LINUX.ORG.RU

Прошу помощи с firewall

 


0

1

Здравствуйте. Имею-

enp2s4: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.12  netmask 255.255.255.0  broadcast 0.0.0.0
        inet6 fe80::2c0:26ff:fea8:c9f0  prefixlen 64  scopeid 0x20<link>
        ether 00:c0:26:a8:c9:f0  txqueuelen 1000  (Ethernet)
        RX packets 24414  bytes 4590768 (4.3 MiB)
        RX errors 0  dropped 107  overruns 0  frame 0
        TX packets 3590  bytes 410470 (400.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
..
wlp2s5: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.249.1  netmask 255.255.255.0  broadcast 172.16.249.255
        inet6 fe80::12fe:edff:fe5e:9280  prefixlen 64  scopeid 0x20<link>
        ether 10:fe:ed:5e:92:80  txqueuelen 1000  (Ethernet)
        RX packets 326  bytes 25335 (24.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 200  bytes 21757 (21.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.6     0.0.0.0         UG    0      0        0 enp2s4
172.16.249.0    *               255.255.255.0   U     0      0        0 wlp2s5
192.168.0.0     *               255.255.255.0   U     0      0        0 enp2s4

firewall..
Chain INPUT (policy ACCEPT 2997 packets, 972K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  wlp2s5 *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      wlp2s5  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 854 packets, 86846 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain PREROUTING (policy ACCEPT 1084 packets, 106K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 780 packets, 89923 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 136 packets, 8790 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 134 packets, 8622 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   168 SNAT       all  --  *      wlp2s5  0.0.0.0/0            0.0.0.0/0            to:172.16.249.1
При выполнении «ping ya.ru»:
PING ya.ru (213.180.193.3) 56(84) bytes of data.
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=1 ttl=56 time=23.7 ms
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=2 ttl=56 time=24.0 ms
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=3 ttl=56 time=23.9 ms

--- ya.ru ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 23.703/23.907/24.078/0.236 ms
При выполнении «ping ya.ru -I wlp2s5»:
PING ya.ru (93.158.134.3) from 172.16.249.1 wlp2s5: 56(84) bytes of data.
From old-server (172.16.249.1) icmp_seq=1 Destination Host Unreachable
From old-server (172.16.249.1) icmp_seq=2 Destination Host Unreachable
From old-server (172.16.249.1) icmp_seq=3 Destination Host Unreachable

--- ya.ru ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2008ms
pipe 3
При попытке получить ответ от узла, находящегося за шлюзом 192.168.0.6, на запрос с интерфейса wlp2s5, на шлюзе получаю нижеприведенное-
tcpdump host 192.168.0.12 -i enp2s0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:56:19.589291 IP 192.168.0.12.45043 > myhost06.domain: 19611+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.589352 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
09:56:19.589779 IP 192.168.0.12.51202 > 10.10.0.30.domain: 19611+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.590420 IP 10.10.0.30.domain > 192.168.0.12.51202: 19611 NXDomain 0/1/0 (98)
09:56:19.591182 IP 192.168.0.12.44902 > myhost06.domain: 18046+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.591217 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
09:56:19.591799 IP 192.168.0.12.42936 > 10.10.0.30.domain: 18046+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.592342 IP 10.10.0.30.domain > 192.168.0.12.42936: 18046 NXDomain 0/1/0 (98)
09:56:19.593603 IP 192.168.0.12.33622 > myhost06.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.593649 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
09:56:19.594080 IP 192.168.0.12.56910 > 10.10.0.30.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.594600 IP 10.10.0.30.domain > 192.168.0.12.56910: 49352 NXDomain 0/1/0 (98)
09:56:21.588680 ARP, Request who-has myhost06 tell 192.168.0.12, length 46
09:56:21.588697 ARP, Reply myhost06 is-at 00:19:5b:ea:68:e1 (oui Unknown), length 28
09:56:22.599281 IP 192.168.0.12.45649 > myhost06.domain: 1122+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:22.599336 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
..
Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.


Либо на 192.168.0.6 делать настройки, чтобы он с пакетами от 172.16.249.1 обращаляся так же как с пакетами от 192.168.0.12 (маршрутизация, NAT если надо). Либо прописывать SNAT на 192.168.0.12 для всех уходящих через enp2s4 пакетов.

mky ★★★★★ ()
Ответ на: комментарий от mky

Выполнил и получил в ответ-

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    84 SNAT       all  --  *      wlp2s5  0.0.0.0/0            0.0.0.0/0            to:172.16.249.1
   17  1146 SNAT       all  --  *      enp2s4  0.0.0.0/0            0.0.0.0/0            to:192.168.0.12

PING ya.ru (213.180.193.3) 56(84) bytes of data.
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=1 ttl=56 time=23.8 ms
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=2 ttl=56 time=24.2 ms
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=3 ttl=56 time=24.1 ms

--- ya.ru ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 23.876/24.095/24.260/0.241 ms

PING ya.ru (213.180.204.3) from 172.16.249.1 wlp2s5: 56(84) bytes of data.
From old-server (172.16.249.1) icmp_seq=1 Destination Host Unreachable
From old-server (172.16.249.1) icmp_seq=2 Destination Host Unreachable
From old-server (172.16.249.1) icmp_seq=3 Destination Host Unreachable

--- ya.ru ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2008ms
pipe 3
Ситуация не улучшилась.

bsm ()
Ответ на: комментарий от bsm

Похоже, что сейчас при указании ping'у интерфейса он тупо пытается найти на этом интерфейса arp-адрес нужного узла. Раньше указание интерфейса фактически означало указание ip-адреса, поэтому ″ping -I wlp2s5 ya.ru″ сработал бы. Теперь это не работает и возможно только ″ping -I 172.16.249.1 ya.ru″.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.