закрыт.

а погуглить «ufanet linux» вообще никак?

просвяти?

может что экстраординарного происходит у провайдера, как я вместо винды из линуха выхожу в сеть...
днс-работает нормуль, - а большего от провайдера и не требуется вроде

какой torrent-клиент используешь?

попробуй так:

очистим всё это безобразие

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X


iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 6881:6999 -j ACCEPT

спасибо за совет
отчитываюсь:


клиент - ktorrent, vuze
serenity:/home/stan# iptables -F
serenity:/home/stan# iptables -X
serenity:/home/stan# iptables -t nat -F
serenity:/home/stan# iptables -t nat -X
serenity:/home/stan# iptables -t mangle -F
serenity:/home/stan# iptables -t mangle -X
serenity:/home/stan# iptables -P INPUT DROP
serenity:/home/stan# iptables -A INPUT -p tcp --dport 6881:6999 -j ACCEPT
serenity:/home/stan# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp  — anywhere anywhere tcp dpts:6881:6999

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
serenity:/home/stan# ifconfig
eth0 Link encap:Ethernet HWaddr 00:14:85:27:97:00
inet addr:10.97.10.23 Bcast:10.97.10.63 Mask:255.255.255.192
inet6 addr: fe80::214:85ff:fe27:9700/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:977 errors:0 dropped:0 overruns:0 frame:0
TX packets:1023 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:550053 (537.1 KiB) TX bytes:170141 (166.1 KiB)
Interrupt:23 Base address:0xe000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:372 errors:0 dropped:0 overruns:0 frame:0
TX packets:372 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:22082 (21.5 KiB) TX bytes:22082 (21.5 KiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:95.105.25.144 P-t-P:92.50.178.13 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1460 Metric:1
RX packets:805 errors:0 dropped:0 overruns:0 frame:0
TX packets:837 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:519722 (507.5 KiB) TX bytes:120426 (117.6 KiB)

serenity:/home/stan# nmap -A -T4 127.0.0.1

Starting Nmap 5.00 ( http://nmap.org ) at 2010-04-03 08:45 YEKST
Interesting ports on localhost (127.0.0.1):
Not shown: 997 filtered ports
PORT STATE SERVICE VERSION
6881/tcp closed bittorrent-tracker
6901/tcp closed unknown
6969/tcp closed acmsoda
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 51.58 seconds
serenity:/home/stan#

покажи вывод ss-l4 и iptables -nL -v --line-numbers -t filter

и да попробуй радикальный метод:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X


щас хоть раздаёт :)

в догонку

iptables -P INPUT ACCEPT

отчитываюсь
нифига не вышло
может тут с маршрутизацией чего не того?
поэтому, может, махинации с фаерволом не прокатывают?
прошу помощи спецов

serenity:/home/stan# iptables -F
serenity:/home/stan# iptables -X
serenity:/home/stan# iptables -t nat -F
serenity:/home/stan# iptables -t nat -X
serenity:/home/stan# iptables -t mangle -F
serenity:/home/stan# iptables -t mangle -X
serenity:/home/stan# iptables -P INPUT ACCEPT
serenity:/home/stan# iptables -P OUTPUT ACCEPT
serenity:/home/stan# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
92.50.178.11 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.97.10.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
10.0.0.0 10.97.10.1 255.0.0.0 UG 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
serenity:/home/stan# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
serenity:/home/stan# nmap -A -T4 127.0.0.1

Starting Nmap 5.00 ( http://nmap.org ) at 2010-04-09 19:31 YEKST
Interesting ports on localhost (127.0.0.1):
Not shown: 996 closed ports
PORT STATE SERVICE VERSION
111/tcp open rpcbind
| rpcinfo:
| 100000 2 111/udp rpcbind
| 100024 1 42607/udp status
| 100000 2 111/tcp rpcbind
|_ 100024 1 43761/tcp status
113/tcp open ident
3306/tcp open mysql MySQL 5.0.51a-24+lenny2
| mysql-info: Protocol: 10
| Version: 5.0.51a-24+lenny2
| Thread ID: 29
| Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection
| Status: Autocommit
|_ Salt: :tY@tGHpz8F7!=Q]`J0R
8080/tcp open http Ktorrent web interface 3.3.3
|_ html-title: KTorrent WebInterface - Login

Network Distance: 0 hops

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 29.25 seconds

Как поднимается pppoe соединение? Через pon?

