Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2005-04-09 15:25:23

  oress - Użytkownik

oress
Użytkownik
Skąd: Opole
Zarejestrowany: 2004-09-06

Problem z PINGiem

mam  taki kłopot że jak zrestartuję firewall'a to ping nie działa obiawiając się czymś takim:

Kod:

ping: sendmsg: Operation not permitted

a poza tym sieć działa normalnie.
Ale zaraz po starcie systemu, do momentu zamin nie zresetuję firewall'a jest OK i z serwera mogę wszystko ładnei pingować, lecz jak tylko chcę sobie zmienić jakieś regóły i zresetowac po tym firewall to właśnie dziają się takie cuda, natomiast z wewnątrz sieci pingi tez OK.
Szukałem na różnych grupach groups.google.pl i żadne z tamtych sposobó mi nie pomogły. dodam tylko że komp z firewalle to stary PII 233MGHz 32MB RAM, ale służy tylko do dzielenia łącza na dwie winzgrozy

Linux register user: #369347
[img]http://img.uptime-project.net/img/12/95717.png[/img] [img]http://img.uptime-project.net/img/2/53561.png[/img]

Offline

 

#2  2005-04-09 15:28:53

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: Problem z PINGiem

wklej regulki forewall'a bo chyba cos tam mas zzle poustawiane

[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

#3  2005-04-09 15:48:46

  oress - Użytkownik

oress
Użytkownik
Skąd: Opole
Zarejestrowany: 2004-09-06

Re: Problem z PINGiem

Tylko się nie wkurzajcie bo bedzie niezła rzeźnia :))

Pierwsze regóły:

Kod:

echo "1" > /proc/sys/net/ipv4/ip_forward

IPT="iptables"
KOMP1="10.0.1.4"
KOMP2="10.0.2.4"
INET1="10.0.1.107/24"
INET2="10.0.2.107/24"
# czyszczenie poprzednich regół
$IPT -F
$IPT -X
$IPT -t nat -X
$IPT -t nat -F
# ustawienie polityki
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

#nowe połączenia
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED   -j ACCEPT
$IPT -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED  -j ACCEPT

#limit 3/s w burscie 4 pakietow zeby nie zbic flood pingami servera
$IPT -A INPUT -p icmp -s 0/0 -m limit --limit 3/s --limit-burst 4 -j ACCEPT

#Odrzucanie połączeń IDENT i SOCKS
$IPT -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
$IPT -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable

#-------podejrzani z wirusem "nimda"----------------------
$IPT -A INPUT -p tcp --dport 80 -s 10.0.0.112 -j REJECT --reject-with tcp-reset
$IPT -A INPUT -p tcp --dport 80 -s 10.0.0.144 -j REJECT --reject-with tcp-reset
$IPT -A INPUT -p tcp --dport 80 -s 10.0.0.72 -j REJECT --reject-with tcp-reset

#----zezwolenia na nowe połączenia------------------
# HTTP
#$IPT -m state -A INPUT -p tcp --state NEW --dport 80 -j ACCEPT
# FTP
#$IPT -m state -A INPUT -p tcp --state NEW --dport 21 -j ACCEPT
# SSH
$IPT -m state -A INPUT -p tcp --state NEW --dport 22 -j ACCEPT

#MlDonkey www
#$IPT -m state -A INPUT -p tcp --state NEW --dport 4080 -j ACCEPT
#MlDonkey telnet
$IPT -m state -A INPUT -p tcp --state NEW --dport 4000 -j ACCEPT
#aMule
#$IPT -m state -A INPUT -p tcp --state NEW --dport 4662 -j ACCEPT

# polaczenia nawiazane
$IPT -A FORWARD -p tcp -j ACCEPT -m state --state  ESTABLISHED,RELATED
$IPT -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A FORWARD -p udp -j ACCEPT -m state --state  ESTABLISHED,RELATED
$IPT -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A OUTPUT -p icmp -j ACCEPT -m sta#te --state ESTABLISHED,RELATED

# net dla KOMP1
$IPT -t nat -A POSTROUTING -s $KOMP1 -j MASQUERADE
$IPT -A INPUT -s $KOMP1 -j ACCEPT
$IPT -A FORWARD -s $KOMP1 -j ACCEPT

# net dla KOMP2
$IPT -t nat -A POSTROUTING -s $KOMP2 -j MASQUERADE
$IPT -A INPUT -s $KOMP2 -j ACCEPT
$IPT -A FORWARD -s $KOMP2 -j ACCEPT

