[Sysadmins] HA: Re: проблема с iptables

Vladislav Y Gusev VGusev на smpbank.ru
Пт Июл 5 15:01:52 MSK 2013 

sysadmins-bounces на lists.altlinux.org написано 05.07.2013 13:48:45:

> От: Viacheslav Dubrovskyi <dubrsl на gmail.com>
> Кому: sysadmins на lists.altlinux.org, 
> Дата: 05.07.2013 13:49
> Тема: Re: [Sysadmins] проблема с iptables
> Отправитель: sysadmins-bounces на lists.altlinux.org
> 
> 05.07.2013 10:03, Vladislav Y Gusev wrote:
> День добрый! 
> 
> Не подскажете по iptables? 
> Не удаётся наладить нормальную работу одной железяки за натом. 
> Железяке нужен неограниченных доступ к определённому хосту в сети 
> Интернет, с которым устройство поднимает защищённого ipsec-соединение. 
> Обычно в подобных случаях я добавлял правило в таблицу filter/
> FORWARD вида "-i eth1 -o eth0 -s <внутр.адрес железяки> -d <хост в 
> сети Интернет> -j ACCEPT" 
> И это всегда работало. Всё работало поначалу и с этим устройством, а
> потом вдруг начались проблемы: разрывы сессии, невозможность 
> соединиться с хостом... 
> При включении устройства напрямую мимо ната в шлюз провайдера с 
> выделением отдельного "белого" ip-адреса устройство работает идеально. 
> При работе за аппаратным натом (примитивный роутер tp-link) - тоже 
> никаких проблем. 
> А вот через linux-шлюз работать не получается. 
> Если добавить аналогичное правило только с "-j LOG", то видно, что 
> правило срабатывает и пакеты отправляются. 
> Jul  2 18:17:27 alt-serv kernel: IN=eth1 OUT=eth0 SRC=192.168.153.
> 250 DST=<host> LEN=33 TOS=0x00 PREC=0xC0 TTL=254 ID=51 PROTO=UDP 
> SPT=4500 DPT=4500 LEN=13 
> 
> Не подскажите, в чём может быть загвоздка? Я даже не пойму, в какую 
> сторону смотреть. 
> Особенно сбивает с толку, что устройство нормально проработало за 
> iptables почти месяц, а теперь ни в какую... 
> Для лучшего понимания не плохо бы увидать вывод команд:
> 
> # ip a
> 

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state 
UP qlen 1000
    link/ether 00:13:20:6d:3f:28 brd ff:ff:ff:ff:ff:ff
    inet ххх.ххх.ххх.ххх/29 brd ххх.ххх.ххх.ххх scope global eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state 
UNKNOWN qlen 1000
    link/ether f0:7d:68:c8:ab:77 brd ff:ff:ff:ff:ff:ff
    inet 192.168.153.11/24 brd 192.168.153.255 scope global eth1

