forum.opennet.ru - "Прошу помощи с firewall" (37)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Прошу помощи с firewall"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прошу помощи с firewall"	+/–
Сообщение от bsm (??) on 04-Апр-14, 12:57
Здравствуйте. Имею- enp2s4: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.0.12 netmask 255.255.255.0 broadcast 0.0.0.0 inet6 fe80::2c0:26ff:fea8:c9f0 prefixlen 64 scopeid 0x20<link> ether 00:c0:26:a8:c9:f0 txqueuelen 1000 (Ethernet) RX packets 24414 bytes 4590768 (4.3 MiB) RX errors 0 dropped 107 overruns 0 frame 0 TX packets 3590 bytes 410470 (400.8 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 .. wlp2s5: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 172.16.249.1 netmask 255.255.255.0 broadcast 172.16.249.255 inet6 fe80::12fe:edff:fe5e:9280 prefixlen 64 scopeid 0x20<link> ether 10:fe:ed:5e:92:80 txqueuelen 1000 (Ethernet) RX packets 326 bytes 25335 (24.7 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 200 bytes 21757 (21.2 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.0.6 0.0.0.0 UG 0 0 0 enp2s4 172.16.249.0 * 255.255.255.0 U 0 0 0 wlp2s5 192.168.0.0 * 255.255.255.0 U 0 0 0 enp2s4 firewall.. Chain INPUT (policy ACCEPT 2997 packets, 972K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- wlp2s5 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * wlp2s5 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 854 packets, 86846 bytes) pkts bytes target prot opt in out source destination Chain PREROUTING (policy ACCEPT 1084 packets, 106K bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 780 packets, 89923 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 136 packets, 8790 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 134 packets, 8622 bytes) pkts bytes target prot opt in out source destination 2 168 SNAT all -- * wlp2s5 0.0.0.0/0 0.0.0.0/0 to:172.16.249.1 При выполнении "ping ya.ru": PING ya.ru (213.180.193.3) 56(84) bytes of data. 64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=1 ttl=56 time=23.7 ms 64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=2 ttl=56 time=24.0 ms 64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=3 ttl=56 time=23.9 ms --- ya.ru ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 23.703/23.907/24.078/0.236 ms При выполнении "ping ya.ru -I wlp2s5": PING ya.ru (93.158.134.3) from 172.16.249.1 wlp2s5: 56(84) bytes of data. From old-server (172.16.249.1) icmp_seq=1 Destination Host Unreachable From old-server (172.16.249.1) icmp_seq=2 Destination Host Unreachable From old-server (172.16.249.1) icmp_seq=3 Destination Host Unreachable --- ya.ru ping statistics --- 3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2008ms pipe 3 При попытке получить ответ от узла, находящегося за шлюзом 192.168.0.6, на запрос с интерфейса wlp2s5, на шлюзе получаю нижеприведенное- tcpdump host 192.168.0.12 -i enp2s0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp2s0, link-type EN10MB (Ethernet), capture size 65535 bytes 09:56:19.589291 IP 192.168.0.12.45043 > myhost06.domain: 19611+ PTR? 1.249.16.172.in-addr.arpa. (44) 09:56:19.589352 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80 09:56:19.589779 IP 192.168.0.12.51202 > 10.10.0.30.domain: 19611+ PTR? 1.249.16.172.in-addr.arpa. (44) 09:56:19.590420 IP 10.10.0.30.domain > 192.168.0.12.51202: 19611 NXDomain 0/1/0 (98) 09:56:19.591182 IP 192.168.0.12.44902 > myhost06.domain: 18046+ PTR? 1.249.16.172.in-addr.arpa. (44) 09:56:19.591217 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80 09:56:19.591799 IP 192.168.0.12.42936 > 10.10.0.30.domain: 18046+ PTR? 1.249.16.172.in-addr.arpa. (44) 09:56:19.592342 IP 10.10.0.30.domain > 192.168.0.12.42936: 18046 NXDomain 0/1/0 (98) 09:56:19.593603 IP 192.168.0.12.33622 > myhost06.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa. (44) 09:56:19.593649 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80 09:56:19.594080 IP 192.168.0.12.56910 > 10.10.0.30.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa. (44) 09:56:19.594600 IP 10.10.0.30.domain > 192.168.0.12.56910: 49352 NXDomain 0/1/0 (98) 09:56:21.588680 ARP, Request who-has myhost06 tell 192.168.0.12, length 46 09:56:21.588697 ARP, Reply myhost06 is-at 00:19:5b:ea:68:e1 (oui Unknown), length 28 09:56:22.599281 IP 192.168.0.12.45649 > myhost06.domain: 1122+ PTR? 1.249.16.172.in-addr.arpa. (44) 09:56:22.599336 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80 .. Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.
Ответить \| Правка \| Cообщить модератору

Оглавление

Прошу помощи с firewall, asavah, 13:18 , 04-Апр-14, (1)

Прошу помощи с firewall, bsm, 13:39 , 04-Апр-14, (2)

Прошу помощи с firewall, reader, 13:56 , 04-Апр-14, (3)

Прошу помощи с firewall, bsm, 14:02 , 04-Апр-14, (4)

Прошу помощи с firewall, asavah, 14:14 , 04-Апр-14, (5)
Прошу помощи с firewall, reader, 14:16 , 04-Апр-14, (6)

Прошу помощи с firewall, bsm, 14:32 , 04-Апр-14, (7)

Прошу помощи с firewall, reader, 14:59 , 04-Апр-14, (9)

Прошу помощи с firewall, bsm, 15:47 , 04-Апр-14, (10)

Прошу помощи с firewall, reader, 16:20 , 04-Апр-14, (11)

Прошу помощи с firewall, reader, 16:30 , 04-Апр-14, (12)

Прошу помощи с firewall, bsm, 16:42 , 04-Апр-14, (16)

Прошу помощи с firewall, reader, 16:48 , 04-Апр-14, (17)

Прошу помощи с firewall, bsm, 16:51 , 04-Апр-14, (18)

Прошу помощи с firewall, reader, 16:54 , 04-Апр-14, (19)
Прошу помощи с firewall, bsm, 16:58 , 04-Апр-14, (20)
Прошу помощи с firewall, bsm, 17:06 , 04-Апр-14, (21)
Прошу помощи с firewall, reader, 17:14 , 04-Апр-14, (23)
Прошу помощи с firewall, bsm, 17:35 , 04-Апр-14, (25)
Прошу помощи с firewall, reader, 17:43 , 04-Апр-14, (26)
Прошу помощи с firewall, bsm, 18:01 , 04-Апр-14, (27)
Прошу помощи с firewall, bsm, 18:21 , 04-Апр-14, (28)
Прошу помощи с firewall, reader, 20:07 , 04-Апр-14, (29)
Прошу помощи с firewall, bsm, 08:38 , 07-Апр-14, (31)
Прошу помощи с firewall, reader, 11:30 , 07-Апр-14, (32)
Прошу помощи с firewall, bsm, 12:08 , 07-Апр-14, (33)
Прошу помощи с firewall, reader, 13:20 , 07-Апр-14, (34)
Прошу помощи с firewall, bsm, 13:21 , 07-Апр-14, (35)
Прошу помощи с firewall, reader, 13:43 , 07-Апр-14, (36)
Прошу помощи с firewall, bsm, 15:57 , 07-Апр-14, (37)

Прошу помощи с firewall, bsm, 16:34 , 04-Апр-14, (13)

Прошу помощи с firewall, bsm, 16:35 , 04-Апр-14, (14)
Прошу помощи с firewall, reader, 16:41 , 04-Апр-14, (15)

Прошу помощи с firewall, bsm, 14:42 , 04-Апр-14, (8)

Прошу помощи с firewall, asavah, 17:09 , 04-Апр-14, (22)

Прошу помощи с firewall, bsm, 17:27 , 04-Апр-14, (24)
Прошу помощи с firewall, Дядя_Федор, 19:32 , 05-Апр-14, (30)

Сообщения по теме [Сортировка по времени | RSS]

1. "Прошу помощи с firewall" +/–

Сообщение от asavah (ok) on 04-Апр-14, 13:18

> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.
Включить forwarding в sysctl не?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 13:39

>> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.
> Включить forwarding в sysctl не?
Включен.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 13:56

>[оверквотинг удален]
> 09:56:19.594080 IP 192.168.0.12.56910 > 10.10.0.30.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa.
> (44)
> 09:56:19.594600 IP 10.10.0.30.domain > 192.168.0.12.56910: 49352 NXDomain 0/1/0 (98)
> 09:56:21.588680 ARP, Request who-has myhost06 tell 192.168.0.12, length 46
> 09:56:21.588697 ARP, Reply myhost06 is-at 00:19:5b:ea:68:e1 (oui Unknown), length 28
> 09:56:22.599281 IP 192.168.0.12.45649 > myhost06.domain: 1122+ PTR? 1.249.16.172.in-addr.arpa.
> (44)
> 09:56:22.599336 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable,
> length 80
> ..
и что тут нужно было увидеть?
на myhost06 нет DNS или вас на него не пустили.
DNS есть на 10.10.0.30
> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.
а 192.168.0.6 что знает о 172.16.249.0
в общем пока выглядит каким-то бредом

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 14:02

> а 192.168.0.6 что знает о 172.16.249.0
> в общем пока выглядит каким-то бредом
Если у Вас имеются рекомендации, я готов их использовать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Прошу помощи с firewall" +/–

Сообщение от asavah (ok) on 04-Апр-14, 14:14

>> а 192.168.0.6 что знает о 172.16.249.0
>> в общем пока выглядит каким-то бредом
> Если у Вас имеются рекомендации, я готов их использовать.
Мля, ping -I на ifname не будет работать если на этом интерфейсе нет маршрута по умолчанию
почему хз
работать будет ping -I ip_on_needed_iface
vlan1102 -> белый, внешний, на нём висит маршрут по умолчанию.
vlan75 -> серый, 192.168.75.9, за натом на 1102
# ping -I vlan1102 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from ... vlan1102: 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=50 time=40.9 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=50 time=68.3 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=50 time=40.7 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 40.748/50.031/68.373/12.972 ms
# ping -I vlan75 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.75.9 vlan75: 56(84) bytes of data.
From 192.168.75.9 icmp_seq=1 Destination Host Unreachable
From 192.168.75.9 icmp_seq=2 Destination Host Unreachable
From 192.168.75.9 icmp_seq=3 Destination Host Unreachable
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3004ms
pipe 3
# ping -I 192.168.75.9 8.8.8.8 <- так работает падла.
PING 8.8.8.8 (8.8.8.8) from 192.168.75.9 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=50 time=40.8 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=50 time=40.6 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 40.650/40.731/40.813/0.217 ms

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 14:16

>> а 192.168.0.6 что знает о 172.16.249.0
>> в общем пока выглядит каким-то бредом
> Если у Вас имеются рекомендации, я готов их использовать.
Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний, потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6 при том что есть 192.168.0.12 выглядит непонятным

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 14:32

> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний,
> потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6
> при том что есть 192.168.0.12 выглядит непонятным
Если я не указываю какой интерфейс использую для выхода во внешнюю, за шлюз, сеть, то используется интерфейс epn2s4,- это проводное соединение. Всё работает. Интерфейс wlp2s5 - программная точка доступа и через неё необходим выход во внешние сети. С внешнего wi-fi устройства я имею доступ к программной точке доступа, но не далее шлюза. Как добиться работы на интерфейсе wlp2s5, подобно интерфейсу enp2s4,- для меня, пока, не понятно. Сам разобраться не могу, поэтому и обращаюсь к сообществу.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 14:59

>> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний,
>> потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6
>> при том что есть 192.168.0.12 выглядит непонятным
> Если я не указываю какой интерфейс использую для выхода во внешнюю, за
> шлюз, сеть, то используется интерфейс epn2s4,- это проводное соединение. Всё работает.
> Интерфейс wlp2s5 - программная точка доступа и через неё необходим выход
> во внешние сети. С внешнего wi-fi устройства я имею доступ к
> программной точке доступа, но не далее шлюза. Как добиться работы на
> интерфейсе wlp2s5, подобно интерфейсу enp2s4,- для меня, пока, не понятно. Сам
> разобраться не могу, поэтому и обращаюсь к сообществу.
если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера
если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5 пакета не будет

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 15:47

> если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера
> если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет
> с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5
> пакета не будет
Интерфейсы enp2s4 и wlp2s5 находятся на одном системном блоке. Внешний wi-fi - планшет. Если я с планшета пингую 192.168.0.12 (ip enp2s4), 172.16.249.1 (ip wlp2s5), 192.168.0.6 (ip шлюза)- ответ я получаю. При попытке пинговать, что-либо находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу в tcpdump, попытке резолвить ip с которого выполняется ping, в данном случае с 172.16.249.3 (ip планшета).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 16:20

>> если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера
>> если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет
>> с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5
>> пакета не будет
> Интерфейсы enp2s4 и wlp2s5 находятся на одном системном блоке. Внешний wi-fi -
> планшет. Если я с планшета пингую 192.168.0.12 (ip enp2s4), 172.16.249.1 (ip
> wlp2s5), 192.168.0.6 (ip шлюза)- ответ я получаю. При попытке пинговать, что-либо
> находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу
> в tcpdump, попытке резолвить ip с которого выполняется ping, в данном
> случае с 172.16.249.3 (ip планшета).
значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
а forward от/к 172.16.249.0 на шлюзе разрешен?
на 172.16.249.3 шлюзом 172.16.249.1 указан?
DNS на 172.16.249.3 прописан?
tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс, то отдельно с внутреннего и внешнего интерфейса
и обращаетесь с планшета в инет

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 16:30

>[оверквотинг удален]
>> находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу
>> в tcpdump, попытке резолвить ip с которого выполняется ping, в данном
>> случае с 172.16.249.3 (ip планшета).
> значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
> а forward от/к 172.16.249.0 на шлюзе разрешен?
> на 172.16.249.3 шлюзом 172.16.249.1 указан?
> DNS на 172.16.249.3 прописан?
> tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс,
> то отдельно с внутреннего и внешнего интерфейса
> и обращаетесь с планшета в инет
и snat уберите
2   168 SNAT       all  --  *      wlp2s5  0.0.0.0/0            0.0.0.0/0            to:172.16.249.1

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 16:42

Состояние firewall-
firewall..
Chain INPUT (policy ACCEPT 3634 packets, 568K bytes)
pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 365 packets, 27720 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 1046 packets, 135K bytes)
pkts bytes target     prot opt in     out     source               destination
Chain PREROUTING (policy ACCEPT 183 packets, 19386 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain INPUT (policy ACCEPT 134 packets, 16497 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 27 packets, 1848 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain POSTROUTING (policy ACCEPT 1 packets, 84 bytes)
pkts bytes target     prot opt in     out     source               destination
   53  3333 SNAT       all  --  *      enp2s4  0.0.0.0/0            0.0.0.0/0            to:192.168.0.12
ping с планшета на шлюз (192.168.0.6) и внешние узлы, если указать их адрес, идёт. Но при указании имени внешнего узла- ping не проходит.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 16:48

>[оверквотинг удален]
>    out     source
>
>  destination
>    53  3333 SNAT
>  all  --  *
> enp2s4  0.0.0.0/0
>    0.0.0.0/0
>     to:192.168.0.12
> ping с планшета на шлюз (192.168.0.6) и внешние узлы, если указать их
> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
ну так DNS пропишите

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 16:51

>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
> ну так DNS пропишите
Как это сделать на androide я не знаю.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 16:54

>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
>> ну так DNS пропишите
> Как это сделать на androide я не знаю.
там дополнительные настройки для подключения должны быть, там ручками все прописываете

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 16:58

>>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
>>> ну так DNS пропишите
>> Как это сделать на androide я не знаю.
> там дополнительные настройки для подключения должны быть, там ручками все прописываете
Сейчас попробую.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 17:06

>>>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
>>>> ну так DNS пропишите
>>> Как это сделать на androide я не знаю.
>> там дополнительные настройки для подключения должны быть, там ручками все прописываете
Не нашёл. Но при запросе из браузера планшета узла google.ru tcpdump на шлюзе показал:
[root@myhost06 bsm]# tcpdump host 192.168.0.12 -i enp2s0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:02:08.840973 IP 192.168.0.12.citrixima > myhost06.domain: 10403+ A? www.google.ru. (31)
16:02:08.841029 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.846629 IP 192.168.0.12.32299 > myhost06.domain: 10403+ A? www.google.ru. (31)
16:02:08.846663 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.850171 IP 192.168.0.12.35610 > myhost06.domain: 35650+ A? www.google.ru. (31)
16:02:08.850212 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.852806 IP 192.168.0.12.57182 > myhost06.domain: 35650+ A? www.google.ru. (31)
16:02:08.852849 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.861031 IP 192.168.0.12.16138 > myhost06.domain: 5716+ A? www.google.ru. (31)
16:02:08.861074 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.863149 IP 192.168.0.12.21919 > myhost06.domain: 5716+ A? www.google.ru. (31)
16:02:08.863189 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.866280 IP 192.168.0.12.14506 > myhost06.domain: 48707+ A? www.google.ru. (31)
16:02:13.870427 IP 192.168.0.12.14506 > myhost06.domain: 48707+ A? www.google.ru. (31)
16:02:13.870500 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:18.875896 ARP, Request who-has 192.168.0.12 tell myhost06, length 28
16:02:18.876045 ARP, Reply 192.168.0.12 is-at 00:c0:26:a8:c9:f0 (oui Unknown), length 46
^C
17 packets captured
17 packets received by filter
0 packets dropped by kernel
Быть может это прояснит ситуацию?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 17:14

>[оверквотинг удален]
> 16:02:13.870500 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable,
> length 67
> 16:02:18.875896 ARP, Request who-has 192.168.0.12 tell myhost06, length 28
> 16:02:18.876045 ARP, Reply 192.168.0.12 is-at 00:c0:26:a8:c9:f0 (oui Unknown), length
> 46
> ^C
> 17 packets captured
> 17 packets received by filter
> 0 packets dropped by kernel
> Быть может это прояснит ситуацию?
myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно было
если ваш шлюз, поднимите на нем кеширующий DNS

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 04-Апр-14, 17:35

> myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно
> было
> если ваш шлюз, поднимите на нем кеширующий DNS
Это шлюз, DNS для него находится в сети провайдера на 10.10.0.30

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 17:43

>> myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно
>> было
>> если ваш шлюз, поднимите на нем кеширующий DNS
> Это шлюз, DNS для него находится в сети провайдера на 10.10.0.30
но планшет обращается к шлюзу за разрешением имени
tcpdump на wlp2s5 смотрите
после
53  3333 SNAT       all  --  *      enp2s4  0.0.0.0/0            0.0.0.0/0            to:192.168.0.12
шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12.
поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24.
а на 192.168.0.12 что DNS ?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 04-Апр-14, 18:01

> tcpdump на wlp2s5 смотрите
При шлюза с планшета-
[root@old-server adapter]# tcpdump -i wlp2s5 -nv
tcpdump: listening on wlp2s5, link-type EN10MB (Ethernet), capture size 65535 bytes
16:58:15.790277 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 354)
    172.16.249.3.68 > 172.16.249.1.67: BOOTP/DHCP, Request from 00:3a:05:a1:fa:75, length 326, xid 0xd2913cd0, secs 290, Flags [none]
      Client-IP 172.16.249.3
      Client-Ethernet-Address 00:3a:05:a1:fa:75
      Vendor-rfc1048 Extensions
        Magic Cookie 0x63825363
        DHCP-Message Option 53, length 1: Request
        MSZ Option 57, length 2: 1500
        Vendor-Class Option 60, length 39: "dhcpcd-5.2.10:Linux-3.0.8+:armv7l:sun5i"
        Hostname Option 12, length 24: "android-27547da37548c169"
        Parameter-Request Option 55, length 9:
          Subnet-Mask, Static-Route, Default-Gateway, Domain-Name-Server
          Domain-Name, BR, Lease-Time, RN
          RB
16:58:15.829317 IP (tos 0x0, ttl 64, id 21152, offset 0, flags [DF], proto UDP (17), length 328)
    172.16.249.1.67 > 172.16.249.3.68: BOOTP/DHCP, Reply, length 300, xid 0xd2913cd0, secs 290, Flags [none]
      Client-IP 172.16.249.3
      Your-IP 172.16.249.3
      Client-Ethernet-Address 00:3a:05:a1:fa:75
      Vendor-rfc1048 Extensions
        Magic Cookie 0x63825363
        DHCP-Message Option 53, length 1: ACK
        Server-ID Option 54, length 4: 172.16.249.1
        Lease-Time Option 51, length 4: 600
        Subnet-Mask Option 1, length 4: 255.255.255.0
        Default-Gateway Option 3, length 4: 172.16.249.1
        Domain-Name-Server Option 6, length 4: 192.168.0.6
        Domain-Name Option 15, length 15: "bsm_TestHostapd"
        BR Option 28, length 4: 172.16.249.255
16:58:20.315136 EAPOL key (3) v2, len 143
16:58:20.345382 EAPOL key (3) v1, len 95
16:58:36.770420 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 1, length 64
16:58:36.770751 IP (tos 0x0, ttl 63, id 57756, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 1, length 64
16:58:37.773170 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 2, length 64
16:58:37.773490 IP (tos 0x0, ttl 63, id 57757, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 2, length 64
16:58:38.773465 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 3, length 64
16:58:38.773792 IP (tos 0x0, ttl 63, id 57758, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 3, length 64
16:58:41.774241 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.3 tell 172.16.249.1, length 28
16:58:41.847806 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.3 is-at 00:3a:05:a1:fa:75, length 28
16:59:09.852753 IP (tos 0x0, ttl 64, id 7323, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.20023 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.853085 IP (tos 0xc0, ttl 63, id 57759, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7323, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.20023 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.860916 IP (tos 0x0, ttl 64, id 7324, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.44856 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.861212 IP (tos 0xc0, ttl 63, id 57760, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7324, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.44856 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.869265 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.3379 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.869550 IP (tos 0xc0, ttl 63, id 57761, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.3379 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.871797 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.14604 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.872092 IP (tos 0xc0, ttl 63, id 57762, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.14604 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.874138 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.61203 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.874424 IP (tos 0xc0, ttl 63, id 57763, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.61203 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.876147 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7269 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.876432 IP (tos 0xc0, ttl 63, id 57764, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7269 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.878399 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23)
16:59:14.867572 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.3 tell 172.16.249.1, length 28
16:59:14.883434 IP (tos 0x0, ttl 64, id 7326, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23)
16:59:14.883756 IP (tos 0xc0, ttl 63, id 57765, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7326, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23)
16:59:14.886158 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.3 is-at 00:3a:05:a1:fa:75, length 28
16:59:14.886219 IP (tos 0x0, ttl 64, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7252 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.886494 IP (tos 0xc0, ttl 63, id 57766, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7252 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.887964 IP (tos 0x0, ttl 64, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35554 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.888244 IP (tos 0xc0, ttl 63, id 57767, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35554 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.889848 IP (tos 0x0, ttl 64, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35667 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:14.890138 IP (tos 0xc0, ttl 63, id 57768, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35667 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:14.891616 IP (tos 0x0, ttl 64, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.19908 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:14.891902 IP (tos 0xc0, ttl 63, id 57769, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.19908 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:21.266517 IP (tos 0x0, ttl 64, id 8464, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.16623 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.266845 IP (tos 0xc0, ttl 63, id 57770, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8464, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.16623 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.269835 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.20943 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.270127 IP (tos 0xc0, ttl 63, id 57771, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.20943 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.271667 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.5821 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.271981 IP (tos 0xc0, ttl 63, id 57772, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.5821 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.273423 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.32916 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.273726 IP (tos 0xc0, ttl 63, id 57773, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.32916 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.276173 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.38982 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.276472 IP (tos 0xc0, ttl 63, id 57774, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.38982 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.278065 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.47614 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.278352 IP (tos 0xc0, ttl 63, id 57775, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.47614 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.279917 IP (tos 0x0, ttl 64, id 8466, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
16:59:26.268964 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.1 tell 172.16.249.3, length 28
16:59:26.269022 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.1 is-at 10:fe:ed:5e:92:80, length 28
16:59:26.298231 IP (tos 0x0, ttl 64, id 8467, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
16:59:26.298544 IP (tos 0xc0, ttl 63, id 57776, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8467, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
^C
54 packets captured
54 packets received by filter
0 packets dropped by kernel
[root@old-server adapter]#
> после
>  53  3333 SNAT       all
>  --  *      enp2s4
> 0.0.0.0/0
>  0.0.0.0/0
>   to:192.168.0.12
Сейчас так и выполняется.
> шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12.
> поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24.
> а на 192.168.0.12 что DNS ?
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.6     0.0.0.0         UG    0      0        0 enp2s4
172.16.249.0    0.0.0.0         255.255.255.0   U     0      0        0 wlp2s5
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 enp2s4

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 04-Апр-14, 18:21

Спасибо всем принимавшим участие в обсуждении темы. На сегодня всё. Появлюсь в понедельник.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 20:07

>[оверквотинг удален]
> Domain-Name-Server Option 6, length 4: 192.168.0.6
планшету выдали dns
> 16:59:21.279917 IP (tos 0x0, ttl 64, id 8466, offset 0, flags [DF],
> proto UDP (17), length 65)
>     172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
> 16:59:26.268964 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.1 tell
> 172.16.249.3, length 28
> 16:59:26.269022 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.1 is-at 10:fe:ed:5e:92:80,
> length 28
> 16:59:26.298231 IP (tos 0x0, ttl 64, id 8467, offset 0, flags [DF],
> proto UDP (17), length 65)
>     172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
об чем и речь, 172.16.249.3 считает что dns на 192.168.0.6
> 16:59:26.298544 IP (tos 0xc0, ttl 63, id 57776, offset 0, flags [none],
> proto ICMP (1), length 93)
>     192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53
> unreachable, length 73
>  IP (tos 0x0, ttl 63, id 8467, offset 0, flags [DF],
> proto UDP (17), length 65)
а в ответ - болт, так как порт 53 там никто не слушает

>[оверквотинг удален]
>> после
>>  53  3333 SNAT       all
>>  --  *      enp2s4
>> 0.0.0.0/0
>>  0.0.0.0/0
>>   to:192.168.0.12
> Сейчас так и выполняется.
>> шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12.
>> поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24.
>> а на 192.168.0.12 что DNS ?
зачем таблица маршрутизации?
если по ip работает, то с маршрутизацией нормально все.
какой адрес DNS сервера прописан?
cat /etc/resolv.conf или где вы его там прописывали.
и смотрите чего по настаивали в этой софтине, что точку делает.
DHCP поднимали для выдачи адресов?
>[оверквотинг удален]
> UG    0      0
>        0 enp2s4
> 172.16.249.0    0.0.0.0
>  255.255.255.0   U     0
>     0
>  0 wlp2s5
> 192.168.0.0     0.0.0.0
>   255.255.255.0   U     0
>      0
>   0 enp2s4

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 07-Апр-14, 08:38

> а в ответ - болт, так как порт 53 там никто не
> слушает
А как же слушаются запросы с 192.168.0.12 (интерфейс enp2s4)?
> какой адрес DNS сервера прописан?
> cat /etc/resolv.conf или где вы его там прописывали.
[root@old-server ~]# cat /etc/resolv.conf
# Пн апр  7 07:31:05 EEST 2014
nameserver 192.168.0.6
nameserver 10.10.0.30

> и смотрите чего по настаивали в этой софтине, что точку делает.
> DHCP поднимали для выдачи адресов?
ddns-update-style none;
option domain-name bsm_TestHostapd;
option domain-name-servers 192.168.0.6 ;
subnet 172.16.249.0 netmask 255.255.255.0 {
    option routers 172.16.249.1;
    range 172.16.249.2 172.16.249.14;
    option broadcast-address 172.16.249.255;
    default-lease-time 600;
    max-lease-time 7200;
    log-facility local7;
}
Иначе как я получу адрес для планшета?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 07-Апр-14, 11:30

>> а в ответ - болт, так как порт 53 там никто не
>> слушает
> А как же слушаются запросы с 192.168.0.12 (интерфейс enp2s4)?
>> какой адрес DNS сервера прописан?
>> cat /etc/resolv.conf или где вы его там прописывали.
> [root@old-server ~]# cat /etc/resolv.conf
> # Пн апр  7 07:31:05 EEST 2014
> nameserver 192.168.0.6
> nameserver 10.10.0.30
это с 192.168.0.12? тут 2 ip DNS, на 192.168.0.6 вы не поднимали DNS и соответственно ответов от DNS на 192.168.0.6 не получите, но есть 10.10.0.30 с него ответ приходит
>> и смотрите чего по настаивали в этой софтине, что точку делает.
>> DHCP поднимали для выдачи адресов?
> ddns-update-style none;
> option domain-name bsm_TestHostapd;
> option domain-name-servers 192.168.0.6 ;
вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет
потом когда на 192.168.0.6 поднимите DNS , если захотите, тогда укажите его или оба
> subnet 172.16.249.0 netmask 255.255.255.0 {
>     option routers 172.16.249.1;
>     range 172.16.249.2 172.16.249.14;
>     option broadcast-address 172.16.249.255;
>     default-lease-time 600;
>     max-lease-time 7200;
>     log-facility local7;
> }
> Иначе как я получу адрес для планшета?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 07-Апр-14, 12:08

> это с 192.168.0.12? тут 2 ip DNS, на 192.168.0.6 вы не поднимали
> DNS и соответственно ответов от DNS на 192.168.0.6 не получите, но
> есть 10.10.0.30 с него ответ приходит
route на 192.168.0.6:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 ppp0
10.0.0.0        10.10.1.1       255.0.0.0       UG    0      0        0 enp2s2
10.10.0.18      10.10.1.1       255.255.255.255 UGH   0      0        0 enp2s2
10.10.1.0       *               255.255.255.0   U     0      0        0 enp2s2
172.16.249.0    *               255.255.255.0   U     0      0        0 enp2s0
192.162.116.1   *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     0      0        0 enp2s0
cat /etc/resolv.conf на 192.168.0.6:
# Generated by resolvconf
nameserver 10.10.0.30
Если не использовать программную точку доступа 172.16.249.1 (wlp2s5), а работать лишь через 192.168.0.12 (enp2s4), то всё работает; при этом в firewall на 192.168.0.6 прописаны правила для узла с ip 192.168.0.12 и для сети 172.16.249.0/24, как для адреса 192.168.0.12.
> вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет
Сейчас попробую.
Попробовал- на шлюзе 192.168.0.6, при пинговании с интерфейса wlp2s5 выполняется попытка отрезолвить адрес программной точки доступа.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 07-Апр-14, 13:20

>[оверквотинг удален]
> # Generated by resolvconf
> nameserver 10.10.0.30
> Если не использовать программную точку доступа 172.16.249.1 (wlp2s5), а работать лишь через
> 192.168.0.12 (enp2s4), то всё работает; при этом в firewall на 192.168.0.6
> прописаны правила для узла с ip 192.168.0.12 и для сети 172.16.249.0/24,
> как для адреса 192.168.0.12.
>> вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет
> Сейчас попробую.
> Попробовал- на шлюзе 192.168.0.6, при пинговании с интерфейса wlp2s5 выполняется попытка
> отрезолвить адрес программной точки доступа.
да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет это не нужно

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 07-Апр-14, 13:21

> да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет
> это не нужно
Согласен, но по их наличию я проверяю возможность доступа а интернет.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 07-Апр-14, 13:43

>> да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет
>> это не нужно
> Согласен, но по их наличию я проверяю возможность доступа а интернет.
нет, DNS - разные, настройки форвардинга - разные, маршрутизация - разные, цепи в firewall - разные, вы проверяете только возможность выхода в инет с ip на wlp2s5, поэтому возможность выхода в инет через wifi проверяйте с устройства подключенного по wifi

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 07-Апр-14, 15:57

> нет, DNS - разные, настройки форвардинга - разные, маршрутизация - разные, цепи
> в firewall - разные, вы проверяете только возможность выхода в инет
> с ip на wlp2s5, поэтому возможность выхода в инет через wifi
> проверяйте с устройства подключенного по wifi
Ура, всё заработало. Что сделано- в dhcpd.conf для программной точки доступа строка
option domain-name-servers 192.168.0.6;
заменена на строку-
option domain-name-servers 10.10.0.30;
Всем спасибо. Тема закрыта.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

13. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 16:34

> значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
> а forward от/к 172.16.249.0 на шлюзе разрешен?
Указаний о сети 172.16.249.0/24 на шлюзе нет.
> на 172.16.249.3 шлюзом 172.16.249.1 указан?
> DNS на 172.16.249.3 прописан?
После установки соединения планшета с 172.16.249.1 и получения им адреса 172.16.249.3, адрес 172.16.249.1 становится для планшета шлюзом.
> tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс,
> то отдельно с внутреннего и внешнего интерфейса
На шлюзе- linux. tcpdump для 172.16.249.0/24 ничего не выдаёт, лишь для 192.168.0.12 (enp2s4)
> и обращаетесь с планшета в инет
Нет, далее шлюза не идёт.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 16:35