# polaczenia miedzy kompami w windzie, dla samby
$IPT -A INPUT -s $KOMP2 -d $KOMP1 -j ACCEPT
$IPT -A INPUT -d $KOMP2 -s $KOMP1 -j ACCEPT
$IPT -A OUTPUT -s $KOMP2 -d $KOMP1 -j ACCEPT
$IPT -A OUTPUT -d $KOMP2 -s $KOMP1 -j ACCEPT
$IPT -A FORWARD -s $KOMP2 -d $KOMP1 -j ACCEPT
$IPT -A FORWARD -d $KOMP2 -s $KOMP1 -j ACCEPT

# Zwiekszamy o 1 pole TTL pakietow przechodzacych przez NAT
$IPT -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1
$IPT -t mangle -A PREROUTING -i eth1 -j TTL --ttl-inc 1

#Direct Connect
$IPT -A FORWARD -i eth1 -p udp -s $INET1 --sport 411:413 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -o eth1 -p udp -d $INET1 --sport 411:413 -m state --state ESTABLISHED,RELATED -j ACCEPT

a jak sobie po tych pierwszych regółach odpalę ponizsze to właśnie ping przestaje działac, natomiast jak wracam do tych pierwszych to też nie diała

Kod:

#!/bin/bash -x
# wlaczenie forwardowania w kernelu
echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "20480" > /proc/sys/net/ipv4/ip_conntrack_max
#echo "40960" > /proc/sys/net/ipv4/ip_conntrack_max
IPT="iptables"
KOMP1="10.0.1.4"
KOMP2="10.0.2.4"
INET1="10.0.1.107/24"
INET2="10.0.2.107/24"
# czyszczenie poprzednich regół
$IPT -F
$IPT -X
$IPT -t nat -X
$IPT -t nat -F
# ustawienie polityki
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P POSTROUTING DROP

#nowe połączenia
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED   -j ACCEPT
$IPT -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED  -j ACCEPT

#limit 3/s w burscie 4 pakietow zeby nie zbic flood pingami servera
$IPT -A INPUT -p icmp -s 0/0 -m limit --limit 3/s --limit-burst 4 -j ACCEPT

#Odrzucanie połączeń IDENT i SOCKS
$IPT -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
$IPT -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable
#blokada apache/FTP
#$IPT -A INPUT -p tcp --dport 21 -j REJECT --reject-with icmp-port-unreachable

#---zezwolenia na nowe połączenia---------------
# HTTP
#$IPT -m state -A INPUT -p tcp --state NEW --dport 80 -j ACCEPT
# FTP
#$IPT -m state -A INPUT -p tcp --state NEW --dport 21 -j ACCEPT
# SSH
$IPT -m state -A INPUT -p tcp --state NEW --dport 22 -j ACCEPT
#MlDonkey www
#$IPT -m state -A INPUT -p tcp --state NEW --dport 4080 -j ACCEPT
#MlDonkey telnet
$IPT -m state -A INPUT -p tcp --state NEW --dport 4000 -j ACCEPT
#aMule
#$IPT -m state -A INPUT -p tcp --state NEW --dport 4662 -j ACCEPT

# polaczenia nawiazane
$IPT -A FORWARD -p tcp -j ACCEPT -m state --state  ESTABLISHED,RELATED
$IPT -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A FORWARD -p udp -j ACCEPT -m state --state  ESTABLISHED,RELATED
$IPT -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPT -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED

#Mapowanie sieci INE1 <--> INET2 (patch-o-matic)
#$IPT -t nat -A PREROUTING -d 10.0.1.0/24 -j NETMAP --to 10.0.2.0/24
#$IPT -t nat -A POSTROUTING -s 10.0.2.0/24 -j NETMAP --to 10.0.1.0/24

# net dla KOMP1
$IPT -t nat -A POSTROUTING -s $KOMP1 -j MASQUERADE
$IPT -A INPUT -s $KOMP1 -j ACCEPT
$IPT -A FORWARD -s $KOMP1 -j ACCEPT

# net dla KOMP2
$IPT -t nat -A POSTROUTING -s $KOMP2 -j MASQUERADE
$IPT -A INPUT -s $KOMP2 -j ACCEPT
$IPT -A FORWARD -s $KOMP2 -j ACCEPT

