Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: __eve__ в May 31, 2009, 03:58


Титла: относно iptables default policies
Публикувано от: __eve__ в May 31, 2009, 03:58
 Здравейте, този проблем който ми излезе ми беше смешен ама се уплетох: целта ми е да маскирам само 5 компа от локалната мрежа без значение МАК адресите. Когато сложа default policies
ipables -P DROP -->спира нета на всички, ако е ipables -P ACCEPT има който си иска от подмрежата. Ето ми го firewalla, много простичък. Ако може да ми кажете грашката, мерси:

iptables -F
iptables -F -t nat
iptables --delete-chain
iptables --table nat --delete-chain

iptables -P FORWARD ACCEPT #----това е въпросния ред, ако е DROP няма никой нет
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

iptables -A FORWARD -s 192.168.0.2/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.4/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.5/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.6/32 -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/32 -j DROP

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Титла: Re: относно iptables default policies
Публикувано от: pr0fessor в Jan 19, 2010, 16:02
Код:
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -P INPUT DROP
iptables -A OUTPUT -p udp --sport 137:139 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -j DROP
iptables -A FORWARD -p tcp --sport 137:139 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 10000:10099 -j DNAT --to-destination 10.0.0.100
iptables -t nat -A PREROUTING -p tcp --dport 13400:13499 -j DNAT --to-destination 10.0.0.134
iptables -t nat -A PREROUTING -p tcp --dport 13500:13599 -j DNAT --to-destination 10.0.0.135
iptables -t nat -A PREROUTING -p tcp --dport 13800:13899 -j DNAT --to-destination 10.0.0.138
iptables -t nat -A PREROUTING -p tcp --dport 25400:25499 -j DNAT --to-destination 10.0.0.254
iptables -t nat -A POSTROUTING -s 10.0.0.100 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.134 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.135 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.138 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.254 -j MASQUERADE
iptables -A INPUT -j DROP
това е моята политика за дропене на излишното...

и аз искам да питам - от някои сайтове дърпам и както дърпам просто спира... на 5%, на 10%... както дойде... а други няма проблем... не мисля че проблема е при мен щото със моя рутер и на съседа рутера са в локалната мрежа и всеки може да ползва нета на другия... та ип-то на съседския рутер е 10.0.0.254 а на моя 10.0.0.250. и проблема с тегленето от проблемния сайт го реших като го прекарам през рутера на съседа:
Код:
route add -host 66.220.1.159 gw 10.0.0.254
(http://podcast.soulgood.com) точно заради това си мисля, че доставчика прави мръсното, а не ми е проблема в рутера... още повече чe като махна рутера, и си вържа директно компа, сложа си мака и ип-то на рутера и нямам проблем... също и TTL дигнах... никаква разлика, просто дърпам и дропи, и от рутера (с wget) и от компютрите зад него като дърпам е същото... другия такъв проблем ми е с iptv - достарчика ми го хоства и просто само таймоут и по някога тръгвар без рутера и то вървир но там вече не мога да мина през нета на съседа щото е на бтк... та просто искам да знам дали според вас проблема ми е в доставчика със сигурност... (още нещо проблема е същия и с друг кернел/линукс и на двата e c iptables 1.4.2)
пробвал съм и с всички политики да са ACCEPT...
благодаря предварително...

Титла: Re: относно iptables default policies
Публикувано от: VladSun в Jan 19, 2010, 16:07
@__eve__

Трябва да добавиш правила и за обратната посока във FORWARD:
Код
GeSHi (Bash):
  1. iptables -A FORWARD -d 192.168.0.2/32 -j ACCEPT
  2. iptables -A FORWARD -d 192.168.0.3/32 -j ACCEPT
  3. ...

Титла: Re: относно iptables default policies
Публикувано от: VladSun в Jan 19, 2010, 16:09
Също така:
Код
GeSHi (Bash):
  1. iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

Титла: Re: относно iptables default policies
Публикувано от: zeridon в Jan 19, 2010, 16:20
Цитат на: pr0fessor в Jan 19, 2010, 16:02

и аз искам да питам - от някои сайтове дърпам и както дърпам просто спира... на 5%, на 10%... както дойде... а други няма проблем... не мисля че проблема е при мен щото със моя рутер и на съседа рутера са в локалната мрежа и всеки може да ползва нета на другия... та ип-то на съседския рутер е 10.0.0.254 а на моя 10.0.0.250. и проблема с тегленето от проблемния сайт го реших като го прекарам през рутера на съседа:

Обикновенно проблема не е в твоя телевизор а в някое скапано устройство по трасето (най-често някой каталист макар че и другъде съм го виждал). Причината е че линукс като умно животно се опитва да използва някои технологи за ускоряване на трансфера от фамилията SACK (Selective ACKnowledgment) но някое устройство по пътя изрязва необходимите флагове за тая цел.

пробвай да сетнеш следните опции в sysctl.conf:
Код
GeSHi (Bash):
  1. net.ipv4.tcp_sack=0
  2. net.ipv4.tcp_dsack=0
  3. net.ipv4.tcp_fack=0
И след това изпълни като root:
Код
GeSHi (Bash):
  1. sysctl -p

И докладвай за резултата

Титла: Re: относно iptables default policies
Публикувано от: pr0fessor в Jan 19, 2010, 17:08
изпълних го.
първоначално нямах такъв файл и като стартирах sysctl и ми написа че трябва да е в /etc
създадох го и вкарах написаното и стартирах sysctl -p
изкара ми резултата от написаното във файла, обаче проблема с тегленето си остана...
sysctl -a изкара - в прикачения файл
edit: да не пиша нов пост, смених външната ланкарта с интелска и проблема изчезна и с тегленето и с iptv (като си пуснах нета гледах 1 месец и от там нататък посмъртно не щеше да работи...)


Powered by SMF 2.0 Beta 4 | SMF © 2006, Simple Machines LLC