Разьясню ситуацию. Стоит squid+iptables на серваке!
До сегодняшнего дня работало все отлично, пока не грохнулись iptables.
Восстановил, но перестали работать банк-клиенты по 443 порту, также почта по POP и SMTP. Они шли через NAT в обход squid. Инет черз squid работает отлично!

Помогите, плиз!
Это срочно!!!


И еще вопрос: как полностью сбросить настрйки IPTables?? И почему не пингуется сервер с машины в сети? Прошу прощенья за свои ламерские вопросы, но эо очень важно!!!

Приведу на всякий случай IPtables
# Generated by iptables-save v1.2.9 on Tue Jul 5 18:48:04 2005
*nat
:PREROUTING ACCEPT [1651:141525]
:POSTROUTING ACCEPT [2:144]
:OUTPUT ACCEPT [2:144]
-A PREROUTING -p tcp --dport 1080 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

-A POSTROUTING -s 192.168.100.101 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.100.102 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.100.103 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.100.104 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.100.105 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.100.106 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.24.153 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.75.160 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.75.161 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.75.162 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.75.163 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.75.164 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.75.165 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.75.166 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.24.150 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.24.151 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.24.152 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.24.154 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.24.155 -o eth0 -j SNAT --to-source 213.183.224.58
-A POSTROUTING -s 192.168.24.156 -o eth0 -j SNAT --to-source 213.183.224.58
COMMIT
# Completed on Tue Jul 5 18:48:04 2005
# Generated by iptables-save v1.2.9 on Tue Jul 5 18:48:04 2005

443-й и 9091 порты открыты, но при попытке соединиться не пропускает!!!!

Операционка - Mandrake 10.1

ПРОШУ, ВАС ПОМОГИТЕ!!!!!!!! ЭТО ОЧЕНЬ ВАЖНО!!!!!!!

• Помогите!!! Невозможно сконнектиться по 443 порту!!,nitalaut, 20:29 , 10-Авг-06
  • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 21:09 , 10-Авг-06
    • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 21:10 , 10-Авг-06
    • Помогите!!! Невозможно сконнектиться по 443 порту!!,DEC, 21:12 , 10-Авг-06
      • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 21:25 , 10-Авг-06
        • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 21:43 , 10-Авг-06
          • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 23:06 , 10-Авг-06
            • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 11:14 , 11-Авг-06
              • Помогите!!! Невозможно сконнектиться по 443 порту!!,DEC, 11:28 , 11-Авг-06
                • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 11:37 , 11-Авг-06
                  • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 14:05 , 11-Авг-06
                    • Помогите!!! Невозможно сконнектиться по 443 порту!!,DEC, 15:05 , 11-Авг-06
                      • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 15:40 , 11-Авг-06
                        • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 15:18 , 12-Авг-06
                          • Помогите!!! Невозможно сконнектиться по 443 порту!!,DEC, 19:24 , 12-Авг-06
                          • Помогите!!! Невозможно сконнектиться по 443 порту!!,ffoton, 21:08 , 12-Авг-06
                            • Помогите!!! Невозможно сконнектиться по 443 порту!!,LordBayne, 01:56 , 13-Авг-06
• Помогите!!! Невозможно сконнектиться по 443 порту!!,Akmal, 16:51 , 17-Авг-06

>Разьясню ситуацию. Стоит squid+iptables на серваке!

Обнулить можно командами

iptables -F
iptables -t nat -F

По самой проблеме - на первый взгляд все ОК
Должно работать
Приведи вывод iptables -nL и iptables -t nat -nL

>>Разьясню ситуацию. Стоит squid+iptables на серваке!
>
>Обнулить можно командами
>
>iptables -F
>iptables -t nat -F
>
>По самой проблеме - на первый взгляд все ОК
>Должно работать
>Приведи вывод iptables -nL и iptables -t nat -nL

Мне кажется, что беда в DNS. При запуске системы squid не запускается, так DNS tests failed!!! Пытался также пустить весь траффик в обход, отрубив Squid - все равно дрянь какая-то не пускает, даже Инет при этом не работает!

>>>Разьясню ситуацию. Стоит squid+iptables на серваке!
>>
>>Обнулить можно командами
>>
>>iptables -F
>>iptables -t nat -F
>>
>>По самой проблеме - на первый взгляд все ОК
>>Должно работать
>>Приведи вывод iptables -nL и iptables -t nat -nL
>
>
>Мне кажется, что беда в DNS. При запуске системы squid не запускается,
>так DNS tests failed!!! Пытался также пустить весь траффик в обход,
>отрубив Squid - все равно дрянь какая-то не пускает, даже Инет
>при этом не работает!

А может, с IPtables глюк???

Что значит грохнулись iptables? Каким образом? Ядро пересобирал перед этим? Или модули...

>Что значит грохнулись iptables? Каким образом? Ядро пересобирал перед этим? Или модули...
>
Нет не пересобирал! Просто меняли провайдера, прописал новые параметры сетевые. Работало все замечательно, пока не случился какой глюк с IPTables при запуске системы  Восстановил из резервной копии, и все равно творится такое. Как же напрямую пустит трафф по 443-му порту в обход прокси? IPTables этого сделать не дает

>>Что значит грохнулись iptables? Каким образом? Ядро пересобирал перед этим? Или модули...
>>
> Нет не пересобирал! Просто меняли провайдера, прописал новые параметры сетевые. Работало
>все замечательно, пока не случился какой глюк с IPTables при запуске
>системы  Восстановил из резервной копии, и все равно творится такое.
>Как же напрямую пустит трафф по 443-му порту в обход прокси?
>IPTables этого сделать не дает

Еще вспомнил!!! Вся эта фигня началась, когда вбил следующее:

iptables -N block
iptables -A block -m state --state ESTABLISHED
iptables -A block -j DROP

Так вот, проконсультируйте уважаемые знатоки IPTables, что же я сделал не так. Я в этом не сильно силен, все по руководству делал

>>>Что значит грохнулись iptables? Каким образом? Ядро пересобирал перед этим? Или модули...
>>>
>> Нет не пересобирал! Просто меняли провайдера, прописал новые параметры сетевые. Работало
>>все замечательно, пока не случился какой глюк с IPTables при запуске
>>системы  Восстановил из резервной копии, и все равно творится такое.
>>Как же напрямую пустит трафф по 443-му порту в обход прокси?
>>IPTables этого сделать не дает
>
>Еще вспомнил!!! Вся эта фигня началась, когда вбил следующее:
>
>iptables -N block
>iptables -A block -m state --state ESTABLISHED
>iptables -A block -j DROP
>
>Так вот, проконсультируйте уважаемые знатоки IPTables, что же я сделал не так.
>Я в этом не сильно силен, все по руководству делал

Простите, за тупые вопросы, но это очень серьезно!!! Помогите, пожалуйста!!! Почему же траффик по 443-му не идет??? :'-(

>>>>Что значит грохнулись iptables? Каким образом? Ядро пересобирал перед этим? Или модули...
>>>>
>>> Нет не пересобирал! Просто меняли провайдера, прописал новые параметры сетевые. Работало
>>>все замечательно, пока не случился какой глюк с IPTables при запуске
>>>системы  Восстановил из резервной копии, и все равно творится такое.
>>>Как же напрямую пустит трафф по 443-му порту в обход прокси?
>>>IPTables этого сделать не дает
>>
>>Еще вспомнил!!! Вся эта фигня началась, когда вбил следующее:
>>
>>iptables -N block
>>iptables -A block -m state --state ESTABLISHED
>>iptables -A block -j DROP
>>
>>Так вот, проконсультируйте уважаемые знатоки IPTables, что же я сделал не так.
>>Я в этом не сильно силен, все по руководству делал
>
>Простите, за тупые вопросы, но это очень серьезно!!! Помогите, пожалуйста!!! Почему же
>траффик по 443-му не идет??? :'-(

Тогда, если не можете ответить, объясните бедному ламеру: как открыть соединения в iptables напрямую к шлюзу. Мануалы читать времени нет и там все непонятно!