# polaczenia miedzy kompami w windzie, dla samby

$IPT -A INPUT -s $KOMP2 -d $KOMP1 -j ACCEPT
$IPT -A INPUT -d $KOMP2 -s $KOMP1 -j ACCEPT
$IPT -A OUTPUT -s $KOMP2 -d $KOMP1 -j ACCEPT
$IPT -A OUTPUT -d $KOMP2 -s $KOMP1 -j ACCEPT
$IPT -A FORWARD -s $KOMP2 -d $KOMP1 -j ACCEPT
$IPT -A FORWARD -d $KOMP2 -s $KOMP1 -j ACCEPT

# Zwiekszamy o 1 pole TTL pakietow przechodzacych przez NAT
#$IPT -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1
#$IPT -t mangle -A PREROUTING -i eth1 -j TTL --ttl-inc 1
#$IPT -A OUTPUT -m ttl --ttl 64
$IPT -t mangle -A OUTPUT -j TTL --ttl-set 64
#$IPT -t mangle -A PREROUTING -s $INET1 -j TTL --ttl-inc 1
#$IPT -t mangle -A PREROUTING -s $INET2 -j TTL --ttl-inc 1

#$IPT -t mangle -A PREROUTING -s $KOMP1 -j TTL --ttl-inc 1
#$IPT -t mangle -A PREROUTING -s $KOMP2 -j TTL --ttl-inc 1

#Direct Connect
$IPT -A FORWARD -i eth1 -p udp -s $INET1 --sport 411:413 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -o eth1 -p udp -d $INET1 --sport 411:413 -m state --state ESTABLISHED,RELATED -j ACCEPT

# ustawiamy odpowiednio bity TOS w naglowku IP dla INET1
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 20 -j TOS --set-tos 8
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 21 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 22 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 23 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 25 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p udp -s $INET1 --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 80 -j TOS --set-tos 8
$IPT -t mangle -A PREROUTING -p udp -s $INET1 --sport 411:413 -j TOS --set-tos 16 # Direct Connect
$IPT -t mangle -A PREROUTING -p tcp -s $INET1 --dport 411:413 -j TOS --set-tos 8 # Direct Connect

# ustawiamy odpowiednio bity TOS w naglowku IP dla INET2
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 20 -j TOS --set-tos 8
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 21 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 22 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 23 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 25 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p udp -s $INET2 --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 80 -j TOS --set-tos 8
$IPT -t mangle -A PREROUTING -p udp -s $INET2 --sport 411:413 -j TOS --set-tos 16 # Direct Connect
$IPT -t mangle -A PREROUTING -p tcp -s $INET2 --dport 411:413 -j TOS --set-tos 8 # Direct Connect

# ustawiamy odpowiednio bity TOS w naglowku IP dla połaczeń lokalnych
$IPT -t mangle -A OUTPUT -p tcp --dport 20 -j TOS --set-tos 8
$IPT -t mangle -A OUTPUT -p tcp --dport 21 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 25 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p udp --dport 53 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos 8
Linux register user: #369347
[img]http://img.uptime-project.net/img/12/95717.png[/img] [img]http://img.uptime-project.net/img/2/53561.png[/img]

Offline

 

#4  2005-04-09 18:10:58

  oress - Użytkownik

oress
Użytkownik
Skąd: Opole
Zarejestrowany: 2004-09-06

Re: Problem z PINGiem

już wybadałem - subtelna różnica w sekcji [b]# ustawienie polityki[/b] sprawiła, że:

Kod:

# ustawienie polityki
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

i wszystko działa,
ale:

Kod:

# ustawienie polityki
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P POSTROUTING DROP

już niet i nie wiedzieć czemu, ktoś wie może o co chodzi ??

Linux register user: #369347
[img]http://img.uptime-project.net/img/12/95717.png[/img] [img]http://img.uptime-project.net/img/2/53561.png[/img]

Offline

 

#5  2005-04-09 18:30:08

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: Problem z PINGiem

ta linijka

$IPT -t nat -P POSTROUTING DROP

jest naprawde tu zbedna

[url=http://dug.net.pl][b]DUG[/b][/url]

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00067 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.137.200.45' WHERE u.id=1
0.00117 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.137.200.45', 1738257430)
0.00041 SELECT * FROM punbb_online WHERE logged<1738257130
0.00068 SELECT topic_id FROM punbb_posts WHERE id=5350
0.00105 SELECT id FROM punbb_posts WHERE topic_id=660 ORDER BY posted
0.00034 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=660 AND t.moved_to IS NULL
0.00044 SELECT search_for, replace_with FROM punbb_censoring
0.00113 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=660 ORDER BY p.id LIMIT 0,25
0.00109 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=660
Total query time: 0.00714 s