yogardo Napisano Luty 24, 2008 Zgłoszenie Share Napisano Luty 24, 2008 Witam! Mam dziwny problem, dostałem dostęp do serwera, gdzie mam uruchomic jakieś tam usługi (www, poczta). O ile do serwera sie loguje bez problemu, to nie mam wyjścia na zewnątrz. Pingi nie przechodzą (po url i po ip). W serwerze sa 2 karty sieciowe eth1, którą przychodzi net oraz eth0 gdzie wychodzi na sieć lokalna(na siec lokalna jest podsciec z ip publicznymi). Interfejsy na obu kartach są podniesione. Po wykonaniu polecenia route -n mam: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.23.8 0.0.0.0 255.255.255.252 U 0 0 0 eth1 xyz.225.xyz.160 0.0.0.0 255.255.255.224 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 192.168.23.9 0.0.0.0 UG 0 0 0 eth1 natomiast po wykonaniu polecenia iptables -L -t nat otrzymuje # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth0 -j ACCEPT -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT prosze o sugestie Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Luty 24, 2008 Zgłoszenie Share Napisano Luty 24, 2008 W serwerze sa 2 karty sieciowe eth1, którą przychodzi net oraz eth0 gdzie wychodzi na sieć lokalnaTak patrząc na IP, to chyba odwrotnie? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yogardo Napisano Luty 24, 2008 Autor Zgłoszenie Share Napisano Luty 24, 2008 Tak patrząc na IP, to chyba odwrotnie? no wlasnie nie :/ ip z netem jest z puli prywatnej, natomiast lokalne sa ip zewnetrznymi Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
cracket Napisano Luty 24, 2008 Zgłoszenie Share Napisano Luty 24, 2008 Nie za dobrze rozumiem twój problem,ale spróbujemy wydedukować Rozumiem że cały problem to wracanie pinga? 1) Zakładam że na maszynę dostajesz się lokalnie z konsoli 2) próbujesz uruchomić pinga na www.onet.pl lub odpowiadający mu adres IP (widział ktoś puszczanie pinga na URL? :lammer: ) 3) ping wysyła pakiet przez domyślną bramkę 192.168.23.9 4) odpowiedź nie wraca Więc przezorny administrator robi: 5) ping 192.168.23.9 i dzięki temu ma orientację - czy maszyna wypuszcza pingi (test firewalla) - czy bramka przyjmuje i odpowiada na pingi ale oczywiście to za mało, bo bramka może pingi przyjmować,ale nie forwardować. Bardziej sprytny admin idzie do admina 192.168.23.9 i pyta się go czy nat na bramce nie ma żadnych ograniczeń na forwardowanie połączeń wychodzących, bo w konfiguracji iptables którą wkleiłeś nie ma żadnych ograniczeń na ICMP A najbardziej sprytny admin patrzy do manuala pinga i szuka sekcji: -I interface address i dzięki temu wyprowadza pinga przez eth1 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
yogardo Napisano Luty 24, 2008 Autor Zgłoszenie Share Napisano Luty 24, 2008 Nie za dobrze rozumiem twój problem,ale spróbujemy wydedukować Rozumiem że cały problem to wracanie pinga? 1) Zakładam że na maszynę dostajesz się lokalnie z konsoli nie - mam dostęp z zewnątrz 2) próbujesz uruchomić pinga na www.onet.pl lub odpowiadający mu adres IP (widział ktoś puszczanie pinga na URL? :lammer: ) nie dziala i na ip i na wp.pl 3) ping wysyła pakiet przez domyślną bramkę 192.168.23.9 z bramy ping wraca 4) odpowiedź nie wraca Więc przezorny administrator robi: 5) ping 192.168.23.9 i dzięki temu ma orientację - czy maszyna wypuszcza pingi (test firewalla) - czy bramka przyjmuje i odpowiada na pingi ale oczywiście to za mało, bo bramka może pingi przyjmować,ale nie forwardować. Bardziej sprytny admin idzie do admina 192.168.23.9 i pyta się go czy nat na bramce nie ma żadnych ograniczeń na forwardowanie połączeń wychodzących, bo w konfiguracji iptables którą wkleiłeś nie ma żadnych ograniczeń na ICMP A najbardziej sprytny admin patrzy do manuala pinga i szuka sekcji: -I interface address pingowalem na rozne sposoby - ping -I eth0/-I eth1/... i dzięki temu wyprowadza pinga przez eth1 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się