URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62534
[ Назад ]

Исходное сообщение
"Неработают некоторые хосты за iptables"
Отправлено vugluskr , 08-Дек-05 14:30

Некоторые хосты не хотят загружатся:
Например "www.dtf.ru","www.nokia.com","www.narod.ru"

#BEGIN##############
# Iptables config
iface_world=eth1
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t filter -F
iptables -t filter -X
iptables -t mangle -F
iptables -t nat -F
iptables -t nat -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s 192.168.1.1 -d $server0 --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d 192.168.1.1 -s $server0 --sport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s 192.168.1.1 -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d 192.168.1.1 -s $server0 --sport 22 -j ACCEPT
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE
#END################
Этим конфигом врубаю юзера по ip:
#BEGIN#############
# User deny
#!/bin/bash
ip=$1
iptables -t filter -A INPUT -s $ip -j ACCEPT
iptables -t filter -A FORWARD -s $ip -j ACCEPT
iptables -t filter -A FORWARD -d $ip -j ACCEPT
iptables -t filter -A OUTPUT -d $ip -j ACCEPT
#END##############

Немогу понять в чем причина

Содержание

Неработают некоторые хосты за iptables,Den, 15:07 , 08-Дек-05
- Неработают некоторые хосты за iptables,Gennadi, 19:30 , 08-Дек-05
  - Неработают некоторые хосты за iptables,vugluskr, 08:04 , 09-Дек-05

Сообщения в этом обсуждении

"Неработают некоторые хосты за iptables"
Отправлено Den , 08-Дек-05 15:07

Проблема скорее в MTU. Как организован выход в инет ? Какие значения mtu на внутреннем и внешнем интерфейсе рутера ?

"Неработают некоторые хосты за iptables"
Отправлено Gennadi , 08-Дек-05 19:30

>Проблема скорее в MTU. Как организован выход в инет ? Какие значения
>mtu на внутреннем и внешнем интерфейсе рутера ?

Нужно добавить это правило:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

"Неработают некоторые хосты за iptables"
Отправлено vugluskr , 09-Дек-05 08:04

Установил mtu 128 и все заработало отлично.
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128
У меня в сети несколько серваков данные шлют, возможно по этому все так лагает.