Помогите с Forward
 

Использую дистрибутив ALT Master 2.0
firewall ipchains
в файле правил запрещаю forward
файл правил:
Chain input (policy ACCEPT)
Chain forward (policy DENY)
Chain output (policy ACCEPT)
пингую машину из сетки пинг проходит, а не должен
вывод неработает forward как выяснить причину почему не работает может проблема в маршрутизации вот таблица IP routing
Destination Gateway Genmask Flag Metric Ref Use Iface
62.219.39.64 0.0.0.0 255.255.255.224 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 62.219.39.65 0.0.0.0 UG 0 0 0 eth0

Файл правил -- это хорошо, -- а вот что говорит ipchains -L -n -v ? Особенно во время пинга, с пятисекундным перерывом -- пару снэпшотов.

ЗЫ: как вариант: echo 0 >/proc/sys/net/ipv4/ip_forward (:))

Вот что вы просили
ipchains -L -n -v
Chain input (policy ACCEPT: 9718 packets, 1101008 bytes)
Chain forward (policy DENY: 0 packets, 0 bytes)
Chain output (policy ACCEPT: 1669 packets, 144600 bytes)

здесь я пингую

Chain input (policy ACCEPT: 9728 packets, 1101868 bytes)
Chain forward (policy DENY: 0 packets, 0 bytes)
Chain output (policy ACCEPT: 1680 packets, 145402 bytes)

В цепочку forward попадают пакеты, проходящие через машину. Пакеты, предназначенные для самой машины, проходят только через цепочку input. Неудивительно, что они проходят, ведь на нее правило - ACCEPT.

В общем-то да, похоже, Вы не _через_ машину пингуете, а _с_ неё или _на_ неё.

Теперь я forward открыл
и пингую www.ru
получаю следующее

ipchains -L -n -v
Chain input (policy ACCEPT: 249 packets, 25607 bytes)
Chain forward (policy DENY: 0 packets, 0 bytes)
Chain output (policy ACCEPT: 12 packets, 912 bytes)

здесь я пингую

Chain input (policy ACCEPT: 253 packets, 25917 bytes)
Chain forward (policy DENY: 0 packets, 0 bytes)
Chain output (policy ACCEPT: 12 packets, 912 bytes)

ответа нет

виноват не открыл
Теперь я forward открыл
и пингую www.ru
получаю следующее

ipchains -L -n -v
Chain input (policy ACCEPT: 249 packets, 25607 bytes)
Chain forward (policy ACCEPT: 0 packets, 0 bytes)
Chain output (policy ACCEPT: 12 packets, 912 bytes)

здесь я пингую

Chain input (policy ACCEPT: 253 packets, 25917 bytes)
Chain forward (policy ACCEPT: 0 packets, 0 bytes)
Chain output (policy ACCEPT: 12 packets, 912 bytes)

Короче, чтобы не париться:

машина А -- откуда пингуешь
машина Б -- где ipchains
машина В -- которую пингуешь

Один вопрос -- А и Б -- одна машина? Если "да", то при чём тут forward? Если "нет", то траффик у тебя идёт не через А. Мимо ipchains проходящие пакеты не могут пройти.

Нет я пингую www.ru не с машины на которой стоит ipchains, а с машины которая стоит в сетке. Я сам дико удивляюсь, но картина именно такая......

Значит, траффик идёт не через фв. Можно посмотреть через traceroute.

Я настраиваю Linux на ходу.
Просто выдергиваю выделенку из старого firewall и вставляю в настраиваемую машину.
При этом старый firewall не отклучаю сушествует ли вариант что трафик сваливается именно в старый firewall????????????

Именно такой вариант наиболее похож на правду :)

Если никакой настройки на "машине А" (по ihc) не производилось, то она и будет тупо лезть через старый шлюз. Выяснить, так это или нет, помогут команды (в windows) ipconfig (покажет основной шлюз, должен быть указан ip-адрес не старого fw, а нового) и уже упоминавшийся tracert www.ru (покажет реально, через какие хосты проходит запрос)

Спасибо вроде стал пинговаться и работать.......... :4u:

Проблемы дальше возникли у меня.
пишу следующее.............

tracert 194.67.23.111

Tracing route to 194.67.23.111 over a maximum of 30 hops
1. <10 ms <10 ms <10 ms 192.168.0.253
2. * * * Request time out
3. * * * Request time out
4. * * * Request time out
.
.

мне обсолютно не понятно должно пинговаться...........же

Если при вопросе чётко говорить условия -- всем станет легче. Трейс -- откуда? Через шлюз? На шлюзе включен форвард? Фильтры? Что говорит tcpdump?