Впервые настраиваю iptables, проблемы

Автор: ReVN Дата: 14.03.2007 14:22 Используется сервер для осуществления подключения некоторых пользователей ЛВС для выхода в Интернет на базе дистрибутив ASPLINUX Server 4 (ASPLINUX 11.2).
По отрывочным записям (предыдущего сисадмина) основная настройка проводилась в файле /etc/RC.d/rc.local, в котором добавлены строки
modprobe iptable_nat
modprobe ip_nat_ftp
./etc/test.conf
А так же создан файл etc/test.conf, в котором прописан сценарий маскаратинга.

В данный момент необходимо перейти на другой сервер, где все это должно работать. Я установил ASPLINUX Server 4 (ASPLINUX 11.2) на другой ПК, настроил аналогично eth0 и eth1. Аналогично добавил в /etc/RC.d/rc.local, копировал аналогичный файл etc/test.conf.
С сервера есть выход в интернет, ЛВС то же пингуется, но прописанные в маскаратинге IP ПК в интернет не пускает.
Команда cat /proc/sys/net/ipv4/ip_forward выдает 0, т.е пакет iptables не запущен . После команды echo 1 > /proc/sys/net/ipv4/ip_forward , повторно cat /proc/sys/net/ipv4/ip_forward выдает 1. Но маскаратинг так и не работает.
Изучал книги, конкретные мануалы и по ним разные файлы поправлять, но результата нет.

Прилагаю содержание etc/test.conf.

#!/bin/sh
ipt="/sbin/iptables"
ieth="eth0"
leth="eth1"
REAL_IP="ХХ.ХХ.ХХ.ХХ" # указан реальный IP адрес
Gate="ХХ.ХХ.ХХ.ХХ" # указан реальный IP адрес
Netmaska="255.255.255.0"
INTRA_NET="192.168.1.0/16"
INTER_IP="192.168.1.6" # указан реальный IP адрес сетевой карточки в сети
echo 1 > /proc/sys/net/ipv4/ip_forward
#modprobe iptable_nat
#modprobe ip_nat_ftp
#modprobe ipt_LOG
#modprobe ipt_ULOG

# lo
$ipt -X
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP

$ipt -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$ipt -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

$ipt -t nat -F
$ipt -t nat -X

$ipt -P FORWARD DROP
#разрешенный ПК для Интернет, таких групп по IP несколько
$ipt -A FORWARD -s 192.168.1.21 -j ACCEPT
$ipt -A FORWARD -d 192.168.1.21 -j ACCEPT


#DNS
# где ХХ.ХХ.ХХ.ХХ реальные адреса выданы провайдером
$ipt -A FORWARD -p tcp --dport 53 -s $INTRA_NET -d ХХ.ХХ.ХХ.ХХ -j ACCEPT
$ipt -A FORWARD -p tcp --sport 53 -d $INTRA_NET -s ХХ.ХХ.ХХ.ХХ -j ACCEPT
$ipt -A FORWARD -p tcp --dport 53 -s $INTRA_NET -d ХХ.ХХ.ХХ.ХХ -j ACCEPT
$ipt -A FORWARD -p tcp --sport 53 -d $INTRA_NET -s ХХ.ХХ.ХХ.ХХ -j ACCEPT

$ipt -t nat -A POSTROUTING -s $INTRA_NET -o $ieth -j SNAT --to-source $REAL_IP

# route
#route del -net 192.168.1.0 netmask 255.255.0.0
#route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1
#route add -net 192.168.30.0 netmask 255.255.255.0 dev eth0
#route del default
#route add default gw ХХ.ХХ.ХХ.ХХ dev eth0 # указан реальный IP адрес

Прошу подсказать, если не затруднит, как активизировать работу маскаратинга на другом ПК. Я новичок и многое пока только изучаю.
Re: впервые настраиваю iptables, проблемы 14.03.2007 15:13wusup >/etc/RC.d/rc.local

именно RC.d или rc.d ?

>etc/test.conf

или все же /etc/test.conf , он кстати исполняемый?

---
ls -l /etc/test.conf
---

>Команда cat /proc/sys/net/ipv4/ip_forward выдает 0, т.е пакет iptables не запущен

это команда разрешает форвард, т.е. транзитные пакеты, но никак не запускает
iptables

для запуска надо:
---
service iptables start
---
или:
---
/etc/init.d/iptables start
---
Re: впервые настраиваю iptables, проблемы 15.03.2007 08:47ReVN Спасибо за ответ.
Поясняю по вопросам
реально rc.d (моя ошибка при написании текста письма)

реально /etc/test.conf

результат проверки на исполнение
[root@localhost rijov]# ls -l /etc/test.conf
-rw-r--r-- 1 root root 1854 Мар 14 15:34 /etc/test.conf
[root@localhost rijov]#


по запуску iptables

[root@localhost rijov]# service iptables start
bash: service: command not found

[root@localhost rijov]# /etc/init.d/iptables start
Сбрасываются правила брандмауэра: [ ОК ]
Политика цепочек брандмауэра устанавливается в ACCEPT: nat [ ОК ]
Выгружаются модули [ ОК ]
[root@localhost rijov]#

Жду советов.
Re: впервые настраиваю iptables, проблемы 15.03.2007 10:12wusup >rw-r--r-- 1 root root 1854 Мар 14 15:34 /etc/test.conf

---
chmod a+x /etc/test.conf
---
Re: впервые настраиваю iptables, проблемы 15.03.2007 11:18ReVN результат выполнения

[root@localhost rijov]# chmod a+x /etc/test.conf
[root@localhost rijov]#

правда не понял, что за команда?
Re: впервые настраиваю iptables, проблемы 15.03.2007 12:27wusup >правда не понял, что за команда?

