LINUX.ORG.RU
решено ФорумAdmin

[iptables][нуб]Домашний «сервак» не отвечает на пинги

 ,


0

1

Настроил на домашнем компе firewall и раздачу интернета по руководству на Арчвики. Всё работает, за исключением одной детали: блокируются ответы на ping с отлупом «Destination protocol unreachable».
Файл с правилами iptables.
Я с iptables имею дело впервые в жизни, так что буду рад, если меня в целом потыкают носом в косяки, но, главным образом, хотелось бы именно разрешить пинг, и было бы вообще замечательно, если только из локалки.

★★★★★

-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable

Я тоже нуб в iptables, но похоже что ты этим сделал бяку.

adriano32 ★★★
()
Ответ на: комментарий от adriano32

Если я правильно понял, эта строка определяет, что UDP пакеты, отвергнутые в таблице «INPUT», будут отвергнуты с сообщением «icmp-port-unreachable». То есть, сама эта строка, вроде, ничего не запрещает. Да и вообще ICMP-пакеты не являются UDP и под это правило не попадают.

Axon ★★★★★
() автор топика

Правила выполняются по порядку. Строка 17.

P.S. ИМХО, лишние условия только замусоривают. Если у вас ACCEPT для #RELATED,ESTABLISHED и DROP для INVALID, то не нужно указывать NEW в последующих строках.

mky ★★★★★
()
Ответ на: комментарий от Axon

Мда, сморозил. Ну раз протокол анричибл, то
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
Оно выше, чем следующее, потому срабатывает первым и всё reject'ится.

adriano32 ★★★
()
Ответ на: комментарий от Axon

Вам нужно прочитать мануал к иптейблс, а не вики. Ответ на пинг не попадает под 

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
и дропается тут: 
-A INPUT -j REJECT --reject-with icmp-proto-unreachable

Судя по конфигу мануал читать нужно прямо таки срочно.

ventilator ★★★
()
Ответ на: комментарий от Axon

-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

правила местами поменяй

uspen ★★★★★
()
Ответ на: комментарий от mky

Строка 17

Точно, спасибо! Для ясности: строка ":INPUT DROP [0:0]" означает, что действие по умолчанию для приходящих пакетов - это DROP, а всё, что ниже, должно только добавлять к этому правилу исключения?

Axon ★★★★★
() автор топика
Ответ на: комментарий от ventilator

Судя по конфигу мануал читать нужно прямо таки срочно.

Я знаю, потому и указал, что нуб. Этим займусь в ближайшее время. Раньше пару попыток его покурить предпринимал, но в отрыве от практики такая информация вообще не воспринимается.

Axon ★★★★★
() автор топика
Ответ на: комментарий от Axon

не совсем так.

Обрабатываются правила по порядку и когда цепочка заканчивается, применяется действие по умолчанию.

uspen ★★★★★
()
Ответ на: комментарий от mky

Если у вас ACCEPT для #RELATED,ESTABLISHED и DROP для INVALID, то не нужно указывать NEW в последующих строках.

А что, это вызывает какой-то оверхед?

Axon ★★★★★
() автор топика
Ответ на: комментарий от uspen

Обрабатываются правила по порядку и когда цепочка заканчивается, применяется действие по умолчанию.

Ясно, спасибо. Дальше буду курить ман.

Axon ★★★★★
() автор топика
Ответ на: комментарий от Axon

посуди сам - RELATED, ESTABLISHED и INVALID пакеты УЖЕ обработаны. Остаются только NEW пакеты(хотя ЕМНИП в критерии ctstate вроде есть еще какие-то типы состояний)

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

посуди сам - RELATED, ESTABLISHED и INVALID пакеты УЖЕ обработаны. Остаются только NEW пакеты(хотя ЕМНИП в критерии ctstate вроде есть еще какие-то типы состояний)

Это я понял. Просто, вроде как, перестраховка. Это чем-то вредит?

Axon ★★★★★
() автор топика
Ответ на: комментарий от Axon

на домашней машине(при ее объемах трафика максимум в гигабит/сек и небольшом объеме правил - до пяти сотен) - ничем

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin