Изпечатай

[dbaniza]

Ми останалите редове общо взето са във формата

Примерен код

iptables -A INPUT -p tcp --dport *нещо си* -j ACCEPT

и завършват с едно голямо

Примерен код

iptables -A INPUT -m state --state NEW, INVALID -j DROP

Споменах ли вече че започвам да се отчайвам?

[vlad73]

Огледай резултата от
iptables -L -t nat -n
iptables -L -t mangle -n

Така и не разбрах каква ти е дистрибуцията, но аз примерно ползвам RedHat  базирани (основно Fedora), там имаш възможност да запазиш някаква конфигурация на iptables и тя да се зарежда при boot. Идеята ми е, че ако имаш нещо подобно, това ще се наслагва на твоя скрипт.

Успех и не бързай да се отчайваш, пробвай почина на царя и гледай позитивно - имаш реалната възможност да си поблъскаш главата с интересен проблем, дори и  да не го решиш си струва да се напънеш, а ако го решиш е много сладко. '>

[dbaniza]

Дистрибуцията ми е Debian unstable, аз в началото на скрипта има още няколко реда които аз от удобство изпуснах да поствам, а именно:

Примерен код

iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -Z

Това би трябвало да очисти всякакви остатъци от правила, или?

[int13]

а за моя случай, някой няма л да помогне'>? '>(((

[vlad73]

Цитат (dbaniza @ Авг. 30 2005,17:21)

Дистрибуцията ми е Debian unstable, аз в началото на скрипта има още няколко реда които аз от удобство изпуснах да поствам, а именно: Примерен код iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -Z Това би трябвало да очисти всякакви остатъци от правила, или?

Да, чисти ги, ма не променя политиките на веригите. Просто това е единственото, което ми хрумва - да има някоя политика на DROP, освен тази в FORWARD на filter де.
Виж дали в изхода на тези команди:
iptables -L -t nat -n
iptables -L -t mangle -n
има нещо, което да съдържа "policy DROP" след името на chain-a

[dbaniza]

Отново поради харуерни причини (клиентския компютър беше разглобен) чак сега последвах съвета на alex_c с tcpdump и стигнах до очудващия поне за мене извод че пакетите си се рутират към целта, но по пътя обратно си остават в рутиращия компютър, което ми е напълно необяснимо. '>

int13: Сори отново че така ти използвам темата, но мисля че решението на проблема ни е сходно, моето рутиране спря също толкова внезапно като твойто.
vlad73: Никъде няма DROP.

[int13]

да прав си сходно е..но не мисля че е в ттл-ите проблема '> т ис какъв кернел си? Аз съм с 2.4.29 на слак 10.1.

[dbaniza]

2.6.12 на Debian unstable. И аз не мисля че е от ттл, но и си нямам ни най-малката идея от какво може да е. Възможно ли е все пак провайдера да ме преебава някакси? Нещо да изменя хедъра на пакетите така че рутера да не може да разбере че са от конекшъна към другия компютър или нещо такова. Уффф

[dbaniza]

Аз съм идиот.
След дълго време на незанимаване с този проблем изведнъж прозрях каква е причината да нямам рутиране - всичките пакети които получавам имат ттл 0 и затова не се и рутират обратно към клиентския компютър, а умират в рутера. Та моята е мисъл е да увеличавам ттл-а на всички пакети за клиента с едно, така че все пак да стигат до него. А въпроса ми е, как точно трябва да изглежда командата.
Пробвах "iptables -t mangle -A INPUT -i eth0 -j TTL -ttl-inc 1". Така като пингвам от рутера ми се изписва че ттл е 1 (а не 0 както беше преди...). Пинговете от другия компютър обаче все още умират с "ICMP time exceeded in-transit"  '>

[toxigen]

Не го прави с ttl-inc!
Документацията на iptables казва:

Цитат

--ttl-inc value               Increment the TTL value `value' times.

Което означава, че ако напишеш ttl-inc 1 ще стане "увеличи ТТЛ един път"!
Аз го правя така:

Примерен код

iptables -t mangle -A INPUT -j TTL --ttl-set 64

Това кара всички пакети, които влизат да имат TTL = 64, което си е нормално. За изходните вериги също препоръчвам да сложиш едно ttl-set 64 , за да изглежда всичко все едно идва от рутера (всъщност не съм гледал как излизат отзад) '>

моля прочетете :

http://hardtrance.blogspot.com/2005/05/ttl-nat.html
и
http://hardtrance.blogspot.com/2005....ko.html

[dbaniza]

Боже, не мога да повярвам, работи!
Златния ред беше:

Цитат

iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 2

Направо ме е яд че не намерих блога ти по-рано...
А и, хъм, благодаря на всички които направиха това възможно.