forum.opennet.ru - "iptables и route" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"iptables и route"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables и route"
Сообщение от Purple (??) on 02-Апр-04, 09:01 (MSK)
Уважаемые, просветите: Обнаружил такую вещь: в iptables не отображаются транзитные пакеты ,направляемые маршрутизатором route в другую сеть. Сеть локальная,расположена за своим gateway. iptables и route установлены на одном хосте. Ожидал их увидеть в правилах цепочки filter FORWARD. Так и должно быть?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

iptables и route, harlan, 09:58 , 02-Апр-04, (1)
- iptables и route, Purple, 13:18 , 02-Апр-04, (2)
  - iptables и route, Purple, 13:59 , 02-Апр-04, (3)
    - iptables и route, harlan, 14:16 , 02-Апр-04, (5)
  - iptables и route, harlan, 14:10 , 02-Апр-04, (4)
    - iptables и route, Purple, 07:26 , 05-Апр-04, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables и route"

Сообщение от harlan (ok) on 02-Апр-04, 09:58  (MSK)

Приведи конфигурацию сетевых интерфейсов, правил iptables и таблицу маршрутизации.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables и route"

Сообщение от Purple (??) on 02-Апр-04, 13:18  (MSK)

>Приведи конфигурацию сетевых интерфейсов, правил iptables и таблицу маршрутизации.
eth0      Link encap:Ethernet  HWaddr 00:48:54:3C:C9:04
          inet addr:192.168.1.4  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1984079 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1692926 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:672774912 (641.6 Mb)  TX bytes:892375657 (851.0 Mb)
          Interrupt:11 Base address:0x1000
eth1      Link encap:Ethernet  HWaddr 00:00:01:35:87:50
          inet addr:192.168.254.154  Bcast:192.168.254.155  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15071715 errors:16230 dropped:0 overruns:0 frame:30347
          TX packets:1365828 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:2609540012 (2488.6 Mb)  TX bytes:582383425 (555.4 Mb)
          Interrupt:10 Base address:0xd400
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:304374 errors:0 dropped:0 overruns:0 frame:0
          TX packets:304374 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15341426 (14.6 Mb)  TX bytes:15341426 (14.6 Mb)
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.254.152 192.168.254.153 255.255.255.252 UG    0      0        0 eth1
192.168.254.152 *               255.255.255.252 U     0      0        0 eth1
192.168.2.0    192.168.1.228  255.255.255.0   UG    0      0        0 eth0
192.168.1.0    *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         192.168.254.153 0.0.0.0         UG    0      0        0 eth1
0   0 ACCEPT     tcp  --  eth0   *       192.168.1.0/24      192.168.2.100       tcp dpt:211
iptables -I FORWARD 1 -s 192.168.1.0/24 -d 192.168.2.100 -p tcp --dport 211 -j ACCEPT

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "iptables и route"

Сообщение от Purple (??) on 02-Апр-04, 13:59  (MSK)

>0   0 ACCEPT     tcp  --
> eth0   *
>192.168.1.0/24      192.168.2.100
>  tcp dpt:211
>iptables -I FORWARD 1 -s 192.168.1.0/24 -d 192.168.2.100 -p tcp --dport 211
>-j ACCEPT
поправка.
При первом обращении клиента сети 192.168.1.0/24 к 211-порту показания правила цепочки Forward изменяются.
7   748 ACCEPT     tcp  --  eth0   *       192.168.1.0/24      192.168.2.100     tcp dpt:211
Замирает на этих значениях и так до следующей перегрузки клиента.
Потом при втором включении становится что-то типа
15   1428 ACCEPT     tcp  --  eth0   *       192.168.1.0/24      192.168.2.100     tcp dpt:211

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "iptables и route"

Сообщение от harlan (ok) on 02-Апр-04, 14:16  (MSK)

Тут зависит от того, что за сервер висит на 211 порте.
Кроме того, ты открыл доступ из сетки .1.0 к хосту .2.100:211 а обратный путь у тебя прикрыт. Возможно, получив ответ, хост начинает отвечать, но его ответы блокируются твоим файрволлом, или для ответа используются другие порты. В любом случае обратный ответ через это правило не пройдёт.
Посмотри счётчики на политиках.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "iptables и route"

Сообщение от harlan (ok) on 02-Апр-04, 14:10  (MSK)

А как ты их собирался увидеть?
Может на машине отправителе так же прописан в качестве гейтвея 192.168.1.228? Тогда пакеты на твой сервер даже не зайдут.
Попробуй протрассировать путь и посмотри, какие шлюзы проходит пакет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "iptables и route"

Сообщение от Purple (??) on 05-Апр-04, 07:26  (MSK)