>> на 172.16.249.3 шлюзом 172.16.249.1 указан?
>> DNS на 172.16.249.3 прописан?
> После установки соединения планшета НА 172.16.249.1 и получения им адреса 172.16.249.3,
> адрес 172.16.249.1 становится для планшета шлюзом.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Прошу помощи с firewall" +/–

Сообщение от reader (ok) on 04-Апр-14, 16:41

>> значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
>> а forward от/к 172.16.249.0 на шлюзе разрешен?
> Указаний о сети 172.16.249.0/24 на шлюзе нет.
>> на 172.16.249.3 шлюзом 172.16.249.1 указан?
>> DNS на 172.16.249.3 прописан?
> После установки соединения планшета с 172.16.249.1 и получения им адреса 172.16.249.3,
> адрес 172.16.249.1 становится для планшета шлюзом.
DNS?
>> tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс,
>> то отдельно с внутреннего и внешнего интерфейса
> На шлюзе- linux. tcpdump для 172.16.249.0/24 ничего не выдаёт, лишь для 192.168.0.12
> (enp2s4)
snat на enp2s4 (192.168.0.12) ?
>> и обращаетесь с планшета в инет
> Нет, далее шлюза не идёт.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

8. "Прошу помощи с firewall" +/–

Сообщение от bsm (??) on 04-Апр-14, 14:42

> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний,
> потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6
> при том что есть 192.168.0.12 выглядит непонятным
Как не странно:
[root@old-server adapter]# ping -c 3 8.8.8.8 -I wlp2s5
PING 8.8.8.8 (8.8.8.8) from 172.16.249.1 wlp2s5: 56(84) bytes of data.
From 172.16.249.1 icmp_seq=1 Destination Host Unreachable
From 172.16.249.1 icmp_seq=2 Destination Host Unreachable
From 172.16.249.1 icmp_seq=3 Destination Host Unreachable
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2007ms
pipe 3
[root@old-server adapter]# ping -c 3 8.8.8.8 -I 172.16.249.1
PING 8.8.8.8 (8.8.8.8) from 172.16.249.1 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=50 time=37.1 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=50 time=36.9 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=50 time=37.1 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 36.950/37.066/37.148/0.237 ms

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Прошу помощи с firewall" +/–

Сообщение от asavah (ok) on 04-Апр-14, 17:09

> Как это сделать на androide я не знаю.
Если вы не знаете где нсы гандроиду вбить ручками - не рановато ли вам шлюзы индусить?
>Как не странно:
Я парой постов выше это расписал.
Если на _интерфейсе_ нет маршрута к тому кого мы пингуем с -I ifname пакеты уходят в лес.
Вы очень невнятно расписали _что_ вы пытаетесь сделать.
Шлюз 192.168.0.6 _знает_ (я о маршруте) о сетке 172.x.x.x ?????
Если знает то нат нах не нужен ни на одном интерфейсе.
Если не знает то SNAT надо делать на 192.168.0.12 , а не на 172.чего.то.там.
Насколько я вижу у вас в голове огромная путаница, вы элементарно не понимаете базовых принципов работы сетей хотябы на L3.Скопипастить пару кривеньких правил с гугла не подразумевает понимания.
Учите матчасть и увидите как всё прояснится.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "Прошу помощи с firewall" +/–

Сообщение от bsm (ok) on 04-Апр-14, 17:27

> Вы очень невнятно расписали _что_ вы пытаетесь сделать.
Я пытаюсь, подняв программную точку доступа, через неё выйти в интернет с планшета или иного устройства.
> Шлюз 192.168.0.6 _знает_ (я о маршруте) о сетке 172.x.x.x ?????
Сейчас на шлюзе прописал-
iptables -I FORWARD -s 172.16.249.0/24 -j ACCEPT
iptables -I FORWARD -d 172.16.249.0/24 -j ACCEPT
Выполнил на планшете ping ya.ru - ответа не получил.
> Если знает то нат нах не нужен ни на одном интерфейсе.
> Если не знает то SNAT надо делать на 192.168.0.12 , а не
> на 172.чего.то.там.
Сделано
> Насколько я вижу у вас в голове огромная путаница, вы элементарно не
> понимаете базовых принципов работы сетей хотябы на L3.Скопипастить пару кривеньких правил
> с гугла не подразумевает понимания.
> Учите матчасть и увидите как всё прояснится.
Когда чтение документации не помогает, приходится прибегать к помощи сообщества.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Прошу помощи с firewall" +/–

