Hello!
teljesen el akadtam. nem tudom hogy miért nem akar NAT-ni. A tűzfalam így néz ki:
devices]# iptables -t nat -S
-P PREROUTING ACCEPT
-P POSTROUTING ACCEPT
-P OUTPUT ACCEPT
-A POSTROUTING -j LOG --log-prefix "iptables_POSTROUTING" --log-level 7
-A POSTROUTING -o eth0 -j MASQUERADE
devices]# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --rttl --name SSH --rsource -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -j LOG --log-prefix "iptables_FORWARD" --log-level 7
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -o lo -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
és az alábbit produkálja:
devices]# ping -I eth0 www.google.com
PING www.l.google.com (74.125.132.105) from 192.168.0.103 eth0: 56(84) bytes of data.
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_seq=1 ttl=47 time=25.3 ms
^C
--- www.l.google.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 626ms
rtt min/avg/max/mdev = 25.374/25.374/25.374/0.000 ms
devices]# ping -I eth1 www.google.com
PING www.l.google.com (74.125.132.105) from 172.16.0.1 eth1: 56(84) bytes of data.
From 172.16.0.1 icmp_seq=1 Destination Host Unreachable
From 172.16.0.1 icmp_seq=2 Destination Host Unreachable
From 172.16.0.1 icmp_seq=3 Destination Host Unreachable
^C
--- www.l.google.com ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3671ms
pipe 3
az eth0 = internet
az eth1 = LAN
van valakinek valami ötlete hol a hiba?
- 6608 megtekintés
Hozzászólások
Mivel helyi gépről pingelsz úgy látom, így a
-A FORWARD -i lo -o eth0 -j ACCEPT
részlet hiányzik első ránézésre, mivel minek nat-oljon localhost-ról.
Az intranet-es gépről sem meg?
- A hozzászóláshoz be kell jelentkezni
insertáltam, hát nem hozott eredményt. ez egy VM (először ott tesztelem, szóval még nincs intranetes gépem).
még mindig nem megy. most így néz ki:
sysconfig]# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --rttl --name SSH --rsource -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -j LOG --log-prefix "iptables_FORWARD" --log-level 7
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i lo -o -eth0 -j ACCEPT
-A FORWARD -o lo -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
echo 1 > /proc/sys/net/ipv4/ip_forward megvolt?
- A hozzászóláshoz be kell jelentkezni
igen
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Először nézzük külön külön.
Tedd át a következő 2 sort erre:
-P INPUT ACCEPT
-P FORWARD ACCEPTÍgy kiderül, hogy a nat nem valósul meg, vagy kiszűröd valamivel.
Bár ne tudom, hogy ebben az esetben is átmenne a nat ágra a ping.
- A hozzászóláshoz be kell jelentkezni
megváltoztattam. most már accept a default policy, de az eredmény ugyan az.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Én ezen a ponton törölnék mindent, betennék egyetlen natot, és megnézném hogy egyáltalán úgy megy-e.
- A hozzászóláshoz be kell jelentkezni
+érdekesség a logból
Aug 7 11:41:29 rhel62 kernel: iptables_POSTROUTINGIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=55005 DF PROTO=UDP SPT=37412 DPT=53 LEN=40
Aug 7 11:41:29 rhel62 kernel: iptables_POSTROUTINGIN= OUT=eth0 SRC=192.168.0.103 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=55019 DF PROTO=UDP SPT=49423 DPT=53 LEN=40
Aug 7 11:41:29 rhel62 kernel: iptables_POSTROUTINGIN= OUT=eth1 SRC=172.16.0.2 DST=74.125.132.103 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=20495 SEQ=1
Aug 7 11:41:32 rhel62 kernel: iptables_POSTROUTINGIN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=69 TOS=0x00 PREC=0x00 TTL=64 ID=58127 DF PROTO=UDP SPT=52641 DPT=53 LEN=49
Aug 7 11:41:32 rhel62 kernel: iptables_POSTROUTINGIN= OUT=eth0 SRC=192.168.0.103 DST=8.8.8.8 LEN=69 TOS=0x00 PREC=0x00 TTL=64 ID=58134 DF PROTO=UDP SPT=46963 DPT=53 LEN=49
!!!
a logban nincs más csak POSTROUTING. A FORWARD láncból semmit sem loggol.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Már miért kellene, ha egyszer lokálisan generált csomagok?
A "ping -I" megmondja azt is, hogy melyik interfészen menjen ki a csomag. Ezért nincs NAT és ezért nincs rá válasz. Lásd a két ping kimenet fejlécében az interfész neveket.
- A hozzászóláshoz be kell jelentkezni
és mivel az egyik interfészt NAT-ol nem kéne annak úgy viselkedni, hogy amit kap azt átrakja a másik interfészre, mivel csak arra megy ki? vagy ez már route-ás?
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Milyen virtualizációval létrehozott gép ez?
(Csak azért kérdezem, mert Virtualbox-szal már volt hasonló jellegű gondom, igaz ott több virtuális gép kommunikált volna egymással internal networkinggel.)
- A hozzászóláshoz be kell jelentkezni
A válaszok a kérdésekre. Ez egy Virtualbox-os gép. Az eth0 bridge-t káryta az eth1 pedig host-only.
Esetleg mivel host-only kárty nem is fogja a Vbox figyelembe venni, hogy VM-en belül én NAT-ám a bridge-t kártyát?
A policyk törlése után csak a nat-olás marad meg és az eredmény ugyan az.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Véleményem szerint nem a VM vagy a virtuális interfészek lesz a probléma. Az hogy így nem működik, teljesen normális.
Nincs default route a belső hálódnak, ezért hasal el a ping -I eth1.
Gondolj csak bele: ha normálisan működik majd a tűzfalad, és a belső hálózatból akarsz pingelni kifelé, akkor (mivel nem egy hálózaton vannak) a gép megkeresi az alapértelmezett átjárót, és elküldi neki továbbításra a csomagot.
Ha te rákényszeríted a pinget, hogy eth1-en küldje ki a csomagot, ő ugyanezt fogja tenni: elküldi az alapértelmezett átjárónak a csomagot továbbításra, és itt akad el. Ugyanis a sikeres routoláshoz a saját hálózatán kell, hogy legyen egy átjáró. Neki meg csak az eth0-hoz tartozó van meg, amit a belső hálózat közvetlenül nem ér el (route -n, az UG jelzésű sort kell nézni).
Megoldás: fel kell venned a belső hálózatod számára egy alapértelmezett átjárót, ami maga a gép lesz.
route add default gw BELSŐ_HÁLÓ_IP eth1
A BELSŐ_HÁLÓ_IP-t értelemszerűen cseréld le eth1 címére. Nem biztos, hogy pont így kell megadni, rég konfiguráltam már statikus route-ot linuxon. :)
Éles környezetben egyébként működne a dolog (épp az előbb néztem a tűzfalunkat, ugyanígy viselkedik, ha a belső kártyáján keresztül akarom a pinget kiküldeni).
- A hozzászóláshoz be kell jelentkezni