форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables блокирует подключение более одного пользователя"
Сообщение от Alex on 24-Сен-03, 19:46  (MSK)
Имеется следующий маскарад (сокращен): iptables -t nat -A POSTROUTING -o eth1 -s $source -d $target -j SNAT --to-source $host_external iptables -A FORWARD -i eth0 -o eth1 -s $source  -d $target -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s $source -d $target -j ACCEPT Все работает, НО! Только для ОДНОГО пользователя. когда он отключается, только тогда может подключиться другой. Причем сессия может подвисать иногда. И тогда никто не может подключиться и приходится перезагружать сервер с linux. подскажите, как решить эту проблему.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables блокирует подключение более одного пользователя"
Сообщение от Michael on 24-Сен-03, 20:44  (MSK)
>Имеется следующий маскарад (сокращен): >iptables -t nat -A POSTROUTING -o eth1 -s $source -d $target -j SNAT --to-source $host_external >iptables -A FORWARD -i eth0 -o eth1 -s $source  -d $target -j ACCEPT >iptables -A FORWARD -i eth1 -o eth0 -s $source -d $target -j ACCEPT что-то я не пойму, что ты хотел изобразить... особенно последние две строчки... как у тебя $source и $target ходят одновременно с двух интерфейсов? и как к ним ведут два интерфейса?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "iptables блокирует подключение более одного пользователя"
	Сообщение от Alex on 25-Сен-03, 10:48  (MSK)
	>>Имеется следующий маскарад (сокращен): >>iptables -t nat -A POSTROUTING -o eth1 -s $source -d $target -j SNAT --to-source $host_external >>iptables -A FORWARD -i eth0 -o eth1 -s $source  -d $target -j ACCEPT >>iptables -A FORWARD -i eth1 -o eth0 -s $source -d $target -j ACCEPT >что-то я не пойму, что ты хотел изобразить... особенно последние две строчки... > >как у тебя $source и $target ходят одновременно с двух интерфейсов? и >как к ним ведут два интерфейса? $source типа 192.168 - во внутренней сети, а $target - какой-то адрес сервера в инет, который предоставляет сервис
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "iptables блокирует подключение более одного пользователя"
	Сообщение от Michael on 25-Сен-03, 16:23  (MSK)
	>$source типа 192.168 - во внутренней сети, а $target - какой-то адрес >сервера в инет, который предоставляет сервис а какой интерфейс внешний, какой внутренний?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "iptables блокирует подключение более одного пользователя"
	Сообщение от Alex on 25-Сен-03, 16:24  (MSK)
	>>$source типа 192.168 - во внутренней сети, а $target - какой-то адрес >>сервера в инет, который предоставляет сервис >а какой интерфейс внешний, какой внутренний? eth0 - внутренний eth1 - внешний
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "iptables блокирует подключение более одного пользователя"
	Сообщение от Michael on 25-Сен-03, 16:30  (MSK)
	>>>$source типа 192.168 - во внутренней сети, а $target - какой-то адрес >>>сервера в инет, который предоставляет сервис >>а какой интерфейс внешний, какой внутренний? > >eth0 - внутренний >eth1 - внешний тогда должно работать вот так вместо того, что ты написал: iptables -t nat -A POSTROUTING -s $source -o eth1 -d $target -j SNAT --to-source $host_external iptables -A FORWARD -s $source -i eth0 -o eth1 -d $target -j ACCEPT
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "iptables блокирует подключение более одного пользователя"
	Сообщение от Alex on 25-Сен-03, 16:36  (MSK)
	>>eth0 - внутренний >>eth1 - внешний > >тогда должно работать вот так вместо того, что ты написал: >iptables -t nat -A POSTROUTING -s $source -o eth1 -d $target -j >SNAT --to-source $host_external >iptables -A FORWARD -s $source -i eth0 -o eth1 -d $target -j >ACCEPT у меня добавлено еще правило FORWARD в обратную сторону. но это не суть. проблема все равно остается, описанная вначале.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "iptables блокирует подключение более одного пользователя"
	Сообщение от Michael on 25-Сен-03, 16:58  (MSK)
	>>>eth0 - внутренний >>>eth1 - внешний >> >>тогда должно работать вот так вместо того, что ты написал: >>iptables -t nat -A POSTROUTING -s $source -o eth1 -d $target -j >>SNAT --to-source $host_external >>iptables -A FORWARD -s $source -i eth0 -o eth1 -d $target -j >>ACCEPT > >у меня добавлено еще правило FORWARD в обратную сторону. но это не >суть. оно не нужно, так как оно все равно никогда не сработает, так как $source никогда не будет на интерфейсе eth1, а $target никогда не будет на интерфейсе eth0 >проблема все равно остается, описанная вначале. тогда все правила iptables в студию! видимо еще где-то собака порылась... заодно неплохо бы версию ядра и версию iptables...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "iptables блокирует подключение более одного пользователя"
	Сообщение от Alex on 25-Сен-03, 17:02  (MSK)
	>>проблема все равно остается, описанная вначале. >тогда все правила iptables в студию! видимо еще где-то собака порылась... >заодно неплохо бы версию ядра и версию iptables... iptables 1.2.8, kernel 2.4.20 #!/bin/sh iptables="/usr/local/sbin/iptables" eth0="eth0" eth1="eth1" #ports port_priv="0:1023" port_unpriv="1024:65535" any="any/0" ################################################################### $iptables -P INPUT DROP $iptables -P OUTPUT DROP $iptables -P FORWARD DROP $iptables -F $iptables -F -t nat ########################################################################## $iptables -t nat -A POSTROUTING -o $eth1 -p tcp -s $lan_int --sport $port_unpriv -d $rvs1 --dport 12801 -j SNAT --to-source $proxy1:$port_unpriv $iptables -A FORWARD -i $eth0 -o $eth1 -p tcp -s $lan_int --sport $port_unpriv -d $rvs1 --dport 12801 -j ACCEPT $iptables -A FORWARD -i $eth1 -o $eth0 -p tcp -s $rvs1 --sport 12801 -d $lan_int --dport $port_unpriv -j ACCEPT ##########################################################################
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "iptables блокирует подключение более одного пользователя"
	Сообщение от Michael on 26-Сен-03, 09:01  (MSK)
	>>>проблема все равно остается, описанная вначале. >>тогда все правила iptables в студию! видимо еще где-то собака порылась... >>заодно неплохо бы версию ядра и версию iptables... >iptables 1.2.8, kernel 2.4.20 > >#!/bin/sh >iptables="/usr/local/sbin/iptables" >eth0="eth0" >eth1="eth1" >#ports >port_priv="0:1023" >port_unpriv="1024:65535" >any="any/0" >################################################################### >$iptables -P INPUT DROP >$iptables -P OUTPUT DROP >$iptables -P FORWARD DROP > >$iptables -F >$iptables -F -t nat >########################################################################## > >$iptables -t nat -A POSTROUTING -o $eth1 -p tcp -s $lan_int --sport >$port_unpriv -d $rvs1 --dport 12801 -j SNAT --to-source $proxy1:$port_unpriv > >$iptables -A FORWARD -i $eth0 -o $eth1 -p tcp -s $lan_int --sport >$port_unpriv -d $rvs1 --dport 12801 -j ACCEPT > >$iptables -A FORWARD -i $eth1 -o $eth0 -p tcp -s $rvs1 --sport >12801 -d $lan_int --dport $port_unpriv -j ACCEPT >########################################################################## сейчас посмотрел свои правила... попробуй вместо своей последней строчки сделать так: iptables -A FORWARD -m state --state RELATED,ESTABLISHED ACCEPT iptables -A FORWARD -m state -i !eth1 --state NEW ACCEPT у меня при команде iptables -L -v -n это выглядит так: ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED ACCEPT     all  --  !eth1  *       0.0.0.0/0            0.0.0.0/0          state NEW
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "iptables блокирует подключение более одного пользователя"
	Сообщение от Alex on 02-Окт-03, 12:46  (MSK)
	>>>>проблема все равно остается, описанная вначале. >>>тогда все правила iptables в студию! видимо еще где-то собака порылась... >>>заодно неплохо бы версию ядра и версию iptables... >>iptables 1.2.8, kernel 2.4.20 как говориться, проще закрасить, чем отодрать. заменил SNAT на MASQUERADE и работает. жаль, что причина осталась невыясненной
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "iptables блокирует подключение более одного пользователя"
	Сообщение от Michael on 02-Окт-03, 14:24  (MSK)
	>как говориться, проще закрасить, чем отодрать. >заменил SNAT на MASQUERADE и работает. >жаль, что причина осталась невыясненной а у тебя внешний адрес, случаем, не динамический?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "iptables блокирует подключение более одного пользователя"
	Сообщение от Alex on 02-Окт-03, 14:24  (MSK)
	>>как говориться, проще закрасить, чем отодрать. >>заменил SNAT на MASQUERADE и работает. >>жаль, что причина осталась невыясненной >а у тебя внешний адрес, случаем, не динамический? правильный вопрос. НО конечно нет! Статический.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.