Adott a fenti szerver gép. Gyári két integrált hálókártyával (vagy akár más kártyákkal bővítve)
Egy mezei tűzfal script ami minden gépen működik gond nélkül, itt nem akar. Csak a ping megy ki a userektől, de netezni nem lehet. A script az alábbi:
#!/bin/sh
# variables
export PATH=/bin:/sbin:/usr:/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
iptables="/sbin/iptables"
# /proc
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/ip_forward
sysctl -w net.ipv4.tcp_ecn=0 > /dev/null
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_irc
modprobe iptable_nat
iptables -F INPUT
iptables -F OUTPUT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
#nat
iptables -F FORWARD
#iptables -F -t mangle
iptables -F -t nat
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
#loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#establish
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
A többi már lényegtelen.
A gépről látom a belső hálót és a netet.
Olyan, mintha a forward lehalna valahol.
Bármilyen más gépre/konfigra pakolom át ezt, működik, itt valamiért nem. Ötletek?
Köszönöm előre is.
- 1254 megtekintés
Hozzászólások
"Csak a ping megy ki a userektől"
Tehát a forwarding és a natolás működik.
"de netezni nem lehet"
Ez konkrétan mit jelent? A DNS névfeloldás működik? Vagy már az sem? Mi a klienseken beállított DNS szerver? A tűzfal szolgáltatja, vagy pedig interneten lévő? Ha a névfeloldással nincs baj, akkor a TCP kapcsolat összeáll? Mit mutatnak a szabályok számlálói? (Ezt a 3 szabályt érinti:
-A FORWARD -i eth0 -j ACCEPT;
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT;
-t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE.) Mit mutat a tcpdump?
"Bármilyen más gépre/konfigra pakolom át ezt, működik, itt valamiért nem."
Melyik kiadás, és milyen kernel fut ezen a gépen?
- A hozzászóláshoz be kell jelentkezni
több kiadással is próbáltam (kernel).
lényegében ami történik, hogy az egyik gépből (mezei pc két hálókártyával, tűzfalnak) kiveszem a winyót és átrakom, nem megy, más gépbe áttéve viszont megint megy.
fresh installal is ez történik, a dellen felhúzok egy friss installt, nem megy, átrakom máshova akkor pedig megy gond nélkül.
a névfelodlás átjön, mert tudom a google.com -t pingelni. de egyszerűen a webezés nem megy, mintha, csak az ki lenne nyírva...
a dnst ez a gép adja és nem a szolgáltatóm kintről. lehet hw specifikus szívás van?
próbáltam a nem integrált hálókártyák helyett más kártyákkal, de úgy sem ment...
- A hozzászóláshoz be kell jelentkezni
"lehet hw specifikus szívás van?"
próbáltam a nem integrált hálókártyák helyett más kártyákkal, de úgy sem ment..."
Nem nagyon tartok valószínűnek olyan hardveres problémát, amely az intergrált és többféle más hálózati kártyával is ugyanezt eredményezné.
Próbáljuk meghatározni, hogy mi nem megy. Azt mondod, a DNS jó, pl. a google.com feloldódik.
Akkor telnetelj rá a google.com 80-as portjára. Összeáll a TCP? Ha igen, akkor mit válaszol a GET / parancsra? Ha erre szépen lejön a "302 Moved", akkor próbáld meg böngészőből. Ha a TCP sem áll össze, akkor pedig a tcpdump a jóbarátunk. Nézd meg mindkét interfészen, hogy mi történik.
- A hozzászóláshoz be kell jelentkezni