LINUX.ORG.RU
ФорумGeneral

iptables, правило для транзита icmp


0

2

Есть роутер. С него пингую всё и вся. Сам роутер пингуется как из локалки, так и снаружи. А вот из локалки не могу пинговать внешние сегменты сети. Роутер не пропускает транзитные icmp пакеты. Подскажите правило iptables? А то уже кучу перебрал, результат ноль.

Ответ на: комментарий от Humaxoid

Не прокатило

OK, тогда показывай ip -o a sh, sysctl net.ipv4.ip_forward и iptables -L -v -n --line-numbers на роутере, и ip r sh на каком-либо из хостов локалки.

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

«Это прокся, реальный ip ессественно заменен на xxx.xxx.xxx.xxx 

root@proxy:/etc/rc.d# ip -o a sh
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN \    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
1: lo    inet 127.0.0.1/8 scope host lo
1: lo    inet6 ::1/128 scope host \       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000\    link/ether 08:60:6e:44:89:62 brd ff:ff:ff:ff:ff:ff
2: eth0    inet xxx.xxx.xxx.xxx/24 brd XXX.XXX.XXX.255 scope global eth0
2: eth0    inet6 fe80::a60:6eff:fe44:8962/64 scope link \       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000\    link/ether 08:60:6e:44:89:63 brd ff:ff:ff:ff:ff:ff
3: eth1    inet 192.168.1.102/24 brd 192.168.1.255 scope global eth1
3: eth1    inet6 fe80::a60:6eff:fe44:8963/64 scope link \       valid_lft forever preferred_lft forever


root@proxy:/etc/rc.d# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1


root@proxy:/etc/rc.d# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      415 39280 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 In_RULE_0  all  --  eth0   *       xxx.xxx.xxx.xxx       0.0.0.0/0
3        0     0 In_RULE_0  all  --  eth0   *       192.168.1.102       0.0.0.0/0
4      428 35470 In_RULE_0  all  --  eth0   *       XXX.XXX.XXX.0/24      0.0.0.0/0
5        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0            state NEW
6        2   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp multiport dports 22,80,3128 state NEW
7        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3 state NEW
8        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0 code 0 state NEW
9        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11 code 0 state NEW
10       0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11 code 1 state NEW
11       1    84 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8 code 0 state NEW
12      28  2459 RULE_4     all  --  *      *       0.0.0.0/0            0.0.0.0/0
13       0     0 ACCEPT     all  --  *      *       XXX.XXX.XXX.0/24      0.0.0.0/0            state NEW

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      161 12004 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            192.168.1.2         tcp dpt:22
2       28  2051 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            192.168.1.2         tcp multiport dports 25,80,110,443,4040
3      198 28767 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4        1    48 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0
5        0     0 In_RULE_0  all  --  eth0   *       xxx.xxx.xxx.xxx       0.0.0.0/0
6        0     0 In_RULE_0  all  --  eth0   *       192.168.1.102       0.0.0.0/0
7        0     0 In_RULE_0  all  --  eth0   *       XXX.XXX.XXX.0/24      0.0.0.0/0
8        0     0 ACCEPT     all  --  *      *       XXX.XXX.XXX.0/24      0.0.0.0/0            state NEW

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      361 95124 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0            state NEW
3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            192.168.1.102       icmptype 8 code 0 state NEW
4        0     0 RULE_4     all  --  *      *       0.0.0.0/0            xxx.xxx.xxx.xxx
5        0     0 RULE_4     all  --  *      *       0.0.0.0/0            192.168.1.102
6       15  1011 ACCEPT     all  --  *      *       XXX.XXX.XXX.0/24      0.0.0.0/0            state NEW

Chain In_RULE_0 (6 references)
num   pkts bytes target     prot opt in     out     source               destination
1      428 35470 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "RULE 0 -- DENY "
2      428 35470 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain RULE_4 (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1       28  2459 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "RULE 4 -- DENY "
2       28  2459 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0




root@proxy:/etc/rc.d# ip r sh
default via XXX.XXX.XXX.1 dev eth0  metric 1
XXX.XXX.XXX.0/24 dev eth0  proto kernel  scope link  src xxx.xxx.xxx.xxx
127.0.0.0/8 dev lo  scope link
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.102

А это на лоакльном компе (iptables отключил чтобы не мешал) 

root@mail:/# ip r sh
127.0.0.0/8 dev lo  scope link
192.168.1.0/24 dev bond0  proto kernel  scope link  src 192.168.1.2

Humaxoid
() автор топика
Ответ на: комментарий от Humaxoid

Forward не поможет, тут нужен NAT 

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -p icmp -j MASQUERADE
И на локальном компе сделай 192.168.1.102 шлюзом по умолчанию.

menzoberronzan
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General