> #iptables -L -n -v
> 
]# iptables -L -n -v
Chain INPUT (policy ACCEPT 665K packets, 40M bytes)
 pkts bytes target     prot opt in     out     source destination
    0     0 DROP       all  -f  *      *       0.0.0.0/0 0.0.0.0/0
  11M 4087M ACCEPT     all  --  *      *       0.0.0.0/0 0.0.0.0/0   state 
RELATED,ESTABLISHED
 668K   41M ULOG       all  --  *      *       0.0.0.0/0 0.0.0.0/0   ULOG 
copy_range 48 nlgroup 1 prefix `icount' queue_threshold 50
 1194 34304 ACCEPT     icmp --  eth0   *       0.0.0.0/0 0.0.0.0/0
    0     0 ACCEPT     all  --  eth1   *       192.168.153.250 0.0.0.0/0 
<--- это добавил уже от безысходности
    8  2912 ACCEPT     all  --  eth0   *       83.149.6.20 0.0.0.0/0 <--- 
это добавил уже от безысходности
 2310  303K DROP       all  --  eth0   *       0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 702K packets, 107M bytes)
 pkts bytes target     prot opt in     out     source destination
  468  142K ACCEPT     all  --  eth1   eth0    192.168.153.250 0.0.0.0/0 
<--- вот это правило, я даже его сделал с разрешением на все хосты
    0     0 DROP       all  -f  *      *       0.0.0.0/0 0.0.0.0/0
 205K   47M ACCEPT     all  --  *      *       0.0.0.0/0 0.0.0.0/0   state 
RELATED,ESTABLISHED
 740K  110M ULOG       all  --  *      *       0.0.0.0/0 0.0.0.0/0   ULOG 
copy_range 48 nlgroup 1 prefix `fcount' queue_threshold 50
    0     0 ACCEPT     all  --  eth0   *       0.0.0.0/0 
ххх.ххх.ххх.ххх/29
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0 0.0.0.0/0  
PHYSDEV match --physdev-is-bridged
    0     0 ACCEPT     all  --  eth0   *       0.0.0.0/0 0.0.0.0/0   state 
RELATED,ESTABLISHED
    0     0 DROP       all  --  eth0   *       0.0.0.0/0 0.0.0.0/0
   21  1176 ACCEPT     icmp --  eth1   eth0    0.0.0.0/0 0.0.0.0/0
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.153.3 0.0.0.0/0   
tcp dpt:53
21890 1411K ACCEPT     udp  --  eth1   eth0    192.168.153.3 0.0.0.0/0   
udp dpt:53
    1    52 ACCEPT     tcp  --  eth1   eth0    192.168.153.6 0.0.0.0/0   
tcp dpt:53
    0     0 ACCEPT     udp  --  eth1   eth0    192.168.153.6 0.0.0.0/0   
udp dpt:53
  220 11440 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0 206.201.227.186  
tcp dpt:443
  228 11856 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0 206.201.228.186  
tcp dpt:443
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.153.13 0.0.0.0/0    
 multiport dports 80,443
    0     0 ACCEPT     udp  --  eth1   eth0    192.168.153.13 0.0.0.0/0    
 udp dpt:123
   36  1872 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0 46.17.141.40  tcp 
dpt:80
    0     0 ACCEPT     udp  --  eth1   eth0    0.0.0.0/0 83.137.219.5  udp 
dpt:24400
    0     0 ACCEPT     udp  --  eth1   eth0    0.0.0.0/0 195.2.80.62   udp 
dpt:24400
   23  1196 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0 83.137.219.5  tcp 
dpt:24400
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0 195.2.80.62   tcp 
dpt:24400
    6   288 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 
46.61.141.84/30     tcp dpt:80
    8   384 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 94.25.1.54   
    tcp dpt:80
    9   432 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 
188.254.60.162      tcp dpt:80
   10   480 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 
188.254.71.178      tcp dpt:80
   12   576 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 
188.254.71.182      tcp dpt:80
  146  7008 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 
91.213.144.0/24     multiport dports 80,443,110,1101,25,251,8585
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 
193.148.44.0/24     multiport dports 80,443
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.153.31 
85.158.55.0/28      tcp dpt:8585
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.153.0/24 
89.253.38.5         tcp dpt:5900
    4   176 ACCEPT     tcp  --  eth1   eth0    192.168.153.23 
87.245.160.53       multiport dports 5100,40001
15833  854K DROP       all  --  eth1   eth0    0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1052K packets, 66M bytes)
 pkts bytes target     prot opt in     out     source destination
    0     0 DROP       all  -f  *      *       0.0.0.0/0 0.0.0.0/0
  12M 6323M ACCEPT     all  --  *      *       0.0.0.0/0 0.0.0.0/0   state 
RELATED,ESTABLISHED
1052K   66M ULOG       all  --  *      *       0.0.0.0/0 0.0.0.0/0   ULOG 
copy_range 48 nlgroup 1 prefix `ocount' queue_threshold 50
    0     0 ACCEPT     all  --  *      eth1    0.0.0.0/0 192.168.153.250 
<--- это добавил уже от безысходности
    0     0 ACCEPT     all  --  *      eth0    0.0.0.0/0 83.149.6.20 <--- 
это добавил уже от безысходности

> #iptables -L -n -v -t nat
> 

# iptables -L -n -v -t nat
Chain PREROUTING (policy ACCEPT 249K packets, 16M bytes)
 pkts bytes target     prot opt in     out     source destination

Chain POSTROUTING (policy ACCEPT 822K packets, 49M bytes)
 pkts bytes target     prot opt in     out     source destination
 178K   14M MASQUERADE  all  --  *      eth0    0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 937K packets, 58M bytes)
 pkts bytes target     prot opt in     out     source destination

> и указать адреса "железяки" и "хост в сети Интернет"

192.168.153.250 и 83.149.6.20

Спасибо за желание помочь разобраться с проблемой!


-- 
С уважением, 
Гусев Владислав Юрьевич 

----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20130705/905a9aed/attachment-0001.html>

Подробная информация о списке рассылки Sysadmins