LINUX.ORG.RU
ФорумAdmin

Проблемы с iptables


0

1

Есть 2 подсети, соеденениы через IPSEC:

192.192.2.0/24-DI-804 (192.168.2.1)-inet (x.x.x.x)<-> inet-eth0 (y.y.y.y)-fedora 17-eth1(192.168.1.119)-192.168.1.0/24

При отключении iptables - подсети друг - друга видять, всё пингуется. При запуске iptables, при пинге из подсети 192.168.2.0 пакеты проходят в подсеть 192.168.1.0 и режутся на обратном пути. Т.е. ошибка где-то в iptables. Что там нужно прописать?



Последнее исправление: rodley (всего исправлений: 1)

Ответ на: комментарий от getup

[root@gw ~]# iptables-save

# Generated by iptables-save v1.4.14 on Thu Jan 3 05:14:53 2013

*nat

:PREROUTING ACCEPT [19069:1606698]

:INPUT ACCEPT [7367:746250]

:OUTPUT ACCEPT [3111:832771]

:POSTROUTING ACCEPT [251:17260]

-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5568 - DNAT --to-destination 192.168.1.5:5568

-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 449 -j DNAT --to-destination 192.168.1.5:5568

-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 3384 -j DNAT --to-destination 192.168.1.4:3389

-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 3385 -j DNAT --to-destination 192.168.1.5:3389

-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5200 -j DNAT --to-destination 192.168.1.20:5200

-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5201 -j DNAT --to-destination 192.168.1.20:5201

-A PREROUTING -d 82.117.233.212/32 -p tcp -m tcp --dport 5202 -j DNAT --to-destination 192.168.1.20:5202

-A POSTROUTING -s 192.168.1.4/32 -p tcp -m tcp --dport 9100 -j MASQUERADE

-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE

COMMIT

# Completed on Thu Jan 3 05:14:53 2013

# Generated by iptables-save v1.4.14 on Thu Jan 3 05:14:53 2013

*mangle

:PREROUTING ACCEPT [263978:191286191]

:INPUT ACCEPT [46410:5673380]

:FORWARD ACCEPT [217567:185612446]

:OUTPUT ACCEPT [14385:2101692]

:POSTROUTING ACCEPT [224644:186440022]

COMMIT

# Completed on Thu Jan 3 05:14:53 2013

# Generated by iptables-save v1.4.14 on Thu Jan 3 05:14:53 2013

*filter

:INPUT DROP [3348:186779]

:FORWARD DROP [2208:234048]

:OUTPUT DROP [2595:794348]

:RH-Firewall-1-INPUT - [0:0]

:fail2ban-SSH - [0:0]

-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH

-A INPUT -i eth0 -j LOG --log-prefix «BANDWIDTH_IN:» --log-level 7

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth1 -j ACCEPT

-A INPUT -m state --state INVALID -j DROP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --sport 500 -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --sport 4500 -j ACCEPT

-A INPUT -i eth0 -p gre -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 449 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 3384 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 3385 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT

-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT

-A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 5200 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 5201 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 5202 -j ACCEPT

-A INPUT -i eth1 -p tcp -m tcp --dport 9100 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 9100 -j ACCEPT

-A INPUT -i eth0 -p icmp -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT

-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -i eth0 -p esp -j ACCEPT

-A INPUT -p esp -j ACCEPT

-A INPUT -p ah -j ACCEPT

-A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT

-A FORWARD -o eth0 -j LOG --log-prefix «BANDWIDTH_OUT:» --log-level 7

-A FORWARD -i eth0 -j LOG --log-prefix «BANDWIDTH_IN:» --log-level 7

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

-A FORWARD -m state --state INVALID -j DROP

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -d 192.168.1.4/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT

-A FORWARD -d 192.168.1.5/32 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT

-A FORWARD -d 192.168.1.5/32 -i eth0 -o eth1 -p tcp -m tcp --dport 449 -j ACCEPT

-A FORWARD -d 192.168.1.20/32 -i eth0 -o eth1 -p tcp -m tcp --dport 5200 -j ACCEPT

-A FORWARD -d 192.168.1.20/32 -i eth0 -o eth1 -p tcp -m tcp --dport 5201 -j ACCEPT

-A FORWARD -d 192.168.1.20/32 -i eth0 -o eth1 -p tcp -m tcp --dport 5202 -j ACCEPT

-A FORWARD -i eth0 -o eth1 -p udp -m udp --dport 53 -j ACCEPT

-A FORWARD -i eth1 -o eth0 -p udp -m udp --sport 53 -j ACCEPT

-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 80,443,465,110,25,143,995,3384,3385,3389,5190,5557,5568,5201,5202 -j ACCEPT

-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --sports 80,110,443,465,25,143,995,3384,3385,3389,5190,5557,5568,5201,5202 -j ACCEPT

-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 449,4500,500 -j ACCEPT

-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --sports 449,4500,500 -j ACCEPT

-A FORWARD -i eth0 -o eth1 -p icmp -j ACCEPT

-A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT

-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 9100 -j ACCEPT

-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 9100 -j ACCEPT

-A OUTPUT -o eth0 -j LOG --log-prefix «BANDWIDTH_OUT:» --log-level 7

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -o eth1 -j ACCEPT

-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 500 -j ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 4500 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 21 -j ACCEPT

-A OUTPUT -o eth1 -p tcp -m tcp --sport 21 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 20 -j ACCEPT

-A OUTPUT -o eth1 -p tcp -m tcp --sport 20 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT

-A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 3384 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 3385 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 3389 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 5200 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 5201 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 5202 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 449 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 449 -j ACCEPT

-A OUTPUT -o eth1 -p tcp -m tcp --sport 80 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 21 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 433 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 433 -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 9100 -j ACCEPT

-A OUTPUT -o eth0 -p icmp -j ACCEPT

-A fail2ban-SSH -j RETURN

COMMIT

# Completed on Thu Jan 3 05:14:53 2013

rodley
() автор топика
Ответ на: комментарий от getup

Проблема решилась добавлением -A OUTPUT -o eth0 -p esp -j ACCEPT

rodley
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin