Sziasztok,
Egyszerűen az Őrületbe kerget vmi.
Van egy meglévő iptables "scirptem" és ezt akartam bőviten hogy az összes bejő forgalmat (tcp udp) egy adott gépről tegyen át egy belsőre.
iptables -t nat -A PREROUTING -i eth1 -p udp -m udp -s kintigepip -j DNAT --to bentigep
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s kintigepip -j DNAT --to bentigep
iptables -A FORWARD -p udp -m udp -s kintigepip -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -s kintigepip -j ACCEPT
Ezekután nem megy a dolog,
Tcpdump szépen mutatja hogy jön a csomag az eth1 lábon
11:15:22.250474 IP kintigep.21858 > tuzfal.12638: UDP, length 172
De nem kerül át az eth0 lábra, és a logokban sem jelentkezik.
A szábályok közé direkt az elejére tettem, hogy biztos vmi ne rontsa el.
Mi lehet ?
Hogy lehetne debugolni ?
- 1358 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Persze, alappól megy is a NAT kis be is csak ez az eset fog ki rajtam.
- A hozzászóláshoz be kell jelentkezni
Szerintem a FORWARD szabalyokba nem kel belerakni a kintigepip-t.
- A hozzászóláshoz be kell jelentkezni
Mostmár volt úgy is
- A hozzászóláshoz be kell jelentkezni
iptables -nvL (-t nat) -ban a számlálók növekednek ezekhez a szabályokhoz?
Elérhető a bentigep a szerverről?
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
Nagyonkeveset nő, mintha egyes csomagok jók lennének és natolná a többit meg nem.
- A hozzászóláshoz be kell jelentkezni
A világ tudja, hogy a kintigépnek szóló forgalmat a tűzfaladnak kell küldeni?
- A hozzászóláshoz be kell jelentkezni
Be is jön jól, a forgalom, de amikor dumpolom eth1 -et csomó forgalom van rajta, de amikor eth0 (heyli lábat) duumpolom akkor meg szinte semmi.
Na amire gondolog még hogy udp csomagok VOIP és
2.6.22-hardened-r8 párosok valahogy nem jönnek össze.
Ez egy VOIP kapcsolat befele jövő csomagjai.
- A hozzászóláshoz be kell jelentkezni
Jo helyre kerulnek a szabalyok? Nem zavar be a -A parameter?
- A hozzászóláshoz be kell jelentkezni
hat az tobb sebbol verzik. (kezdve a '-s'-sel...)
igy probald:
iptables -t nat -A PREROUTING -i eth1 -d tuzfalmasikip -j DNAT --to bentigep
iptables -A FORWARD -d bentigep -j ACCEPT
ugye a tuzfalnak van egy sajat ipje, meg a tuzfalmasikip?
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Szerintem Te nem érted egy kulső gép összes forgalma ami a tüzfalamon jelntkezik bejövő forgalomként.
Tahát biztos nem -d
- A hozzászóláshoz be kell jelentkezni
Visszatettem egy 2.6.14-hardened-r7 kernelt és avval megy, mostmár csak az a kérdés hogy kernel config vagy kernel probléma.
- A hozzászóláshoz be kell jelentkezni