Сообщение от Дядя_Федор on 05-Апр-14, 19:32

> Если на _интерфейсе_ нет маршрута к тому кого мы пингуем с -I
> ifname пакеты уходят в лес.
Ну почему же в лес? На дефолтный шлюз уйдут. :) Ну, если не настроена марштуризация по источнику, конечно, на каждом интерфейсе.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прошу помощи с firewall"	+/–
Сообщение от asavah (ok) on 04-Апр-14, 13:18
> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо. Включить forwarding в sysctl не?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 13:39
	>> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо. > Включить forwarding в sysctl не? Включен.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Прошу помощи с firewall"	+/–
Сообщение от reader (ok) on 04-Апр-14, 13:56
>[оверквотинг удален] > 09:56:19.594080 IP 192.168.0.12.56910 > 10.10.0.30.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa. > (44) > 09:56:19.594600 IP 10.10.0.30.domain > 192.168.0.12.56910: 49352 NXDomain 0/1/0 (98) > 09:56:21.588680 ARP, Request who-has myhost06 tell 192.168.0.12, length 46 > 09:56:21.588697 ARP, Reply myhost06 is-at 00:19:5b:ea:68:e1 (oui Unknown), length 28 > 09:56:22.599281 IP 192.168.0.12.45649 > myhost06.domain: 1122+ PTR? 1.249.16.172.in-addr.arpa. > (44) > 09:56:22.599336 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, > length 80 > .. и что тут нужно было увидеть? на myhost06 нет DNS или вас на него не пустили. DNS есть на 10.10.0.30 > Как добиться получения ответа на интерфейсе wlp2s5? Спасибо. а 192.168.0.6 что знает о 172.16.249.0 в общем пока выглядит каким-то бредом
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 14:02
	> а 192.168.0.6 что знает о 172.16.249.0 > в общем пока выглядит каким-то бредом Если у Вас имеются рекомендации, я готов их использовать.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Прошу помощи с firewall"	+/–
	Сообщение от asavah (ok) on 04-Апр-14, 14:14
	>> а 192.168.0.6 что знает о 172.16.249.0 >> в общем пока выглядит каким-то бредом > Если у Вас имеются рекомендации, я готов их использовать. Мля, ping -I на ifname не будет работать если на этом интерфейсе нет маршрута по умолчанию почему хз работать будет ping -I ip_on_needed_iface vlan1102 -> белый, внешний, на нём висит маршрут по умолчанию. vlan75 -> серый, 192.168.75.9, за натом на 1102 # ping -I vlan1102 8.8.8.8 PING 8.8.8.8 (8.8.8.8) from ... vlan1102: 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_req=1 ttl=50 time=40.9 ms 64 bytes from 8.8.8.8: icmp_req=2 ttl=50 time=68.3 ms 64 bytes from 8.8.8.8: icmp_req=3 ttl=50 time=40.7 ms ^C --- 8.8.8.8 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 40.748/50.031/68.373/12.972 ms # ping -I vlan75 8.8.8.8 PING 8.8.8.8 (8.8.8.8) from 192.168.75.9 vlan75: 56(84) bytes of data. From 192.168.75.9 icmp_seq=1 Destination Host Unreachable From 192.168.75.9 icmp_seq=2 Destination Host Unreachable From 192.168.75.9 icmp_seq=3 Destination Host Unreachable ^C --- 8.8.8.8 ping statistics --- 4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3004ms pipe 3 # ping -I 192.168.75.9 8.8.8.8 <- так работает падла. PING 8.8.8.8 (8.8.8.8) from 192.168.75.9 : 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_req=1 ttl=50 time=40.8 ms 64 bytes from 8.8.8.8: icmp_req=2 ttl=50 time=40.6 ms ^C --- 8.8.8.8 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 40.650/40.731/40.813/0.217 ms
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 14:16
	>> а 192.168.0.6 что знает о 172.16.249.0 >> в общем пока выглядит каким-то бредом > Если у Вас имеются рекомендации, я готов их использовать. Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний, потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6 при том что есть 192.168.0.12 выглядит непонятным
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 14:32
	> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний, > потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6 > при том что есть 192.168.0.12 выглядит непонятным Если я не указываю какой интерфейс использую для выхода во внешнюю, за шлюз, сеть, то используется интерфейс epn2s4,- это проводное соединение. Всё работает. Интерфейс wlp2s5 - программная точка доступа и через неё необходим выход во внешние сети. С внешнего wi-fi устройства я имею доступ к программной точке доступа, но не далее шлюза. Как добиться работы на интерфейсе wlp2s5, подобно интерфейсу enp2s4,- для меня, пока, не понятно. Сам разобраться не могу, поэтому и обращаюсь к сообществу.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 14:59
	>> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний, >> потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6 >> при том что есть 192.168.0.12 выглядит непонятным > Если я не указываю какой интерфейс использую для выхода во внешнюю, за > шлюз, сеть, то используется интерфейс epn2s4,- это проводное соединение. Всё работает. > Интерфейс wlp2s5 - программная точка доступа и через неё необходим выход > во внешние сети. С внешнего wi-fi устройства я имею доступ к > программной точке доступа, но не далее шлюза. Как добиться работы на > интерфейсе wlp2s5, подобно интерфейсу enp2s4,- для меня, пока, не понятно. Сам > разобраться не могу, поэтому и обращаюсь к сообществу. если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5 пакета не будет
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 15:47
	> если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера > если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет > с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5 > пакета не будет Интерфейсы enp2s4 и wlp2s5 находятся на одном системном блоке. Внешний wi-fi - планшет. Если я с планшета пингую 192.168.0.12 (ip enp2s4), 172.16.249.1 (ip wlp2s5), 192.168.0.6 (ip шлюза)- ответ я получаю. При попытке пинговать, что-либо находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу в tcpdump, попытке резолвить ip с которого выполняется ping, в данном случае с 172.16.249.3 (ip планшета).
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 16:20
	>> если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера >> если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет >> с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5 >> пакета не будет > Интерфейсы enp2s4 и wlp2s5 находятся на одном системном блоке. Внешний wi-fi - > планшет. Если я с планшета пингую 192.168.0.12 (ip enp2s4), 172.16.249.1 (ip > wlp2s5), 192.168.0.6 (ip шлюза)- ответ я получаю. При попытке пинговать, что-либо > находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу > в tcpdump, попытке резолвить ip с которого выполняется ping, в данном > случае с 172.16.249.3 (ip планшета). значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть? а forward от/к 172.16.249.0 на шлюзе разрешен? на 172.16.249.3 шлюзом 172.16.249.1 указан? DNS на 172.16.249.3 прописан? tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс, то отдельно с внутреннего и внешнего интерфейса и обращаетесь с планшета в инет
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 16:30
	>[оверквотинг удален] >> находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу >> в tcpdump, попытке резолвить ip с которого выполняется ping, в данном >> случае с 172.16.249.3 (ip планшета). > значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть? > а forward от/к 172.16.249.0 на шлюзе разрешен? > на 172.16.249.3 шлюзом 172.16.249.1 указан? > DNS на 172.16.249.3 прописан? > tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс, > то отдельно с внутреннего и внешнего интерфейса > и обращаетесь с планшета в инет и snat уберите 2 168 SNAT all -- * wlp2s5 0.0.0.0/0 0.0.0.0/0 to:172.16.249.1
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	16. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 16:42
	Состояние firewall- firewall.. Chain INPUT (policy ACCEPT 3634 packets, 568K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 365 packets, 27720 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1046 packets, 135K bytes) pkts bytes target prot opt in out source destination Chain PREROUTING (policy ACCEPT 183 packets, 19386 bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 134 packets, 16497 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 27 packets, 1848 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1 packets, 84 bytes) pkts bytes target prot opt in out source destination 53 3333 SNAT all -- * enp2s4 0.0.0.0/0 0.0.0.0/0 to:192.168.0.12 ping с планшета на шлюз (192.168.0.6) и внешние узлы, если указать их адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	17. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 16:48
	>[оверквотинг удален] > out source > > destination > 53 3333 SNAT > all -- * > enp2s4 0.0.0.0/0 > 0.0.0.0/0 > to:192.168.0.12 > ping с планшета на шлюз (192.168.0.6) и внешние узлы, если указать их > адрес, идёт. Но при указании имени внешнего узла- ping не проходит. ну так DNS пропишите
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 16:51
	>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит. > ну так DNS пропишите Как это сделать на androide я не знаю.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 16:54
	>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит. >> ну так DNS пропишите > Как это сделать на androide я не знаю. там дополнительные настройки для подключения должны быть, там ручками все прописываете
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 16:58
	>>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит. >>> ну так DNS пропишите >> Как это сделать на androide я не знаю. > там дополнительные настройки для подключения должны быть, там ручками все прописываете Сейчас попробую.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (??) on 04-Апр-14, 17:06
	>>>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит. >>>> ну так DNS пропишите >>> Как это сделать на androide я не знаю. >> там дополнительные настройки для подключения должны быть, там ручками все прописываете Не нашёл. Но при запросе из браузера планшета узла google.ru tcpdump на шлюзе показал: [root@myhost06 bsm]# tcpdump host 192.168.0.12 -i enp2s0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp2s0, link-type EN10MB (Ethernet), capture size 65535 bytes 16:02:08.840973 IP 192.168.0.12.citrixima > myhost06.domain: 10403+ A? www.google.ru. (31) 16:02:08.841029 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67 16:02:08.846629 IP 192.168.0.12.32299 > myhost06.domain: 10403+ A? www.google.ru. (31) 16:02:08.846663 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67 16:02:08.850171 IP 192.168.0.12.35610 > myhost06.domain: 35650+ A? www.google.ru. (31) 16:02:08.850212 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67 16:02:08.852806 IP 192.168.0.12.57182 > myhost06.domain: 35650+ A? www.google.ru. (31) 16:02:08.852849 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67 16:02:08.861031 IP 192.168.0.12.16138 > myhost06.domain: 5716+ A? www.google.ru. (31) 16:02:08.861074 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67 16:02:08.863149 IP 192.168.0.12.21919 > myhost06.domain: 5716+ A? www.google.ru. (31) 16:02:08.863189 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67 16:02:08.866280 IP 192.168.0.12.14506 > myhost06.domain: 48707+ A? www.google.ru. (31) 16:02:13.870427 IP 192.168.0.12.14506 > myhost06.domain: 48707+ A? www.google.ru. (31) 16:02:13.870500 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67 16:02:18.875896 ARP, Request who-has 192.168.0.12 tell myhost06, length 28 16:02:18.876045 ARP, Reply 192.168.0.12 is-at 00:c0:26:a8:c9:f0 (oui Unknown), length 46 ^C 17 packets captured 17 packets received by filter 0 packets dropped by kernel Быть может это прояснит ситуацию?
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	23. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 17:14
	>[оверквотинг удален] > 16:02:13.870500 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, > length 67 > 16:02:18.875896 ARP, Request who-has 192.168.0.12 tell myhost06, length 28 > 16:02:18.876045 ARP, Reply 192.168.0.12 is-at 00:c0:26:a8:c9:f0 (oui Unknown), length > 46 > ^C > 17 packets captured > 17 packets received by filter > 0 packets dropped by kernel > Быть может это прояснит ситуацию? myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно было если ваш шлюз, поднимите на нем кеширующий DNS
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	25. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (ok) on 04-Апр-14, 17:35
	> myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно > было > если ваш шлюз, поднимите на нем кеширующий DNS Это шлюз, DNS для него находится в сети провайдера на 10.10.0.30
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	26. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 17:43
	>> myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно >> было >> если ваш шлюз, поднимите на нем кеширующий DNS > Это шлюз, DNS для него находится в сети провайдера на 10.10.0.30 но планшет обращается к шлюзу за разрешением имени tcpdump на wlp2s5 смотрите после 53 3333 SNAT all -- * enp2s4 0.0.0.0/0 0.0.0.0/0 to:192.168.0.12 шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12. поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24. а на 192.168.0.12 что DNS ?
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (ok) on 04-Апр-14, 18:01
	> tcpdump на wlp2s5 смотрите При шлюза с планшета- [root@old-server adapter]# tcpdump -i wlp2s5 -nv tcpdump: listening on wlp2s5, link-type EN10MB (Ethernet), capture size 65535 bytes 16:58:15.790277 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 354) 172.16.249.3.68 > 172.16.249.1.67: BOOTP/DHCP, Request from 00:3a:05:a1:fa:75, length 326, xid 0xd2913cd0, secs 290, Flags [none] Client-IP 172.16.249.3 Client-Ethernet-Address 00:3a:05:a1:fa:75 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Request MSZ Option 57, length 2: 1500 Vendor-Class Option 60, length 39: "dhcpcd-5.2.10:Linux-3.0.8+:armv7l:sun5i" Hostname Option 12, length 24: "android-27547da37548c169" Parameter-Request Option 55, length 9: Subnet-Mask, Static-Route, Default-Gateway, Domain-Name-Server Domain-Name, BR, Lease-Time, RN RB 16:58:15.829317 IP (tos 0x0, ttl 64, id 21152, offset 0, flags [DF], proto UDP (17), length 328) 172.16.249.1.67 > 172.16.249.3.68: BOOTP/DHCP, Reply, length 300, xid 0xd2913cd0, secs 290, Flags [none] Client-IP 172.16.249.3 Your-IP 172.16.249.3 Client-Ethernet-Address 00:3a:05:a1:fa:75 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: ACK Server-ID Option 54, length 4: 172.16.249.1 Lease-Time Option 51, length 4: 600 Subnet-Mask Option 1, length 4: 255.255.255.0 Default-Gateway Option 3, length 4: 172.16.249.1 Domain-Name-Server Option 6, length 4: 192.168.0.6 Domain-Name Option 15, length 15: "bsm_TestHostapd" BR Option 28, length 4: 172.16.249.255 16:58:20.315136 EAPOL key (3) v2, len 143 16:58:20.345382 EAPOL key (3) v1, len 95 16:58:36.770420 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 1, length 64 16:58:36.770751 IP (tos 0x0, ttl 63, id 57756, offset 0, flags [none], proto ICMP (1), length 84) 192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 1, length 64 16:58:37.773170 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 2, length 64 16:58:37.773490 IP (tos 0x0, ttl 63, id 57757, offset 0, flags [none], proto ICMP (1), length 84) 192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 2, length 64 16:58:38.773465 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 3, length 64 16:58:38.773792 IP (tos 0x0, ttl 63, id 57758, offset 0, flags [none], proto ICMP (1), length 84) 192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 3, length 64 16:58:41.774241 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.3 tell 172.16.249.1, length 28 16:58:41.847806 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.3 is-at 00:3a:05:a1:fa:75, length 28 16:59:09.852753 IP (tos 0x0, ttl 64, id 7323, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.20023 > 192.168.0.6.53: 37834+ A? ya.ru. (23) 16:59:09.853085 IP (tos 0xc0, ttl 63, id 57759, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7323, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.20023 > 192.168.0.6.53: 37834+ A? ya.ru. (23) 16:59:09.860916 IP (tos 0x0, ttl 64, id 7324, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.44856 > 192.168.0.6.53: 37834+ A? ya.ru. (23) 16:59:09.861212 IP (tos 0xc0, ttl 63, id 57760, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7324, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.44856 > 192.168.0.6.53: 37834+ A? ya.ru. (23) 16:59:09.869265 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.3379 > 192.168.0.6.53: 2007+ A? ya.ru. (23) 16:59:09.869550 IP (tos 0xc0, ttl 63, id 57761, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.3379 > 192.168.0.6.53: 2007+ A? ya.ru. (23) 16:59:09.871797 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.14604 > 192.168.0.6.53: 2007+ A? ya.ru. (23) 16:59:09.872092 IP (tos 0xc0, ttl 63, id 57762, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.14604 > 192.168.0.6.53: 2007+ A? ya.ru. (23) 16:59:09.874138 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.61203 > 192.168.0.6.53: 50544+ A? ya.ru. (23) 16:59:09.874424 IP (tos 0xc0, ttl 63, id 57763, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.61203 > 192.168.0.6.53: 50544+ A? ya.ru. (23) 16:59:09.876147 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.7269 > 192.168.0.6.53: 50544+ A? ya.ru. (23) 16:59:09.876432 IP (tos 0xc0, ttl 63, id 57764, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.7269 > 192.168.0.6.53: 50544+ A? ya.ru. (23) 16:59:09.878399 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23) 16:59:14.867572 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.3 tell 172.16.249.1, length 28 16:59:14.883434 IP (tos 0x0, ttl 64, id 7326, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23) 16:59:14.883756 IP (tos 0xc0, ttl 63, id 57765, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7326, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23) 16:59:14.886158 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.3 is-at 00:3a:05:a1:fa:75, length 28 16:59:14.886219 IP (tos 0x0, ttl 64, id 7826, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.7252 > 192.168.0.6.53: 55958+ A? ya.ru. (23) 16:59:14.886494 IP (tos 0xc0, ttl 63, id 57766, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7826, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.7252 > 192.168.0.6.53: 55958+ A? ya.ru. (23) 16:59:14.887964 IP (tos 0x0, ttl 64, id 7826, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.35554 > 192.168.0.6.53: 55958+ A? ya.ru. (23) 16:59:14.888244 IP (tos 0xc0, ttl 63, id 57767, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7826, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.35554 > 192.168.0.6.53: 55958+ A? ya.ru. (23) 16:59:14.889848 IP (tos 0x0, ttl 64, id 7827, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.35667 > 192.168.0.6.53: 39+ A? ya.ru. (23) 16:59:14.890138 IP (tos 0xc0, ttl 63, id 57768, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7827, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.35667 > 192.168.0.6.53: 39+ A? ya.ru. (23) 16:59:14.891616 IP (tos 0x0, ttl 64, id 7827, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.19908 > 192.168.0.6.53: 39+ A? ya.ru. (23) 16:59:14.891902 IP (tos 0xc0, ttl 63, id 57769, offset 0, flags [none], proto ICMP (1), length 79) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59 IP (tos 0x0, ttl 63, id 7827, offset 0, flags [DF], proto UDP (17), length 51) 172.16.249.3.19908 > 192.168.0.6.53: 39+ A? ya.ru. (23) 16:59:21.266517 IP (tos 0x0, ttl 64, id 8464, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.16623 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37) 16:59:21.266845 IP (tos 0xc0, ttl 63, id 57770, offset 0, flags [none], proto ICMP (1), length 93) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73 IP (tos 0x0, ttl 63, id 8464, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.16623 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37) 16:59:21.269835 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.20943 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37) 16:59:21.270127 IP (tos 0xc0, ttl 63, id 57771, offset 0, flags [none], proto ICMP (1), length 93) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73 IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.20943 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37) 16:59:21.271667 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.5821 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37) 16:59:21.271981 IP (tos 0xc0, ttl 63, id 57772, offset 0, flags [none], proto ICMP (1), length 93) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73 IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.5821 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37) 16:59:21.273423 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.32916 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37) 16:59:21.273726 IP (tos 0xc0, ttl 63, id 57773, offset 0, flags [none], proto ICMP (1), length 93) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73 IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.32916 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37) 16:59:21.276173 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.38982 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37) 16:59:21.276472 IP (tos 0xc0, ttl 63, id 57774, offset 0, flags [none], proto ICMP (1), length 93) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73 IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.38982 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37) 16:59:21.278065 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.47614 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37) 16:59:21.278352 IP (tos 0xc0, ttl 63, id 57775, offset 0, flags [none], proto ICMP (1), length 93) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73 IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.47614 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37) 16:59:21.279917 IP (tos 0x0, ttl 64, id 8466, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37) 16:59:26.268964 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.1 tell 172.16.249.3, length 28 16:59:26.269022 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.1 is-at 10:fe:ed:5e:92:80, length 28 16:59:26.298231 IP (tos 0x0, ttl 64, id 8467, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37) 16:59:26.298544 IP (tos 0xc0, ttl 63, id 57776, offset 0, flags [none], proto ICMP (1), length 93) 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73 IP (tos 0x0, ttl 63, id 8467, offset 0, flags [DF], proto UDP (17), length 65) 172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37) ^C 54 packets captured 54 packets received by filter 0 packets dropped by kernel [root@old-server adapter]# > после > 53 3333 SNAT all > -- * enp2s4 > 0.0.0.0/0 > 0.0.0.0/0 > to:192.168.0.12 Сейчас так и выполняется. > шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12. > поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24. > а на 192.168.0.12 что DNS ? Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.0.6 0.0.0.0 UG 0 0 0 enp2s4 172.16.249.0 0.0.0.0 255.255.255.0 U 0 0 0 wlp2s5 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 enp2s4
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (ok) on 04-Апр-14, 18:21
	Спасибо всем принимавшим участие в обсуждении темы. На сегодня всё. Появлюсь в понедельник.
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 04-Апр-14, 20:07
	>[оверквотинг удален] > Domain-Name-Server Option 6, length 4: 192.168.0.6 планшету выдали dns > 16:59:21.279917 IP (tos 0x0, ttl 64, id 8466, offset 0, flags [DF], > proto UDP (17), length 65) > 172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37) > 16:59:26.268964 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.1 tell > 172.16.249.3, length 28 > 16:59:26.269022 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.1 is-at 10:fe:ed:5e:92:80, > length 28 > 16:59:26.298231 IP (tos 0x0, ttl 64, id 8467, offset 0, flags [DF], > proto UDP (17), length 65) > 172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37) об чем и речь, 172.16.249.3 считает что dns на 192.168.0.6 > 16:59:26.298544 IP (tos 0xc0, ttl 63, id 57776, offset 0, flags [none], > proto ICMP (1), length 93) > 192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 > unreachable, length 73 > IP (tos 0x0, ttl 63, id 8467, offset 0, flags [DF], > proto UDP (17), length 65) а в ответ - болт, так как порт 53 там никто не слушает >[оверквотинг удален] >> после >> 53 3333 SNAT all >> -- * enp2s4 >> 0.0.0.0/0 >> 0.0.0.0/0 >> to:192.168.0.12 > Сейчас так и выполняется. >> шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12. >> поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24. >> а на 192.168.0.12 что DNS ? зачем таблица маршрутизации? если по ip работает, то с маршрутизацией нормально все. какой адрес DNS сервера прописан? cat /etc/resolv.conf или где вы его там прописывали. и смотрите чего по настаивали в этой софтине, что точку делает. DHCP поднимали для выдачи адресов? >[оверквотинг удален] > UG 0 0 > 0 enp2s4 > 172.16.249.0 0.0.0.0 > 255.255.255.0 U 0 > 0 > 0 wlp2s5 > 192.168.0.0 0.0.0.0 > 255.255.255.0 U 0 > 0 > 0 enp2s4
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	31. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (ok) on 07-Апр-14, 08:38
	> а в ответ - болт, так как порт 53 там никто не > слушает А как же слушаются запросы с 192.168.0.12 (интерфейс enp2s4)? > какой адрес DNS сервера прописан? > cat /etc/resolv.conf или где вы его там прописывали. [root@old-server ~]# cat /etc/resolv.conf # Пн апр 7 07:31:05 EEST 2014 nameserver 192.168.0.6 nameserver 10.10.0.30 > и смотрите чего по настаивали в этой софтине, что точку делает. > DHCP поднимали для выдачи адресов? ddns-update-style none; option domain-name bsm_TestHostapd; option domain-name-servers 192.168.0.6 ; subnet 172.16.249.0 netmask 255.255.255.0 { option routers 172.16.249.1; range 172.16.249.2 172.16.249.14; option broadcast-address 172.16.249.255; default-lease-time 600; max-lease-time 7200; log-facility local7; } Иначе как я получу адрес для планшета?
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору


	32. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 07-Апр-14, 11:30
	>> а в ответ - болт, так как порт 53 там никто не >> слушает > А как же слушаются запросы с 192.168.0.12 (интерфейс enp2s4)? >> какой адрес DNS сервера прописан? >> cat /etc/resolv.conf или где вы его там прописывали. > [root@old-server ~]# cat /etc/resolv.conf > # Пн апр 7 07:31:05 EEST 2014 > nameserver 192.168.0.6 > nameserver 10.10.0.30 это с 192.168.0.12? тут 2 ip DNS, на 192.168.0.6 вы не поднимали DNS и соответственно ответов от DNS на 192.168.0.6 не получите, но есть 10.10.0.30 с него ответ приходит >> и смотрите чего по настаивали в этой софтине, что точку делает. >> DHCP поднимали для выдачи адресов? > ddns-update-style none; > option domain-name bsm_TestHostapd; > option domain-name-servers 192.168.0.6 ; вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет потом когда на 192.168.0.6 поднимите DNS , если захотите, тогда укажите его или оба > subnet 172.16.249.0 netmask 255.255.255.0 { > option routers 172.16.249.1; > range 172.16.249.2 172.16.249.14; > option broadcast-address 172.16.249.255; > default-lease-time 600; > max-lease-time 7200; > log-facility local7; > } > Иначе как я получу адрес для планшета?
	Ответить \| Правка \| ^ к родителю #31 \| Наверх \| Cообщить модератору