>А как ты их собирался увидеть?
>Может на машине отправителе так же прописан в качестве гейтвея 192.168.1.228? Тогда
>пакеты на твой сервер даже не зайдут.
>Попробуй протрассировать путь и посмотри, какие шлюзы проходит пакет.
На втором гетевее 192.168.1.228, который форвардит пакеты для сети 192.168.2.0, счетчики в цепочках Forward -s 192.168.1.0/24 -d 192.168.2.100 --dport 211 показывает значения близкие к действительности (форвард пакетов от ИНТЕРФЕЙСА eth0 к eth1). p.s.Обратный трафик пока я не рассматриваю.
Запускаешь программу-клиента, которая использует 211 порт, счетчики побежали.
Вышел из программы - остановились, запустил снова программу - снова побежали.
Forward на первом гетевее(он же route) 192.168.1.4 показывают показания счетчиков только один раз, при ПЕРВОМ запуске программы. Потом входи-выходи, уже никакой разницы в показаниях не наблюдается.
Получается ,что все пакеты,которые попадают через route в сеть 192.168.2.0 за гетевеем 192.168.1.228,не считаются iptables за Forward.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables и route"
Сообщение от harlan (ok) on 02-Апр-04, 09:58 (MSK)
Приведи конфигурацию сетевых интерфейсов, правил iptables и таблицу маршрутизации.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "iptables и route"
	Сообщение от Purple (??) on 02-Апр-04, 13:18 (MSK)
	>Приведи конфигурацию сетевых интерфейсов, правил iptables и таблицу маршрутизации. eth0 Link encap:Ethernet HWaddr 00:48:54:3C:C9:04 inet addr:192.168.1.4 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1984079 errors:0 dropped:0 overruns:0 frame:0 TX packets:1692926 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:672774912 (641.6 Mb) TX bytes:892375657 (851.0 Mb) Interrupt:11 Base address:0x1000 eth1 Link encap:Ethernet HWaddr 00:00:01:35:87:50 inet addr:192.168.254.154 Bcast:192.168.254.155 Mask:255.255.255.252 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15071715 errors:16230 dropped:0 overruns:0 frame:30347 TX packets:1365828 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:2609540012 (2488.6 Mb) TX bytes:582383425 (555.4 Mb) Interrupt:10 Base address:0xd400 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:304374 errors:0 dropped:0 overruns:0 frame:0 TX packets:304374 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:15341426 (14.6 Mb) TX bytes:15341426 (14.6 Mb) Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.254.152 192.168.254.153 255.255.255.252 UG 0 0 0 eth1 192.168.254.152 * 255.255.255.252 U 0 0 0 eth1 192.168.2.0 192.168.1.228 255.255.255.0 UG 0 0 0 eth0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 192.168.254.153 0.0.0.0 UG 0 0 0 eth1 0 0 ACCEPT tcp -- eth0 * 192.168.1.0/24 192.168.2.100 tcp dpt:211 iptables -I FORWARD 1 -s 192.168.1.0/24 -d 192.168.2.100 -p tcp --dport 211 -j ACCEPT
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "iptables и route"
	Сообщение от Purple (??) on 02-Апр-04, 13:59 (MSK)
	>0 0 ACCEPT tcp -- > eth0 * >192.168.1.0/24 192.168.2.100 > tcp dpt:211 >iptables -I FORWARD 1 -s 192.168.1.0/24 -d 192.168.2.100 -p tcp --dport 211 >-j ACCEPT поправка. При первом обращении клиента сети 192.168.1.0/24 к 211-порту показания правила цепочки Forward изменяются. 7 748 ACCEPT tcp -- eth0 * 192.168.1.0/24 192.168.2.100 tcp dpt:211 Замирает на этих значениях и так до следующей перегрузки клиента. Потом при втором включении становится что-то типа 15 1428 ACCEPT tcp -- eth0 * 192.168.1.0/24 192.168.2.100 tcp dpt:211
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "iptables и route"
	Сообщение от harlan (ok) on 02-Апр-04, 14:16 (MSK)
	Тут зависит от того, что за сервер висит на 211 порте. Кроме того, ты открыл доступ из сетки .1.0 к хосту .2.100:211 а обратный путь у тебя прикрыт. Возможно, получив ответ, хост начинает отвечать, но его ответы блокируются твоим файрволлом, или для ответа используются другие порты. В любом случае обратный ответ через это правило не пройдёт. Посмотри счётчики на политиках.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "iptables и route"
	Сообщение от harlan (ok) on 02-Апр-04, 14:10 (MSK)
	А как ты их собирался увидеть? Может на машине отправителе так же прописан в качестве гейтвея 192.168.1.228? Тогда пакеты на твой сервер даже не зайдут. Попробуй протрассировать путь и посмотри, какие шлюзы проходит пакет.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "iptables и route"
	Сообщение от Purple (??) on 05-Апр-04, 07:26 (MSK)
	>А как ты их собирался увидеть? >Может на машине отправителе так же прописан в качестве гейтвея 192.168.1.228? Тогда >пакеты на твой сервер даже не зайдут. >Попробуй протрассировать путь и посмотри, какие шлюзы проходит пакет. На втором гетевее 192.168.1.228, который форвардит пакеты для сети 192.168.2.0, счетчики в цепочках Forward -s 192.168.1.0/24 -d 192.168.2.100 --dport 211 показывает значения близкие к действительности (форвард пакетов от ИНТЕРФЕЙСА eth0 к eth1). p.s.Обратный трафик пока я не рассматриваю. Запускаешь программу-клиента, которая использует 211 порт, счетчики побежали. Вышел из программы - остановились, запустил снова программу - снова побежали. Forward на первом гетевее(он же route) 192.168.1.4 показывают показания счетчиков только один раз, при ПЕРВОМ запуске программы. Потом входи-выходи, уже никакой разницы в показаниях не наблюдается. Получается ,что все пакеты,которые попадают через route в сеть 192.168.2.0 за гетевеем 192.168.1.228,не считаются iptables за Forward.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх