Перейти до

Не пропускает через фаервол


Рекомендованные сообщения

Здравствуйте,начала ставить старгейзер 2.4,все поставил, все хорошо,авторизация проходит, пинги между всеми интерфейсами ходят, но интернет не дает пользователям... вот скрипт OnConnect

#!/bin/bash
ip=$2
iptables -t filter -A INPUT -s $ip -j ACCEPT
iptables -t filter -A FORWARD -s $ip -j ACCEPT
iptables -t filter -A FORWARD -d $ip -j ACCEPT
iptables -t filter -A OUTPUT -d $ip -j ACCEPT

 

OnDisconnect

#!/bin/bash
ip=$2
iptables -t filter -D INPUT -s $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D INPUT -s $ip -j ACCEPT
done
iptables -t filter -D FORWARD -s $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D FORWARD -s $ip -j ACCEPT
done
iptables -t filter -D FORWARD -d $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D FORWARD -d $ip -j ACCEPT
done
iptables -t filter -D OUTPUT -d $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D OUTPUT -d $ip -j ACCEPT
done

 

файл rules

ALL     0.0.0.0/0       DIR0

 

файл первичных настроек фаервола

#!/bin/bash

office=192.168.4.19

admin=192.168.4.24

server0=192.168.4.251
server1=192.168.1.5

iface_cli=eth0

iface_world=eth1

conf_port=5555
user_port1=5555
user_port2=5555
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

iptables -t filter -A INPUT -p tcp -s 192.168.4.0/24 -d $server0 --dport $conf_port -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d 192.168.4.0/24 -s $server0 --sport $conf_port -j ACCEPT
iptables -t filter -A INPUT -p udp -s 192.168.4.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -d 192.168.4.0/24 --dport $user_port1 -s $server0 -j ACCEPT
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

 

Подключение к интернету осуществляется путем ADSL модема, который подключен к eth1 и при подключении создает ppp0 с динамическим ипом (каждый раз провайдер дает новый ип). С сервера пинги ходят везде, а с клиента ходят по всем интерфейсам и по ипу сайтов в интернете, но на страницы не заходит и по имени не пингует :)(

 

Подскажите пожалуйста,что может быть такогО?

Ссылка на сообщение
Поделиться на других сайтах

а,и еще, если включен авторизатор, то раз в пару минут показывается как будто я что то скачал, на пару кб... мне кажется что это пинг снимается...как сделать чтоб не снимался?

Ссылка на сообщение
Поделиться на других сайтах

Таже фигня, поднял Dial-In сервер через обычный модем. В опциях стоит

 

proxyarp

defaultroute

ms-dns 192.168.0.1

 

в iptables все идет через SNAT

только ДНС не работает, хотя пинги идут на все внешние ip. Если открывать броузером страницы, то хрен. А если телнетом подцепиться к 80 порту и сделать вручную запрос, то все ОК.

Ссылка на сообщение
Поделиться на других сайтах

хм... а что ковырять та? хоть подскажите куда! т.к. на этом компе стоит локальный днс сервер, у которого 1 зона,все ее видят.все ок! но в инет не ходят =/

 

Тогда вопросец, OnConnect,OnDisconnect нормальные??

Ссылка на сообщение
Поделиться на других сайтах

получается да, если пинги идут на другие сервера.

 

Ставил ДНС прова, не помогает.

Опять же, почему я могу телнетом подключиться, а броузером нет?

Ссылка на сообщение
Поделиться на других сайтах

Пробовал менять и MTU и MRU. Все опции перепробовал. Файрвол не причем, отклал на время. В маршутизации тоже маловероятно, потому что при подключении срабатывает ifup-ppp и создается маршрут на default gw, это видно из того, что пинг идет на другие сервера. Хотя пинг с модемной тачки идет на сервер, а с сервера не идет тачку. ХЕЗ

Ссылка на сообщение
Поделиться на других сайтах
хм... egor2fsys поставить ДНС прова проблематично...т.к. они выдаются мне по адсл разные =/  как и ип....

Вариант №1 поставить squid

Вариант №2 если всетаки нужен НАТ то попробуй записать у себя все возможные ДНС сервера провайдера не думаю что их бесчисленное множество т.к. для пинга по имени с сервера, адреса ДНС серверов должны у тебя быть прописаны в файле /etc/resolv.conf

 

и в файле /etc/named.conf пишеш следующее:

 

acl "net" {твоя локальная подсеть ;};

 

options {

directory "/var/named";

listen-on { 127.0.0.1; локальный ip сервера; };

forwarders { ДНС1; ДНС2; ДНС3;};

};

 

в строчке forwarders { ДНС1; ДНС2; ДНС3;}; пишеш все ДНС сервера своего провайдера

потом прописываеш на клиенте ДНС и шлюз IP твоего сервера и все должно заработать

Ссылка на сообщение
Поделиться на других сайтах
Жжошь!

Чтобы ввести ДНС, явно роутинг не причем. vi спасет

 

Вопрос в ответ, а как же ты до этого маршрутизацию делал?

делал по ману с стг 2.0..там про маршрутизацию нчиего...я и подумал что только правил iptables и назначение дефолтного интерфейса хватит...

если не хватит, то подскажите что писать та плиз

Ссылка на сообщение
Поделиться на других сайтах

Так оно и должно быть. Если клиенты все у тебя в одной сети, то шлюза по умолчания в таблице маршрутизации должно хватить.

Лучше запиши команду route в rc.local

route add default gw IP_Шлюза dev ethX

 

если в скрипте OnConnect разрешается FORWARD, и в скрипте инициализации iptables, поднимается NAT, то интернет должен работать.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...