- Разбор iptables с подсетями.,
 reader, 16:31 , 20-Авг-13 (1)вырвиглазно это рассматривать , давайте вывод iptables-save и адреса с какого на какой пытаетесь подключиться
- Разбор iptables с подсетями., nameserver, 17:11 , 20-Авг-13 (2)
> вырвиглазно это рассматривать , давайте вывод iptables-save и адреса с какого на
> какой пытаетесь подключиться Адреса. Например с 10,10,11,99 на 10,10,10,96 iptables-save
# Generated by iptables-save v1.3.3 on Tue Aug 20 15:47:30 2013
*nat
:PREROUTING ACCEPT [28373:2470069]
:POSTROUTING ACCEPT [20873:1207086]
:OUTPUT ACCEPT [6504:390100]
-A PREROUTING -d ext.ip.addr.252 -p udp -m udp --dport 53 -j DNAT --to-destination 10.10.10.252
-A PREROUTING -d ext.ip.addr.252 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.10.10.252
-A PREROUTING -d ext.ip.addr.252 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.10.10.252
-A PREROUTING -d ext.ip.addr.252 -p tcp -m tcp --dport 143 -j DNAT --to-destination 10.10.10.252
-A PREROUTING -d ext.ip.addr.252 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.10.252
-A PREROUTING -d ext.ip.addr.252 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.10.10.252
-A PREROUTING -d ext.ip.addr.252 -p tcp -m tcp --dport 20 -j DNAT --to-destination 10.10.10.252
-A PREROUTING -d ext.ip.addr.252 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 10.10.10.252:22
-A PREROUTING -d ext.ip.addr.254 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.250
-A PREROUTING -d ext.ip.addr.254 -p tcp -m tcp --dport 8443 -j DNAT --to-destination 10.10.10.250
-A PREROUTING -s 193.84.184.11 -d ext.ip.addr.254 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.10.10.250
-A PREROUTING -s 193.84.184.11 -d ext.ip.addr.254 -p tcp -m tcp --dport 3050 -j DNAT --to-destination 10.10.10.250
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 10.10.10.0/255.255.255.0 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.10.128/255.255.255.192 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.10.192/255.255.255.224 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.10.224/255.255.255.240 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.11.0/255.255.255.0 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.11.128/255.255.255.192 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.11.192/255.255.255.224 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.11.224/255.255.255.240 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.12.0/255.255.255.0 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.12.128/255.255.255.192 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.12.192/255.255.255.224 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.12.224/255.255.255.240 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.10.252 -j SNAT --to-source ext.ip.addr.252
-A POSTROUTING -s 10.10.10.250 -j SNAT --to-source ext.ip.addr.254
-A POSTROUTING -s 10.10.10.240 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.10.251 -j SNAT --to-source ext.ip.addr.250
-A POSTROUTING -s 10.10.10.244 -j SNAT --to-source ext.ip.addr.250
COMMIT
# Completed on Tue Aug 20 15:47:30 2013
# Generated by iptables-save v1.3.3 on Tue Aug 20 15:47:30 2013
*filter
:INPUT ACCEPT [4188679:4060237889]
:FORWARD ACCEPT [1187759:808045952]
:OUTPUT ACCEPT [4311023:4056996262]
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource -j ACCEPT
COMMIT
- Разбор iptables с подсетями., reader, 17:31 , 20-Авг-13 (3)
>[оверквотинг удален]
> -j DNAT --to-destination 10.10.10.250
> -A PREROUTING -s 193.84.184.11 -d ext.ip.addr.254 -p tcp -m tcp --dport 3050
> -j DNAT --to-destination 10.10.10.250
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT
> --to-ports 3128
> -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j SNAT --to-source ext.ip.addr.250
> -A POSTROUTING -s 10.10.10.128/255.255.255.192 -j SNAT --to-source ext.ip.addr.250
> -A POSTROUTING -s 10.10.10.192/255.255.255.224 -j SNAT --to-source ext.ip.addr.250
> -A POSTROUTING -s 10.10.10.224/255.255.255.240 -j SNAT --to-source ext.ip.addr.250
> -A POSTROUTING -s 10.10.11.0/255.255.255.0 -j SNAT --to-source ext.ip.addr.250маска уже другая :),
тут блокирования нет, но из-за этих snat на 10.10.10.96 придет пакет с адресом источника ext.ip.addr.250 смотрите на 10.10.10.96 разрешина ли установка соединений с этого адреса
>[оверквотинг удален]
> *filter
> :INPUT ACCEPT [4188679:4060237889]
> :FORWARD ACCEPT [1187759:808045952]
> :OUTPUT ACCEPT [4311023:4056996262]
> -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW
> -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j
> DROP
> -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW
> -m recent --set --name DEFAULT --rsource -j ACCEPT
> COMMIT
- Разбор iptables с подсетями., nameserver, 17:50 , 20-Авг-13 (4)
> маска уже другая :),
> тут блокирования нет, но из-за этих snat на 10.10.10.96 придет пакет с
> адресом источника ext.ip.addr.250 смотрите на 10.10.10.96 разрешина ли установка соединений
> с этого адреса Да, да. маску я поменял, чтобы все адреса захватывал. Но не помогло)
В принципе - не важно, на какой из адресов 10-й сети идет коннект.
