Отпечатай - Iptables неволи

Титла: Iptables неволи
Публикувано от: ArToS в Jul 29, 2008, 22:03

здравейте
нещо не се получава с iptables

Пц 1 слак12.1
Пц 2 винхп

нета е пуснат при пц1 с пппое има си връзка
влизам от пц2 с пути има мрежа

има ограничение на ттл1

iptables -t mangle -I PREROUTING -i ppp0 -j TTL --ttl-set 10
пробвах и с eth0

но няма ефект
ако някой вижда къде е грешката моля да помогне

Титла: Iptables неволи
Публикувано от: VladSun в Jul 30, 2008, 00:26

дай изхода от:

iptables-save -c
route -n
ifconfig

ipconfig /all

Титла: Iptables неволи
Публикувано от: ArToS в Jul 30, 2008, 19:10

root@saturn:~# iptables-save -c
iptables-save v1.4.0: Unable to open /proc/net/ip_tables_names: No such file or directory

root@saturn:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
84.54.129.131 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
root@saturn:~#

root@saturn:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:00:e8:83:06:eb
inet addr:192.168.1.108 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::200:e8ff:fe83:6eb/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:477 errors:0 dropped:0 overruns:0 frame:0
TX packets:162 errors:1 dropped:0 overruns:0 carrier:2
collisions:0 txqueuelen:1000
RX bytes:58096 (56.7 KiB) TX bytes:15425 (15.0 KiB)
Interrupt:5 Base address:0x4800

eth1 Link encap:Ethernet HWaddr 00:10:5a:ba:fb:7f
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::210:5aff:feba:fb7f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:504 errors:0 dropped:0 overruns:0 frame:0
TX packets:454 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:46667 (45.5 KiB) TX bytes:59404 (58.0 KiB)
Interrupt:9 Base address:0x6f80

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 <img src="http://www.linux-bg.org/iB_html/non-cgi/emoticons/cool.gif" border="0" valign="absmiddle" alt='B)'> TX bytes:0 (0.0 <img src="http://www.linux-bg.org/iB_html/non-cgi/emoticons/cool.gif" border="0" valign="absmiddle" alt='B)'>

ppp0 Link encap:Point-to-Point Protocol

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:128 errors:0 dropped:0 overruns:0 frame:0
TX packets:129 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:10100 (9.8 KiB) TX bytes:11034 (10.7 KiB)

root@saturn:~#

root@saturn:~# ipconfig /all
-bash: ipconfig: command not found
root@saturn:~#

Титла: Iptables неволи
Публикувано от: DefaultGateway в Jul 31, 2008, 01:18

ipconfig /all
го пишеш в уиндоуса а не в линукса..

Титла: Iptables неволи
Публикувано от: VladSun в Jul 31, 2008, 09:32

1. следвай съвета на DefaultGateway

2. Това, че iptables-save ти дава такава грешка означава, че няма създадени *никакви* правила. А на теб ти трябва минимум SNAT правило ...

Титла: Iptables неволи
Публикувано от: gat3way в Jul 31, 2008, 09:50

Я, имам си адаш

Титла: Iptables неволи
Публикувано от: toti84 в Jul 31, 2008, 18:03

Ако може да вметна едни въпрос, понеже не съм бил никога към доставчик, който ме "бъзика" с ттл-а. то това означава ли, че когато дам пинг към gateway-a на доставчика ще ми покаже TTL=1.

Благодаря предварително

Титла: Iptables неволи
Публикувано от: VladSun в Jul 31, 2008, 20:15

Цитат (toti84 @ Юли 31 2008,18:03)

Не.
Т.е. не е задължително.
Може да смъква ТТЛ-а на всичко освен ICMP

Титла: Iptables неволи
Публикувано от: gat3way в Jul 31, 2008, 20:57

Дори нямах идея, че може да има такива изобретателни хора

Само да се пробват да ми пробутват такива глупости, следващия път като вдигна някоя виртуална машина, мрежата й няма да е NAT-ната зад реалния интерфейс, а бридж-ната. На тоя бридж по грешка ще забравя

STP подръжката при това с доста ниска стойност и без да искам на следващия topology change като нищо ще бъда избран за root bridge

Би било много забавна тарапана в рамките на нашия сегмент (щото аз знам със сигурност, че доставчика ми ползва spanning-tree протокола, получавам редовно BPDU-та). Сега може да ползват и по-умни суичове където може да се забраняват някои портове за STP цели, но знам ли

