Добрый день.Снова спрошу о причинах возникновения сообщения о недопустимом адресе.
kernel: martian source 10.10.10.2 from 10.10.10.2, on dev eth0
May 5 19:26:31 optixy kernel: ll header: 00:20:18:a1:af:1b:00:19:5b:c7:19:01:08:00Сервер сети + squid для пользователе - Mandriva 2008, стоит за маршрутизатором (ADSL, - D-Link-2640). сетевая карта в сервере одна = 10.10.10.2. На маршрутизаторе поднят NAT, firewall и настроены VirtualServers для проброса входящих снаружи запросов WWW, Webmin, FTP и SSH (tcp:80, :10000, :20/21 и :22)
Так вот WWW и Webmin пробрасываются на сервер, а ftp и ssh выдают "марсианский" адрес источника (адрес самого сервера).
Кроме того, на сервере ftp/ssh localhost или ftp/ssh hostname работает, а ftp/ssh <наружный-адрес-тырнета> опять же выдает марсинский адрес.
Моск сломал уже, не могу понять, чем www лучше ssh в этом плане.
Мож кто идею подкинет ?
С уважением
Альпинский.
[root@s ~]# find /proc/ -name log_martians
/proc/sys/net/ipv4/conf/eth0/log_martians
/proc/sys/net/ipv4/conf/lo/log_martians
/proc/sys/net/ipv4/conf/default/log_martians
/proc/sys/net/ipv4/conf/all/log_martians
[root@s ~]# grep log_martians /etc/sysctl.conf
net.ipv4.conf.all.log_martians=1
[root@s ~]#Это относится к `man 3 mseclib` и `man msec`
Отключите enable_log_strange_packets в /etc/security/msec/level.localecho "enable_log_strange_packets(0)" >> /etc/security/msec/level.local
Дык мне бы не сообщения отключить, а чтоб вход по ssh заработал...
iptables -L -nvx
iptables -t nat -L -nvx
iptables -t mangle -L -nvxпокажите вывод
>iptables -L -nvxChain INPUT (policy ACCEPT 708856 packets, 223620456 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 udp dpts:8000:8999
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:8000:8999
0 0 ACCEPT udp -- nas_0_88 * 10.10.10.0/24 0.0.0.0/0 udp dpt:30006
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:30005
0 0 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 udp dpts:7070:7079
0 0 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060
657 34777 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
61 3332 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
179 6530 ACCEPT icmp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 icmp type 8
14197 1710381 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
6514 1805170 ACCEPT all -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1863:1864
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4443
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5566
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:40000:40099
169 8124 LOG tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix `Intrusion -> '
8469 3476632 DROP all -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0Chain FORWARD (policy ACCEPT 815374 packets, 127624082 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- br0 * 0.0.0.0/0 239.255.255.250
152 18234 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 udp dpts:8000:8999
92 3848 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:8000:8999
0 0 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 10.10.10.2 udp dpt:23
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 10.10.10.2 tcp dpt:23
0 0 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 10.10.10.2 udp dpt:22
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 10.10.10.2 tcp dpt:22
0 0 DROP all -- br0 * 0.0.0.0/0 239.255.255.250
182 17268 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 10.10.10.92 udp dpt:8917
31 1974 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 10.10.10.92 tcp dpt:8917
427 46970 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 10.10.10.14 udp dpt:62488
7 344 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 10.10.10.14 tcp dpt:62488
0 0 ACCEPT udp -- nas_0_88 * 10.10.10.0/24 0.0.0.0/0 udp dpt:30006
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:30005
0 0 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 10.10.10.1 tcp dpt:80
3117 382043 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 10.10.10.2 tcp dpt:10000
0 0 ACCEPT udp -- nas_0_88 * 0.0.0.0/0 10.10.10.2 udp dpt:80
692 68275 ACCEPT tcp -- nas_0_88 * 0.0.0.0/0 10.10.10.2 tcp dpt:80
0 0 DROP all -- br0 * 0.0.0.0/0 239.255.255.250
0 0 DROP all -- br0 * 0.0.0.0/0 239.255.255.250
0 0 DROP all -- br0 * 0.0.0.0/0 239.255.255.250
0 0 DROP all -- br0 * 0.0.0.0/0 239.255.255.250
0 0 DROP all -- br0 * 0.0.0.0/0 224.0.0.22
8952 429696 DROP tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 source IP range 10.10.10.11-10.10.10.99 tcp dpt:80
0 0 DROP tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 source IP range 10.10.10.11-10.10.10.99 tcp dpt:80
222284 232926196 ACCEPT all -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 6/hour burst 5 LOG flags 0 level 1 prefix `Intrusion -> '
0 0 DROP all -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0Chain OUTPUT (policy ACCEPT 644927 packets, 213235634 bytes)
pkts bytes target prot opt in out source destination>iptables -t nat -L -nvx
Chain PREROUTING (policy ACCEPT 561457 packets, 54262986 bytes)
pkts bytes target prot opt in out source destination
118 6590 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190 redir ports 5190
32 1533 REDIRECT tcp -- br0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863 redir ports 1863
77 3708 DNAT tcp -- * * 0.0.0.0/0 212.44.82.134 tcp dpt:8080 to:10.10.10.2:80
0 0 DNAT udp -- * * 0.0.0.0/0 212.44.82.134 udp dpt:8080 to:10.10.10.2:80
169 8364 DNAT tcp -- * * 0.0.0.0/0 212.44.82.134 tcp dpt:10000 to:10.10.10.2
333 16800 DNAT tcp -- * * 0.0.0.0/0 212.44.82.134 tcp dpt:8001 to:10.10.10.1:80
0 0 REDIRECT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 redir ports 80
0 0 REDIRECT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 redir ports 22
0 0 REDIRECT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2323 redir ports 23
0 0 REDIRECT udp -- br0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 redir ports 5060
1 44 DNAT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:62488 to:10.10.10.14:62488-0
142 15499 DNAT udp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 udp dpt:62488 to:10.10.10.14:62488-0
101 4184 DNAT tcp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8917 to:10.10.10.92:8917-0
66 7411 DNAT udp -- nas_0_88 * 0.0.0.0/0 0.0.0.0/0 udp dpt:8917 to:10.10.10.92:8917-0
22 1399 DNAT udp -- br0 * 0.0.0.0/0 10.10.10.1 udp dpt:53 to:212.44.64.6
1 60 DNAT tcp -- * * 0.0.0.0/0 212.44.82.134 tcp dpt:8022 to:10.10.10.2:22
0 0 DNAT udp -- * * 0.0.0.0/0 212.44.82.134 udp dpt:8022 to:10.10.10.2:22
0 0 REDIRECT tcp -- * * 0.0.0.0/0 212.44.82.134 tcp dpt:8080 redir ports 80
0 0 DNAT tcp -- * * 0.0.0.0/0 212.44.82.134 tcp dpt:8023 to:10.10.10.2:23
0 0 DNAT udp -- * * 0.0.0.0/0 212.44.82.134 udp dpt:8023 to:10.10.10.2:23
0 0 REDIRECT tcp -- * * 0.0.0.0/0 212.44.82.134 tcp dpt:8080 redir ports 80
0 0 DNAT udp -- br0 * 0.0.0.0/0 10.10.10.1 udp dpt:53 to:212.44.64.6Chain POSTROUTING (policy ACCEPT 11459 packets, 775259 bytes)
pkts bytes target prot opt in out source destination
10597 747936 MASQUERADE all -- * nas_0_88 10.10.10.0/24 0.0.0.0/0Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
>iptables -t mangle -L -nvxChain PREROUTING (policy ACCEPT 2844925 packets, 947924175 bytes)
pkts bytes target prot opt in out source destinationChain INPUT (policy ACCEPT 835269 packets, 265040929 bytes)
pkts bytes target prot opt in out source destinationChain FORWARD (policy ACCEPT 1641648 packets, 643806441 bytes)
pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 645011 packets, 213256392 bytes)
pkts bytes target prot opt in out source destinationChain POSTROUTING (policy ACCEPT 2280169 packets, 857548584 bytes)
pkts bytes target prot opt in out source destination