Изпечатай

[KPETEH]

Никъде не съм твърдял, че са на един интерфейс.

eth0 - Inet provider
eth1 - 168.0.0/24
eth2 - 168.142.0/24

Код:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
sysctl -n

Ще пробвам с правилата, които си описал въпреки, че ме съмнява. Тук по-скоро е нещо на ниво ядро според мен.
Така и така скоро не съм обновявал ядрото ще пробвам и това после...

Не мога да разбера хем искаш да ти помогне някой и в същото време не показваш всички правила в кода който си показал в пейстбин не сме гадатели разбираш ли.
Веднага мога да ти дам цял скрипт за рутиране и то точно за слакуер, ако ще и с 50 вътрешни мрежи да е, но не е там въпроса.
Имам 2 слакуера 14.1 и работят без грешка изпълняват различни функции и се справят перфектно и няма такива филми да ми трият правила и пр. особено пък за iptables.
И един въпрос има ли kernel-headers инсталирани, въпреки че не вярвам да е от това ?

[runtime]

Ъъъ извинявай ама правилата съм ги показал 1/1
Искаше sysctl - давам го. Аз не намирам причина обаче нещо там да прави проблеми и за това и не съм го показвал предния път.

В правилата никъде не съм задавал вътрешни интерфейси защото не е нужно...
Всъщност това с рутирането и правилата не мисля, че оказва значение защото се "забравя" само едно правило от веригата и то след време Как са подредени правилата по веригата не мисля, че ще е от значение освен ако няма seconds  и hitcount например. За това не съм сметнал за необходимо да ги пускам в началото.

Ясно, имаш два слака и нямам съмнение, че работят, но уви - при мен отказа и то нещо абсилютно малоумно се случва Не се съмнявам и в компетентноста ти, но не е нужно да се хвърлят излишни нерви според мен.

П.С. за хедърите да - kernel-headers-3.2.29-x86-1

Да пробвам ли да обновявам ядрото до 3.10.17 или да си поблъскаме главите някой ден?

[BRADATA]

arp проблем? Имаш ли проблем с достъпа от сървъра до машината когато се скапят нещата?

[runtime]

Обсолютно никакъв и мисля, че го бях писал. Връзвам се на порта през телнет без проблем, а и с клиента на определения порт.
Много е шантава ситуацията  Зора е, че не знам при какви условия го прави и кога. Както казах вече 4-ти ден няма проблем.
Запазил съм изходите на листите когато работи, а сега чакам да спре и да сравнявам. Хем ме сърбят ръцете да обновя ядрото, хем ми се иска да разбера защо се получава така и то само на това правило Ама ще дебна... 

Аз викам да изчезне правилото и пак да продължим темата... Че така докато работи, каквото и да правя - идея си нямам дали касае ситуацията.
Като се сгъбяса мога всякакви изходи да дам

[tolostoi]

Тоя снорт какво може да прави? Да пише правила и да подава на ядрото какво да прави?
Аз също си мислех, че е нещо от ядрото, случва се примерно флууд или нещо некоректно и ядрото реагира по някакъв начин, подобни неща са ми се случвали, но винаги на домашния рутер и там нямам мерак да изследвам кое какво и как, сменям я карта я рам и се оправя. Е ти имаш възможност да разбереш какво е

[runtime]

Тоя snort само анализира и с barnyard2 пише в базата данни...
И мен много ме съмнява ядрото, ама ще почакам да сгъбяса да видим дали е от него, преди да го обновя

[KPETEH]

Тоя snort само анализира и с barnyard2 пише в базата данни...
И мен много ме съмнява ядрото, ама ще почакам да сгъбяса да видим дали е от него, преди да го обновя

Искам да кажа че няма нерви по отношение на какво и да било извинявам се, ако така се е подразбрало, помислих си, че не си пейстнал всички правила и заради това направих забележката.
Сложи ли правилата за forward, след правилата за prerouting, които ти написах ?
Общо взето имам забележка за целия ти скрипт най-малкото всички политики са ти на ACCEPT, т.е. в случая правиш чист рутинг без да защитиш и 2-те локални мрежи, което за мен честно казано си е пълно безумие.