С оглед на това се чудя дали масовото навлизане на виртуализацията в нашия бит

няма да докара големи драми за някои ЛАН доставчици

Даже днес си говорих за това с колегите на работа

Титла: Iptables неволи
Публикувано от: ArToS в Aug 02, 2008, 20:42

ето всичко подробно

root@darkstar:/etc# ifconfig
eth0 Link encap:Ethernet HWaddr 00:00:e8:83:06:eb
   inet6 addr: fe80::200:e8ff:fe83:6eb/64 Scope:Link
   UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
   RX packets:1179 errors:0 dropped:0 overruns:0 frame:0
   TX packets:463 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:1000
   RX bytes:206818 (201.9 KiB) TX bytes:50193 (49.0 KiB)
   Interrupt:5 Base address:0x6800

eth1 Link encap:Ethernet HWaddr 00:10:5a:ba:fb:7f
   inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
   inet6 addr: fe80::210:5aff:feba:fb7f/64 Scope:Link
   UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
   RX packets:1458 errors:0 dropped:0 overruns:0 frame:0
   TX packets:1421 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:1000
   RX bytes:127374 (124.3 KiB) TX bytes:171074 (167.0 KiB)
   Interrupt:9 Base address:0xcf80

lo Link encap:Local Loopback
   inet addr:127.0.0.1 Mask:255.0.0.0
   inet6 addr: ::1/128 Scope:Host
   UP LOOPBACK RUNNING MTU:16436 Metric:1
   RX packets:12 errors:0 dropped:0 overruns:0 frame:0
   TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:0
   RX bytes:840 (840.0

TX bytes:840 (840.0

ppp0 Link encap:Point-to-Point Protocol
   inet addr:84.54.188.131 P-t-P:84.54.129.131 Mask:255.255.255.255
   UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
   RX packets:369 errors:0 dropped:0 overruns:0 frame:0
   TX packets:370 errors:0 dropped:0 overruns:0 carrier:0
   collisions:0 txqueuelen:3
   RX bytes:33169 (32.3 KiB) TX bytes:38812 (37.9 KiB)

root@darkstar:/etc#

root@darkstar:/etc# iptables-save -c
# Generated by iptables-save v1.4.0 on Sat Aug 2 20:36:03 2008
*nat
:PREROUTING ACCEPT [657:132263]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:108]
[0:0] -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 192.168.0.1
COMMIT
# Completed on Sat Aug 2 20:36:03 2008
# Generated by iptables-save v1.4.0 on Sat Aug 2 20:36:03 2008
*filter
:INPUT ACCEPT [1434:115526]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1252:136193]
COMMIT
# Completed on Sat Aug 2 20:36:03 2008
# Generated by iptables-save v1.4.0 on Sat Aug 2 20:36:03 2008
*mangle
:PREROUTING ACCEPT [1894:234548]
:INPUT ACCEPT [1499:121170]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1314:142369]
:POSTROUTING ACCEPT [1314:142369]
[52:14105] -A PREROUTING -i eth0 -j TTL --ttl-set 10
[50:3776] -A PREROUTING -i ppp0 -j TTL --ttl-set 10
COMMIT
# Completed on Sat Aug 2 20:36:03 2008
root@darkstar:/etc#

root@darkstar:/etc# sysctl -p
net.ipv4.ip_forward = 1
net.ipv4.ip_local_port_range = 1024 32768
root@darkstar:/etc#

C:\DOCUME~1\MOI>ipconfig /all

Windows IP Configuration

   Host Name . . . . . . . . . . . . : root
   Primary Dns Suffix . . . . . . . :
   Node Type . . . . . . . . . . . . : Mixed
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter vgradena:

   Connection-specific DNS Suffix . :
   Description . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit E
thernet NIC
   Physical Address. . . . . . . . . : 00-1D-7D-9B-01-F1
   Dhcp Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.0.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.0.1

C:\DOCUME~1\MOI>

Титла: Iptables неволи
Публикувано от: VladSun в Aug 02, 2008, 20:56

Пробвай с

Примерен код

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

И махни твоите редове за MASQUERADE и SNAT

Титла: Iptables неволи
Публикувано от: ArToS в Aug 03, 2008, 15:11

root@darkstar:~# iptables-save -c
# Generated by iptables-save v1.4.0 on Sun Aug 3 12:29:51 2008
*nat
:PREROUTING ACCEPT [908:87557]
:POSTROUTING ACCEPT [1:108]
:OUTPUT ACCEPT [1:108]
[1:95] -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Aug 3 12:29:51 2008
root@darkstar:~

но пак не става

Титла: Iptables неволи
Публикувано от: VladSun в Aug 03, 2008, 16:00

Е нали каза, че има TTL=0, защо си изпуснал правилата за TTL-a

Титла: Iptables неволи
Публикувано от: VladSun в Aug 03, 2008, 16:46

Я дай да видим:

Примерен код

iptables -nxvL
iptables -t nat -nxvL

след като си направил няколко опита да browse-ваш от втората машина.