Итак вывод:

ss -l4

ip -4 a s

ip r l

iptables -L

Трекер локальный?

привет anton_jugatsu!
может у меня какого пакета нет?
трекер локальный
serenity:/home/stan# ss -l4
bash: ss: команда не найдена
serenity:/home/stan# ip -4 a s
bash: ip: команда не найдена
serenity:/home/stan# ip r l
bash: ip: команда не найдена
serenity:/home/stan# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp  — anywhere anywhere multiport dports ssh

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all  — anywhere anywhere
serenity:/home/stan# traceroute torrent.ufanet.ru
traceroute to torrent.ufanet.ru (92.50.152.26), 30 hops max, 60 byte packets
1 vpn1.str.ufanet.ru (92.50.178.3) 0.367 ms 0.354 ms *
2 92.50.178.1.static.str.ufanet.ru (92.50.178.1) 0.890 ms 1.140 ms 1.290 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 *^Z
[1]+ Stopped traceroute torrent.ufanet.ru
serenity:/home/stan# ping torrent.ufanet.ru
PING zeta.ufanet.ru (92.50.152.26) 56(84) bytes of data.
64 bytes from zeta.ufanet.ru (92.50.152.26): icmp_seq=1 ttl=60 time=2.65 ms
64 bytes from zeta.ufanet.ru (92.50.152.26): icmp_seq=3 ttl=60 time=2.87 ms
64 bytes from zeta.ufanet.ru (92.50.152.26): icmp_seq=4 ttl=60 time=2.89 ms
^Z
[2]+ Stopped ping torrent.ufanet.ru

pppoe поднимаю таким скриптом
Файл: dsl Строка 1 Позиция 0 318 байт 100%
# Minimalistic default options file for DSL/PPPoE connections

pty «pppoe -I eth0 -T 80 -m 1452»
noipdefault
defaultroute
replacedefaultroute
hide-password
lcp-echo-interval 60
lcp-echo-failure 40
noauth
persist
#mtu 1492
#persist
maxfail 0
#holdoff 20
plugin rp-pppoe.so eth0
user «ххххххх»
usepeerdns

привет.

покажи вывод

netstat -tlpn

netstat -r

похоже дело в маршрутах...

до этого раздавал?

приветик!
до этого - не раздавал
только недавно решил поучаствовать - ДСшки хватало в принципе
serenity:/home/stan# netstat -tlpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1375/mysqld
tcp 0 0 0.0.0.0:39919 0.0.0.0:* LISTEN 1070/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1059/portmap
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 1537/inetd
tcp 0 0 127.0.0.1:7634 0.0.0.0:* LISTEN 1520/hddtemp
serenity:/home/stan# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
vpn1.str.ufanet * 255.255.255.255 UH 0 0 0 ppp0
10.97.10.0 * 255.255.255.192 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
10.0.0.0 10.97.10.1 255.0.0.0 UG 0 0 0 eth0
default * 0.0.0.0 U 0 0 0 ppp0
serenity:/home/stan#

полюбе с маршрутизацией что-то
в винде и без поднятия соединения раздаёт - чисто при соединении с циской подьездной

serenity:/etc/dhcpc# cat /etc/dhcpc/dhclient-eth0.conf


timeout 60;
retry 60;
reboot 10;
select-timeout 5;
initial-interval 2;




interface «eth0» {
send host-name «serenity»;
send dhcp-lease-time 3600;
#prepend domain-name-servers 92.50.178.5
request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers, domain-search, host-name,
netbios-name-servers, netbios-scope, interface-mtu;
ms-classless-static-routes;
require subnet-mask, domain-name-servers;
}

маршрутизацию вроде от провайдера получаю - ХЗ почему не работает :(