P.S. Това ми прилича като да имаш инсталиран windows на някаква машина с 3 мрежови карти, на който да пуснеш Internet connection sharing и след това да му спреш firewall-a, можеш ли да се сетиш какво ще се случи след това ?

Или иначе казано все едно някаква готина мацка да отиде полусъблечена в някакво негърско гето по прашки и сутиен и да тръгне да си маха първо сутиена, нали се сещаш какво ще и се случи след това .... ? 

[runtime]

В интерес на истината това е временно явление и не съм си играл да изграждам кой знае какъв фаеруол, тъй като машината скоро ще си заминава и на нейно място ще има друга Просто ми стана интересно що гърми така.
Не, не съм сложил правилата защото чакам да се сгъбяса за да разберем евентуално защо го прави

П.С. ако имаш нещо готово на iptables и ти се иска да го споделиш, няма да имам нищо против!

[edmon]

ехехех аз ти казвам, че е от слакуера, сложи ги тия правила на друг линукс и ще видиш, че съм прав хехехехеехех

ПС. Получава се интересна тема, особено, когато някой чел-недочел мненията почне да се чуди на очевадни неща ))

[KPETEH]

В интерес на истината това е временно явление и не съм си играл да изграждам кой знае какъв фаеруол, тъй като машината скоро ще си заминава и на нейно място ще има друга Просто ми стана интересно що гърми така.
Не, не съм сложил правилата защото чакам да се сгъбяса за да разберем евентуално защо го прави

П.С. ако имаш нещо готово на iptables и ти се иска да го споделиш, няма да имам нищо против!

Ще дадеш ли изход от :

Код:

uname -a

Код:

which iptables

Код:

ifconfig -a

Код:

cat /etc/slackware-version

[runtime]

Код:

Linux novotechprom.com 3.2.29 #2 SMP Mon Sep 17 14:19:22 CDT 2012 x86_64 Intel(R) Xeon(R) CPU           E5450  @ 3.00GHz GenuineIntel GNU/Linux

/usr/sbin/iptables

http://pastebin.com/6NF5hXWk

Slackware 14.0
(Хъм останах с впечатлението че е 14.1... )

[petar258]

Преди доста време от заниманията ми със Слак забелязах че трябва да се заредят някои основни модули за iptables в някой стартов скрипт(примерно rc.local) преди правилата, иначе някои правила не се зареждат при стартиране. Не помня точно кои бяха но нещо подобно на ip_firewall, ip_nat, ip_conntrack ...

[runtime]

Днес спря! 

Така, какво се е случило до сега:

1-во нямах интернет за около 5 мин, проблем с доставчика. След което правилата спряха да работят.

Какво установих:
Правилата с iptables -L -xvn си  ги има във веригата и пристигат пакети обаче не се NAT-ват към вътрешния адрес и отвън порта си ми остава 9913/tcp filtered

Код:

iptables -L -v -n
2      120 ACCEPT     tcp  --  *      *       95.87.22.213         0.0.0.0/0            tcp dpt:9913

Код:

iptables -t nat -L
DNAT       tcp  --  ip-95-87-22-213.trakiacable.bg  anywhere             tcp dpt:9913 to:192.168.0.3:1020

Пробвах форсирано да махна и заредя модулите ip_tables, ip_conntrack, iptables_nat но успех не пожънах
До тук изброените действия и предложение не помагат...

Преди да престъпя към обновяване на ядрото ще съм благодарен за още някое предложение...

[BRADATA]

Правилото в нат таблицата по този начин ли изглежда? С ДНС име?

[runtime]

При това да, това е IP-то в къщи, но някои си ги има и нормално само с IP адрес, но и от тях ми дава filtered

P.S. сега правя фаеруола по-читаво и да зарежда модулите та да видим какво ще излезе