Помогите с Forward
Использую дистрибутив ALT Master 2.0
firewall ipchains в файле правил запрещаю forward файл правил: Chain input (policy ACCEPT) Chain forward (policy DENY) Chain output (policy ACCEPT) пингую машину из сетки пинг проходит, а не должен вывод неработает forward как выяснить причину почему не работает может проблема в маршрутизации вот таблица IP routing Destination Gateway Genmask Flag Metric Ref Use Iface 62.219.39.64 0.0.0.0 255.255.255.224 U 0 0 0 eth0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 62.219.39.65 0.0.0.0 UG 0 0 0 eth0 |
Файл правил -- это хорошо, -- а вот что говорит ipchains -L -n -v ? Особенно во время пинга, с пятисекундным перерывом -- пару снэпшотов.
ЗЫ: как вариант: echo 0 >/proc/sys/net/ipv4/ip_forward (:)) |
Вот что вы просили
ipchains -L -n -v Chain input (policy ACCEPT: 9718 packets, 1101008 bytes) Chain forward (policy DENY: 0 packets, 0 bytes) Chain output (policy ACCEPT: 1669 packets, 144600 bytes) здесь я пингую Chain input (policy ACCEPT: 9728 packets, 1101868 bytes) Chain forward (policy DENY: 0 packets, 0 bytes) Chain output (policy ACCEPT: 1680 packets, 145402 bytes) |
В цепочку forward попадают пакеты, проходящие через машину. Пакеты, предназначенные для самой машины, проходят только через цепочку input. Неудивительно, что они проходят, ведь на нее правило - ACCEPT.
|
В общем-то да, похоже, Вы не _через_ машину пингуете, а _с_ неё или _на_ неё.
|
Теперь я forward открыл
и пингую www.ru получаю следующее ipchains -L -n -v Chain input (policy ACCEPT: 249 packets, 25607 bytes) Chain forward (policy DENY: 0 packets, 0 bytes) Chain output (policy ACCEPT: 12 packets, 912 bytes) здесь я пингую Chain input (policy ACCEPT: 253 packets, 25917 bytes) Chain forward (policy DENY: 0 packets, 0 bytes) Chain output (policy ACCEPT: 12 packets, 912 bytes) ответа нет |
виноват не открыл
Теперь я forward открыл и пингую www.ru получаю следующее ipchains -L -n -v Chain input (policy ACCEPT: 249 packets, 25607 bytes) Chain forward (policy ACCEPT: 0 packets, 0 bytes) Chain output (policy ACCEPT: 12 packets, 912 bytes) здесь я пингую Chain input (policy ACCEPT: 253 packets, 25917 bytes) Chain forward (policy ACCEPT: 0 packets, 0 bytes) Chain output (policy ACCEPT: 12 packets, 912 bytes) |
Короче, чтобы не париться:
машина А -- откуда пингуешь машина Б -- где ipchains машина В -- которую пингуешь Один вопрос -- А и Б -- одна машина? Если "да", то при чём тут forward? Если "нет", то траффик у тебя идёт не через А. Мимо ipchains проходящие пакеты не могут пройти. |
Нет я пингую www.ru не с машины на которой стоит ipchains, а с машины которая стоит в сетке. Я сам дико удивляюсь, но картина именно такая......
|
Значит, траффик идёт не через фв. Можно посмотреть через traceroute.
|
Я настраиваю Linux на ходу.
Просто выдергиваю выделенку из старого firewall и вставляю в настраиваемую машину. При этом старый firewall не отклучаю сушествует ли вариант что трафик сваливается именно в старый firewall???????????? |
Именно такой вариант наиболее похож на правду :)
Если никакой настройки на "машине А" (по ihc) не производилось, то она и будет тупо лезть через старый шлюз. Выяснить, так это или нет, помогут команды (в windows) ipconfig (покажет основной шлюз, должен быть указан ip-адрес не старого fw, а нового) и уже упоминавшийся tracert www.ru (покажет реально, через какие хосты проходит запрос) |
Спасибо вроде стал пинговаться и работать.......... :4u:
|
Проблемы дальше возникли у меня.
пишу следующее............. tracert 194.67.23.111 Tracing route to 194.67.23.111 over a maximum of 30 hops 1. <10 ms <10 ms <10 ms 192.168.0.253 2. * * * Request time out 3. * * * Request time out 4. * * * Request time out . . мне обсолютно не понятно должно пинговаться...........же |
Если при вопросе чётко говорить условия -- всем станет легче. Трейс -- откуда? Через шлюз? На шлюзе включен форвард? Фильтры? Что говорит tcpdump?
|
Время: 09:59. |
Время: 09:59.
© OSzone.net 2001-