Изпечатай

[runtime]

Имам проблем с iptables NAT-а не работи след определен период от време. Няма специфични причини, няма нищо в лога. Просто си решава и филтрира порта, като само reboot го спасява, след което работи отново няколко дни и пак се губи.

Правилото е съвсем просто
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9913 -s $IP -j DNAT --to-destination 192.168.0.3:1020
iptables -A INPUT -p tcp --dport 9913 -s $IP -j ACCEPT

От гейтуей машината си достъпвам вътрешния адрес (192.168.0.3) на определения порт.

като сканирам от отдаличена машина ми дава, че порта е филтриран
9913/tcp filtered unknown

Къде е идеята сам да си се филтрира? Някакви идеи?

Сега виждам един интересен момент, а именно това, че с iptables -L правилото го няма   Каква може да е причината iptables да го разкарва от веригата?

Системата е Slackware 14
Версията на iptables е 1.4.20-x86_64

[wfw]

само това правило или всички в нат таблицата?

[runtime]

Всички правила "забравя" в нат таблицата.
След рестарт всичко си идва по мястото Имам предвид тук, че дори и флуш не помага. Дори и да я флушна и пак да набия правилото то не се форуордва. Само след reboot и след като си изпълни скрипта правилата тръгват

[BRADATA]

След рестарт пусни:
iptables -L -xvn
iptables -t nat -L -xvn
iptables -t mangle -L -xvn

Запази си изхода от трите команди. Като "забрави" правилата го пусни пак и виж разликата. Ще видиш липсващи/нови правила. Като ги видиш - ща търсим от къде се появяват/изчезват.

[wfw]

Пробвал ли си да презаредиш модула за nat в ядрото? Да не би това да е проблема?

[edmon]

тва ти е от слакварето, понеже  се пише  нагоре надолу не е ясно дали някъде нещо
не ти трие нат таблицата:)
хехехех

[BRADATA]

тва ти е от слакварето, понеже  се пише  нагоре надолу не е ясно дали някъде нещо
не ти трие нат таблицата:)
хехехех

Точно slackware не пипа никъде освен ако изрично не му кажеш. Недей да говориш глупости.

[tolostoi]

Виж нещо да не те флуди и от там, друг възможен проблем е хардуерен, я рам я мрежова карта.

[edmon]

тва ти е от слакварето, понеже  се пише  нагоре надолу не е ясно дали някъде нещо
не ти трие нат таблицата:)
хехехех

Точно slackware не пипа никъде освен ако изрично не му кажеш. Недей да говориш глупости.

Как глупости, виж, че не мое си намери ко му трие таблицата само от слака ще да е

[KPETEH]

Честно казано само от тези две правила нищо не се разбира какво и как е настроено в скрипта за защитната стена. Според мен най-добре е да ни покаже всички правила за iptables иначе така не става.

[runtime]

Извинявам се за закъснението ама празници...

@BRADATA
Взел съм под внимание твоето предложение. Сега чакам да угасне и да експорна съдържанието отново.

@wfw
Не съм, но ще го пробвам при първия удобен случай.

@tolostoi
Хардуерен е изключен защото всичко останало си работи нормално. За флууд също изпитвам съмнения защото щеше да ми направи впечатление, а и имам snort който щеше да изреве, че там има една камара правила за флууд.

@edmon
Не се бях замислял дали не е от слак-а... Ще взема да преинсталирам с убунту, да видя дали няма да се оправи :-D 


Правилата
http://pastebin.com/EJ1wrmmK


П.С. 4-ти ден работи

[KPETEH]

Извинявам се за закъснението ама празници...

@BRADATA
Взел съм под внимание твоето предложение. Сега чакам да угасне и да експорна съдържанието отново.

@wfw
Не съм, но ще го пробвам при първия удобен случай.

@tolostoi
Хардуерен е изключен защото всичко останало си работи нормално. За флууд също изпитвам съмнения защото щеше да ми направи впечатление, а и имам snort който щеше да изреве, че там има една камара правила за флууд.

@edmon
Не се бях замислял дали не е от слак-а... Ще взема да преинсталирам с убунту, да видя дали няма да се оправи :-D 


Правилата
http://pastebin.com/EJ1wrmmK


П.С. 4-ти ден работи

Така добави тези правила :

Код:

iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.3 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.7 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.3 --dport 1020 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

и рестартирай правилата.

Интересно ми е в /etc/sysctl.conf какво има ?!

И още един въпрос какви са тези глупости в настройките ?

Код:

echo "Nat internet"
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.142.0/24 -j MASQUERADE

Как така на един и същи интерфейс пренасочваш към различни мрежи няма логика човече ?! 

[BRADATA]

echo "Nat internet"
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.142.0/24 -j MASQUERADE

Как така на един и същи интерфейс пренасочваш към различни мрежи няма логика човече ?! 

Това са изходящи правила

@edmon
Пак казвам - проблема не е в slackware-то.

Ще помоля да се опитате да намалите тази хейтърска политика тук. Slackware е една от най-стабилните и стари дистрибуции и това, че някой не може да работи с нея щото няма "графични цъкалки" за всичко не означава, че за нищо не става. 70% от сървърите, които поддържам са с тази дистрибуция и имам машини с ъптайм повече от 700 дни.

[KPETEH]

echo "Nat internet"
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.142.0/24 -j MASQUERADE

Как така на един и същи интерфейс пренасочваш към различни мрежи няма логика човече ?! 

Това са изходящи правила

@edmon
Пак казвам - проблема не е в slackware-то.

Ще помоля да се опитате да намалите тази хейтърска политика тук. Slackware е една от най-стабилните и стари дистрибуции и това, че някой не може да работи с нея щото няма "графични цъкалки" за всичко не означава, че за нищо не става. 70% от сървърите, които поддържам са с тази дистрибуция и имам машини с ъптайм повече от 700 дни.

1. Извинявам се че не се изразих правилно наистина си прав че е за изходящи, но не може да има две клас Ц мрежи за изходящ трафик на един и същи интерфейс т.е. може но никъде от кода който е показан  в пейстбин не се вижда трети интерфейс за 2-ра въртрешна мрежа
2. много ясно че не е от слакуера от задклавиатурното устройство е

[runtime]

Никъде не съм твърдял, че са на един интерфейс.

eth0 - Inet provider
eth1 - 168.0.0/24
eth2 - 168.142.0/24

Код:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
sysctl -n

Ще пробвам с правилата, които си описал въпреки, че ме съмнява. Тук по-скоро е нещо на ниво ядро според мен. Казвам го защото дори и да флушна таблицата и пак да набия правилото то не влиза в нея. И пак казвам, че интересното е само с това... Другите на 22-ри порт нямат такъв проблем
Така и така скоро не съм обновявал ядрото ще пробвам и това после....