установили права, теперь этот файл исполняемый.
можете его запустить:
---
/etc/test.conf
---

и проверить работу шлюза.
Re: впервые настраиваю iptables, проблемы 15.03.2007 13:06ReVN Спасибо! Заработало!
Но есть некоторые отличия в работе между старым и этим сервером:
- с этого сервера перестал пускать в Интернет, поэтому выхожу с другого ПК
- при попытке выключить или перезагрузить сервер в графическом режиме, команда зависает и выходит коментарий, что nm-applet неожиданно завершилось. Поэтому команды принимаются и выполняются только в консоле.
Re: впервые настраиваю iptables, проблемы 15.03.2007 14:18wusup >- с этого сервера перестал пускать в Интернет, поэтому выхожу с другого ПК

У вас прописаны правила:
---
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP

$ipt -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$ipt -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
---
вот это уберите:
---
-s 127.0.0.0/8 -d 127.0.0.0/8
---
Re: впервые настраиваю iptables, проблемы 15.03.2007 15:20ReVN Переустановил все с нуля. Маскаратинг работает. Спасибо!
Вопрос с выключением и перезагрузкой в графическом режиме отпал, все нормально.

правила прописал
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP

$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT

Но с сервера в Интернет не пускает.

Это уже не так сильно необходимо, но пригодилось бы. Хотя на старом сервере эти строки в правилах существуют и он как то выходит в Интернет.
Re: впервые настраиваю iptables, проблемы 16.03.2007 09:02wusup >Но с сервера в Интернет не пускает.

В /etc/reslov.conf ДНС сервера прописаны?
Re: впервые настраиваю iptables, проблемы 19.03.2007 15:52ReVN Да в /etc/reslov.conf ДНС сервера прописаны, проверил.

Еще в мануале по безопасности прочитал, что в /etc/hosts.allow нужно разрешить использовать локальный INET #ALL:127.0.0.1
Попробовал прописать, но не помогло.
Re: впервые настраиваю iptables, проблемы 14.05.2007 11:26ReVN Возвращаюсь к вопросу, что не пускает с сервера (т.е. с адреса 127.0.0.1) в Интернет. Все выше описанное пробовал, но не помогло. (Учусь сам как могу, а подсказать рядом не кому). Как устранить?
Это начало следующего вопроса, что сеть разрастается и необходимо решать вопрос с тарификацией каждого пользователя по IP адресу. Прочитал описания к программа NETAMS, IPCAD, Netbill, Ntop. Понял, что пока для меня многое сложно. Как подступится к этому вопросу, посоветуйте?
Re: впервые настраиваю iptables, проблемы 14.05.2007 13:21wusup >не пускает с сервера

---
sudo iptables -A OUTPUT -o eth0 --match state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 --match state --state RELATED,ESTABLISHED -j ACCEPT
---
Re: впервые настраиваю iptables, проблемы 14.05.2007 13:23wusup >Как подступится к этому вопросу, посоветуйте?

Тяжело в учение легко в бою. Лучше стоит с этим разобраться раз и навсегда.
Попробуйте, что не получается пишите.
Re: впервые настраиваю iptables, проблемы 14.05.2007 14:00ReVN Спасибо! В Интернет вошел! Хотя еще не разобрался со всем смыслом проделанного. Хотел ответить с сервера, но не под какими комбинациями не переключается раскладка на русскую. Как тяжело дается познание в Линуксе или я бестолковый.
С тарификацией трафика думаю попробовать на ipcad, есть статья из журнала "системный администратор", посвящена пощаговой настройке. Или есть другие советы?
Re: впервые настраиваю iptables, проблемы 14.05.2007 14:27ReVN Перезагрузил сервер. В Интернет опять не пускает, пока не повторил
sudo iptables -A OUTPUT -o eth0 --match state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 --match state --state RELATED,ESTABLISHED -j ACCEPT
Может необходимо добавить команды в etc/test.conf?
Re: впервые настраиваю iptables, проблемы 14.05.2007 18:27Bircoph после выполнения этих команд, выполните от рута
# service iptables save
Re: впервые настраиваю iptables, проблемы 15.05.2007 09:05wusup >Может необходимо добавить команды в etc/test.conf?

Добавьте.


>service iptables save

у него нет service.

---
[root@localhost rijov]# service iptables start
bash: service: command not found
---
Re: впервые настраиваю iptables, проблемы 15.05.2007 15:31DDDstart а вы попробуйте так:
/sbin/service iptables save
Re: впервые настраиваю iptables, проблемы 16.05.2007 08:30ReVN Пробовал
# service iptables save

и пробовал
/sbin/service iptables save

После перезагрузки входа в интернет нет, пока не добавишь
sudo iptables -A OUTPUT -o eth0 --match state --state NEW,RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 --match state --state RELATED,ESTABLISHED -j ACCEPT

Так, что дописал команды в etc/test.conf и на этом все застабилизировалось.

Сейчас борюсь с переключением раскладки анг.-рус. Не вернулась, хотя все сделал, как писали в руководстве. Но теперь ругается:
"Ошибка активации параметров ХКЗ.Она может произойти при следующих обстоятельствах: ошибка в библиотеке libxklaver, ошибка в Х сервере (утилиты xkbcomp,xmodmap) Х сервер имеет несовместимую реализацию libxkbfile.
Данные о версии Х-сервера:
The X.Org Foundation
6090000
Легче наверно переустановить, чем разобраться.
RSS-материал