За да разбереш какво става, пускаш tcpdump на ppp0 почваш да ping-ваш от втората машина към Internet.

Примерен код

tcpdump -i ppp0

и пробвай само:

Примерен код

iptables -t mangle -A PREROUTING -i ppp0 -j TTL --ttl-set 10
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

Титла: Iptables неволи
Публикувано от: ArToS в Aug 03, 2008, 17:12

root@darkstar:~# iptables-save -c
# Generated by iptables-save v1.4.0 on Sun Aug 3 17:06:41 2008
*mangle
:PREROUTING ACCEPT [98:15809]
:INPUT ACCEPT [65:4985]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [47:5364]
:POSTROUTING ACCEPT [47:5364]
[5:324] -A PREROUTING -i ppp0 -j TTL --ttl-set 10
COMMIT
# Completed on Sun Aug 3 17:06:41 2008
# Generated by iptables-save v1.4.0 on Sun Aug 3 17:06:41 2008
*nat
:PREROUTING ACCEPT [101:28731]
:POSTROUTING ACCEPT [1:70]
:OUTPUT ACCEPT [1:70]
[0:0] -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Aug 3 17:06:41 2008
root@darkstar:~#

root@darkstar:~#
root@darkstar:~# iptables -nxvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
   pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
   pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
   pkts bytes target prot opt in out source destination
root@darkstar:~#

root@darkstar:~#
root@darkstar:~# iptables -t nat -nxvL
Chain PREROUTING (policy ACCEPT 135 packets, 38960 bytes)
   pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 1 packets, 70 bytes)
   pkts bytes target prot opt in out source destination
   0 0 MASQUERADE all -- * ppp0 192.168.0.0/24 0.0.0.0/0
   0 0 MASQUERADE all -- * ppp0 192.168.0.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1 packets, 70 bytes)
   pkts bytes target prot opt in out source destination
root@darkstar:~#

root@darkstar:~# tcpdump -i ppp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
17:08:22.147422 IP 61.153.18.12.10078 > vlan-183-pppoe-152.comnet.bg.15306: UDP, length 62
17:08:22.147706 IP vlan-183-pppoe-152.comnet.bg > 61.153.18.12: ICMP vlan-183-pppoe-152.comnet.bg udp port 15306 unreachable, length 98
17:08:22.172134 IP vlan-183-pppoe-152.comnet.bg.3611 > kgb.comnet.bg.domain: 15443+ PTR? 152.183.54.84.in-addr.arpa. (44)
17:08:22.175394 IP kgb.comnet.bg.domain > vlan-183-pppoe-152.comnet.bg.3611: 15443* 1/2/2 (163)
17:08:22.176940 IP vlan-183-pppoe-152.comnet.bg.2627 > kgb.comnet.bg.domain: 11195+ PTR? 12.18.153.61.in-addr.arpa. (43)
17:08:22.585396 IP kgb.comnet.bg.domain > vlan-183-pppoe-152.comnet.bg.2627: 11195 NXDomain 0/0/0 (43)
17:08:22.591594 IP vlan-183-pppoe-152.comnet.bg.29478 > kgb.comnet.bg.domain: 56462+ PTR? 8.128.54.84.in-addr.arpa. (42)
17:08:22.595084 IP kgb.comnet.bg.domain > vlan-183-pppoe-152.comnet.bg.29478: 56462* 1/2/2 (146)

и пак няма

Титла: Iptables неволи
Публикувано от: VladSun в Aug 03, 2008, 17:50

Във FORWARD веригата не се забелязват никакви пакети - т.е. или не си опитал да пускаш пакети от втората машина или не е свързана

Трябваше поне в едната посока да има ...
Пусни от windows-ската машина:
ping 194.145.63.12 -t

и след няколко съобщения за Request timed out пусни

Примерен код

iptables -nxvL
iptables -t nat -nxvL

на линукс ммашината и дай резултата.

Титла: Iptables неволи
Публикувано от: ArToS в Aug 03, 2008, 18:21

та значи пуснах скайпа и си тръгна но само тои
нито Firefox нито Explorer се вързват кам някой сайт

Титла: Iptables неволи
Публикувано от: VladSun в Aug 03, 2008, 18:31

DNS проблеми предполагам

на windows-ката машина...

Тоя ping дето ти го написах върви ли?

Титла: Iptables неволи
Публикувано от: ArToS в Aug 03, 2008, 18:46

готово
днсите на сложих тези на доставчика

Голямо БЛАГОДАРЯ за помоща

Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: ArToS в Jul 29, 2008, 22:03