Kongiuracja Iptables

[Ravczy]

Witam,

 

Mam problem z połączeniem i iptables. Nie wiem co jest, ale iptables skonfigurowane jest zupełnie inaczej niż się zachowuje połączenie internetowe. Porty, które odblokowałem są zablokowane i nie chce być inaczej.

 

To moj plik konfiguracyjny:

 

# Generated by iptables-save v1.3.8 on Thu Oct 30 21:12:57 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10:1441]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -p tcp -m tcp --dport 24661 -j ACCEPT
-A INPUT -p udp -m udp --dport 24662 -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -p tcp -m tcp --dport 24661 -j ACCEPT
-A FORWARD -p udp -m udp --dport 24672 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 24661 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 24672 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Oct 30 21:12:57 2008
# Generated by iptables-save v1.3.8 on Thu Oct 30 21:12:57 2008
*nat
:PREROUTING ACCEPT [60:4363]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:108]
-A PREROUTING -d 195.xxx.xxx.xxx-p tcp -m tcp --dport 24661 -j DNAT --to-destination 192.168.0.14
-A PREROUTING -d 195.xxx.xxx.xxx-p udp -m udp --dport 24672 -j DNAT --to-destination 192.168.0.14
-A PREROUTING -i wlan0 -p tcp -m tcp --dport 24661 -j DNAT --to-destination 192.168.0.14
-A PREROUTING -i wlan0 -p udp -m udp --dport 24672 -j DNAT --to-destination 192.168.0.14
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Thu Oct 30 21:12:57 2008
# Generated by iptables-save v1.3.8 on Thu Oct 30 21:12:57 2008
*mangle
:PREROUTING ACCEPT [113:12271]
:INPUT ACCEPT [8:1193]
:FORWARD ACCEPT [101:10484]
:OUTPUT ACCEPT [10:1441]
:POSTROUTING ACCEPT [111:11925]
COMMIT
# Completed on Thu Oct 30 21:12:57 2008

 

Porty 24672 i 24661 nie chcą się odblokować. Podobnie jak chcę odblokować jakikolwiek inny port, to w ogóle nie wnosi żadnych rezultatów.

 

Dodam jeszcze, że niedawno wszystko działało. Nie wiem, czy moze byc to spowodowane tym, ze w ntsysv wylaczylem ładowanie jakiegoś demona.

 

Przy restarcie iptables pojawia mi sie jeszcze takie coś:

 

[root@lxn01 ~]# /etc/rc.d/init.d/iptables restart
Czyszczenie reguł zapory sieciowej:                        [  OK  ]
Ustawianie łańcuchów dla polityki ACCEPT: nat mangle filter[  OK  ]
Wyładowywanie modułów iptables:                            [ZAWIÓDŁ]   <--------tu jest problem
Zastosowywanie reguł zapory sieciowej z iptables:          [  OK  ]

 

[Ravczy]

Dziś zrobiłem aktualizacje całego systemu, ale iptables nadal nie działa jak trzeba.

Zmiana w pliku /etc/sysconfig/iptables nie wpływa na zmianę działania zapory sieciowej.

Działa jedynie na dwóch skonfigurowanych portach przy instalacji fedory 22 i 10000. Gdy chce odblokowac np 4661 emule lub 80 www, to nie daje to zadnych rezultatów.

[@WalDo]

Działa jedynie na dwóch skonfigurowanych portach przy instalacji fedory 22 i 10000. Gdy chce odblokowac np 4661 emule lub 80 www(...)

No to chyba najprościej popatrzeć jak to jest zrobione dla portu 10000 i dodać taką samą regułę dla 4661. Pamiętaj, że kolejność wpisów ma znaczenie. Konfiguracja jest czytana "od góry" tak jak to zapisane w pliku, czyli tak jak pokazuje wyjście iptables-save. Jeśli jakaś reguła spełnia warunki, to te dalsze już nie są przetwarzane.

Z tego co pokazałeś żadnych wpisów dot. portów 4661 czy 80 nie masz w pliku konfiguracyjnym. Jak dodajesz te reguły? Czy zapisujesz je w pliku konfiguracyjnym po dodaniu?

 

Czy ja dobrze rozumiem, że nie działa Ci port 80? To jak dostajesz się do internetu? Przecież 80 to http?

 

A najprościej to odpal system-config-firewall i dodaj w tym graficznym narządku.

 

[Adi1981]

Podstawowe pytanie: maszyna na której próbujesz skonfigurować firewalla jest serwerem dla komputerów w sieci czy Twoim domowym komputerem ?

[Ravczy]

Komputer, na ktorym mam zainstalowana fedore pelni role routera i serwera plikow.

Reguly stosuje od x czasu i caly czas dzialalo.

Najlepsze jest to, ze juz wszystko bylo ok, a po zrobieniu aktualizacji calego systemu i restarcie maszyny

router przestal udostepniac internet

 

[@WalDo]

po zrobieniu aktualizacji calego systemu i restarcie maszyny

SElinux?

 

[Ravczy]

SElinux?

 

Wylaczylem selinux, ale nadal nic.

 

zmienilem ustawienia /etc/sysconfig/selinux

 

selinux=disabled

 

i tam gdzie jest ustawienie target zahashowalem

 

Odkrylem tez, ze zainstalowal sie taki demon jak NetworkMenager.

Jak go uruchomie, to wlacza sie routing, ale wysiada internet z wlan0

[Ravczy]

Problem rozwiązałem. Okazało się, że przy jądrze, które było zainstalowane z płyty jest ok, a po aktualizacji jądra do najnowszego posypało się udostępnianie internetu. Powróciłem do starego jądra.

[moorray]

Zobacz co masz w nowym jądrze w /proc/sys/net/ipv4/ip_forward.

 

EDIT: Tzn. włącz na nowym jądrze i zobacz co tam jest

[Ravczy]

Zobacz co masz w nowym jądrze w /proc/sys/net/ipv4/ip_forward.

 

EDIT: Tzn. włącz na nowym jądrze i zobacz co tam jest

 

Jest ustawione na 1