	33. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (ok) on 07-Апр-14, 12:08
	> это с 192.168.0.12? тут 2 ip DNS, на 192.168.0.6 вы не поднимали > DNS и соответственно ответов от DNS на 192.168.0.6 не получите, но > есть 10.10.0.30 с него ответ приходит route на 192.168.0.6: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default * 0.0.0.0 U 0 0 0 ppp0 10.0.0.0 10.10.1.1 255.0.0.0 UG 0 0 0 enp2s2 10.10.0.18 10.10.1.1 255.255.255.255 UGH 0 0 0 enp2s2 10.10.1.0 * 255.255.255.0 U 0 0 0 enp2s2 172.16.249.0 * 255.255.255.0 U 0 0 0 enp2s0 192.162.116.1 * 255.255.255.255 UH 0 0 0 ppp0 192.168.0.0 * 255.255.255.0 U 0 0 0 enp2s0 cat /etc/resolv.conf на 192.168.0.6: # Generated by resolvconf nameserver 10.10.0.30 Если не использовать программную точку доступа 172.16.249.1 (wlp2s5), а работать лишь через 192.168.0.12 (enp2s4), то всё работает; при этом в firewall на 192.168.0.6 прописаны правила для узла с ip 192.168.0.12 и для сети 172.16.249.0/24, как для адреса 192.168.0.12. > вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет Сейчас попробую. Попробовал- на шлюзе 192.168.0.6, при пинговании с интерфейса wlp2s5 выполняется попытка отрезолвить адрес программной точки доступа.
	Ответить \| Правка \| ^ к родителю #32 \| Наверх \| Cообщить модератору


	34. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 07-Апр-14, 13:20
	>[оверквотинг удален] > # Generated by resolvconf > nameserver 10.10.0.30 > Если не использовать программную точку доступа 172.16.249.1 (wlp2s5), а работать лишь через > 192.168.0.12 (enp2s4), то всё работает; при этом в firewall на 192.168.0.6 > прописаны правила для узла с ip 192.168.0.12 и для сети 172.16.249.0/24, > как для адреса 192.168.0.12. >> вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет > Сейчас попробую. > Попробовал- на шлюзе 192.168.0.6, при пинговании с интерфейса wlp2s5 выполняется попытка > отрезолвить адрес программной точки доступа. да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет это не нужно
	Ответить \| Правка \| ^ к родителю #33 \| Наверх \| Cообщить модератору


	35. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (ok) on 07-Апр-14, 13:21
	> да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет > это не нужно Согласен, но по их наличию я проверяю возможность доступа а интернет.
	Ответить \| Правка \| ^ к родителю #34 \| Наверх \| Cообщить модератору


	36. "Прошу помощи с firewall"	+/–
	Сообщение от reader (ok) on 07-Апр-14, 13:43
	>> да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет >> это не нужно > Согласен, но по их наличию я проверяю возможность доступа а интернет. нет, DNS - разные, настройки форвардинга - разные, маршрутизация - разные, цепи в firewall - разные, вы проверяете только возможность выхода в инет с ip на wlp2s5, поэтому возможность выхода в инет через wifi проверяйте с устройства подключенного по wifi
	Ответить \| Правка \| ^ к родителю #35 \| Наверх \| Cообщить модератору


	37. "Прошу помощи с firewall"	+/–
	Сообщение от bsm (ok) on 07-Апр-14, 15:57
	> нет, DNS - разные, настройки форвардинга - разные, маршрутизация - разные, цепи > в firewall - разные, вы проверяете только возможность выхода в инет > с ip на wlp2s5, поэтому возможность выхода в инет через wifi > проверяйте с устройства подключенного по wifi Ура, всё заработало. Что сделано- в dhcpd.conf для программной точки доступа строка option domain-name-servers 192.168.0.6; заменена на строку- option domain-name-servers 10.10.0.30; Всем спасибо. Тема закрыта.
	Ответить \| Правка \| ^ к родителю #36 \| Наверх \| Cообщить модератору