На все, кроме 10.10.10.240,10.10.10.244 и 10.10.10.252 дает отказ. Причем 10.10.10.240 мы недавно меняли - ставили новый сервер на винде, никаких особых требований к нему не предъявлялось. Я никак не могу взять в толк - ЧТО может отбрасывать коннект.
Допустим, 10.10.10.96 - это новый майл-сервер - спасибо, кстати, за подсказку -надо разрешить внешний IP))
Но, например, 10.10.10.91 обычная виндовая машина и ни RDP, ни telnet не хотят коннектиться с 10.10.11.99
- Разбор iptables с подсетями., reader, 18:04 , 20-Авг-13 (5)
>[оверквотинг удален]
> В принципе - не важно, на какой из адресов 10-й сети идет
> коннект.
> На все, кроме 10.10.10.240,10.10.10.244 и 10.10.10.252 дает отказ. Причем 10.10.10.240
> мы недавно меняли - ставили новый сервер на винде, никаких особых
> требований к нему не предъявлялось. Я никак не могу взять в
> толк - ЧТО может отбрасывать коннект.
> Допустим, 10.10.10.96 - это новый майл-сервер - спасибо, кстати, за подсказку -надо
> разрешить внешний IP))
> Но, например, 10.10.10.91 обычная виндовая машина и ни RDP, ни telnet не
> хотят коннектиться с 10.10.11.99 если не ошибаюсь, то по умолчанию винда не любит подключений не из своей подсети, сделайте snat с не ext.ip.addr.250, а с 10.10.10.какой-там-на-интерфейсе, а лучше ограничте snat с ext.ip.addr.250 внешним интерфейсом
- Разбор iptables с подсетями., nameserver, 20:45 , 20-Авг-13 (6)
> если не ошибаюсь, то по умолчанию винда не любит подключений не из
> своей подсети, сделайте snat с не ext.ip.addr.250, а с 10.10.10.какой-там-на-интерфейсе, Вы Имеете ввиду - прописать
-A POSTROUTING -s 10.10.11.0/255.255.255.0 -j SNAT --to-source 10.10.10.244
например? Завтра попробую.... Но почему, почему-же работает только три IP, а остальные - нет?... Я в большом недоумении.... > а лучше ограничте snat с ext.ip.addr.250 внешним интерфейсом Что вы имеете ввиду?)
- Разбор iptables с подсетями., reader, 23:03 , 20-Авг-13 (7)
>> если не ошибаюсь, то по умолчанию винда не любит подключений не из
>> своей подсети, сделайте snat с не ext.ip.addr.250, а с 10.10.10.какой-там-на-интерфейсе,
> Вы Имеете ввиду - прописать
> -A POSTROUTING -s 10.10.11.0/255.255.255.0 -j SNAT --to-source 10.10.10.244
> например? Завтра попробую....да , но выше или вместо
-A POSTROUTING -s 10.10.11.0/255.255.255.0 -j SNAT --to-source ext.ip.addr.250
это заставит виндовые машины думать что обращение из ее подсети, если с этим правилом заработает, то дело только в виндовом firewall > Но почему, почему-же работает только три IP, а остальные - нет?... Я
> в большом недоумении....
>> а лучше ограничте snat с ext.ip.addr.250 внешним интерфейсом
> Что вы имеете ввиду?) snat использовать только для хождения в инет, добавив в правило -o, --out-interface или не делать snat для пакетов идущих а локалку, а в локалке использовать маршрутизацию
- Разбор iptables с подсетями., nameserver, 10:53 , 21-Авг-13 (8)
Не работает.
Файерволы на рабочих машинах отключены.
две подсети физически находятся на разных концах городаи соединены цискаки. В цисках провайдер клянется, что все открыто. Звонил, перепроверял.
Можно ли поступить так для проверки - полностью отключить (закоментить) rc.firewall - чтобы все было открыто - и проверить соединение?
Да, и в 11 подсети интренет отключается, когда я подменил строку...
- Разбор iptables с подсетями., reader, 11:22 , 21-Авг-13 (9)
> Не работает.
> Файерволы на рабочих машинах отключены.
> две подсети физически находятся на разных концах городаи соединены цискаки. В цисках
> провайдер клянется, что все открыто. Звонил, перепроверял.
> Можно ли поступить так для проверки - полностью отключить (закоментить) rc.firewall -
> чтобы все было открыто - и проверить соединение?тогда не будут работать snat, то есть инет отвалится у всех подсетей что так указаны, перенаправления с всешних адресов в локалкку тоже отвалится. ;) тут ограничения только по 22 порту и если пинги точно проходят , то проблема скорей всего не тут.
> Да, и в 11 подсети интренет отключается, когда я подменил строку... это и понятно, но до циски пакеты должны были доходить? лучше воспользуйтесь сниффером (tcpdump, wireshark) и смотрите как проходят пакеты по интерфейсам по тому пути как должен проходить пакет туда и как идут ответы
- Разбор iptables с подсетями., nameserver, 11:57 , 21-Авг-13 (10)
Мы можем как-то пересечься с вами в частной переписке?
- Разбор iptables с подсетями., reader, 12:20 , 21-Авг-13 (11)
> Мы можем как-то пересечься с вами в частной переписке?reader67[dog]pochta.ru без скобак
226592930 - аська
|
Версия для распечатки
Разбор iptables с подсетями., 