И что я еще заметил: есть три подсетки 192.168.24.100 192.168.75.100 192.168.100.100. Так вот почему-то на первых машинах всех трех подсеток, например 192.168.100.101 SSL соединение и по всем протоколам есть, а на остальных нету?

Кто-нибуть может объяснить?

проверяй всй что можно проверить: маршрутизацию, форвардинг, привязку по мак адресам, отруби в iptables все правила которые не знаешь что делают(тока забакапь то что есть), посмотри tcpdump-ом траффик от компов на всех интерфейсах приходит ли что-нить от них на роутер, уходит ли с ынешнего интерфейса, срабатыает ли НАТ или они фейками наружу выходят....

>проверяй всй что можно проверить: маршрутизацию, форвардинг, привязку по мак адресам, отруби
>в iptables все правила которые не знаешь что делают(тока забакапь то
>что есть), посмотри tcpdump-ом траффик от компов на всех интерфейсах приходит
>ли что-нить от них на роутер, уходит ли с ынешнего интерфейса,
>срабатыает ли НАТ или они фейками наружу выходят....

Все проверил, вроде бы все в порядке, но роутинга по 443-му нет :-( Запросы от клиентских машинах по 80 и 3128 порту приходят. Может, дело в NAT. Что именно там проверить? Можно поподробней?

>>проверяй всй что можно проверить: маршрутизацию, форвардинг, привязку по мак адресам, отруби
>>в iptables все правила которые не знаешь что делают(тока забакапь то
>>что есть), посмотри tcpdump-ом траффик от компов на всех интерфейсах приходит
>>ли что-нить от них на роутер, уходит ли с ынешнего интерфейса,
>>срабатыает ли НАТ или они фейками наружу выходят....
>
>
>Все проверил, вроде бы все в порядке, но роутинга по 443-му нет
>:-( Запросы от клиентских машинах по 80 и 3128 порту приходят.
>Может, дело в NAT. Что именно там проверить? Можно поподробней?

Теперь вопрос: как настроить форвардинг через IPTables по порту 443. Просто настроил соединение по SSL через Squid, через IE все замечательно работает, но при попытке соединиться банк-клиентом, который использует библиотеки IE, выдается сообщение Forwarding Denied. Думаю, причина в IPTables. Опишите плиз поподробнее как это сделать! Это срочно!!!

>при попытке соединиться банк-клиентом, который использует библиотеки IE, выдается сообщение Forwarding
>Denied. Думаю, причина в IPTables. Опишите плиз поподробнее как это сделать!

кем выдаётся? банком? сквидом?

>>при попытке соединиться банк-клиентом, который использует библиотеки IE, выдается сообщение Forwarding
>>Denied. Думаю, причина в IPTables. Опишите плиз поподробнее как это сделать!
>
>кем выдаётся? банком? сквидом?

Именно squid

>>>при попытке соединиться банк-клиентом, который использует библиотеки IE, выдается сообщение Forwarding
>>>Denied. Думаю, причина в IPTables. Опишите плиз поподробнее как это сделать!
>>
>>кем выдаётся? банком? сквидом?
>
>
>Именно squid

Cорри, это выдает именно Банк-Клиент при попытке соединения. Как заставить это работать?

пытайся анализировать траффик без этого сложно что-то сказать

слушай, а у тебя на шлюзе вообще маршрутизация включена?

>слушай, а у тебя на шлюзе вообще маршрутизация включена?

Да, включена!

Во первых, в том конфиге которую ты поставил я не видел FORWARD. Какая политика установлена по умолчанию:
$IPTABLES -P FORWARD DROP (у меня так)
Во вторых, чтобы если по умолчанию стоит дроп, то надо сделать accept по порту, т.е.
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT
или для определенных пользователей:
$IPTABLES -A FORWARD -s xxx.xxx.xxx.xxx -p tcp --dport 443 -j ACCEPT

Если я тебя правильно понял, то все должно сработать.