forum.opennet.ru - "iptables" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables"	+/–
Сообщение от ivan3iy (ok) on 08-Апр-12, 00:28
Здравствуйте! Проблема: шлюз с dhcp и bind подключен к инету через pppoe со статическим адресом. после перезагрузки, сервер перестает раздавать инет и не пускает к себе из внешней сети. на самом сервере инет работает. после выполнения команды service iptables restart все начинает работать. Куда копать?
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables, PavelR, 00:31 , 08-Апр-12, (1)

iptables, ivan3iy, 00:52 , 08-Апр-12, (2)

iptables, PavelR, 07:56 , 08-Апр-12, (3)
iptables, Аноним, 09:53 , 09-Апр-12, (12)

iptables, Дядя_Федор, 11:11 , 08-Апр-12, (4)

iptables, ivan3iy, 17:09 , 08-Апр-12, (5)

iptables, Дядя_Федор, 20:51 , 08-Апр-12, (6)

iptables, Дядя_Федор, 20:57 , 08-Апр-12, (7)

iptables, ivan3iy, 21:49 , 08-Апр-12, (8)

iptables, ivan3iy, 22:00 , 08-Апр-12, (9)

iptables, ivan3iy, 22:01 , 08-Апр-12, (10)

iptables, Дядя_Федор, 08:33 , 09-Апр-12, (11)
iptables, konst, 23:06 , 16-Апр-12, (13)

iptables, LSTemp, 19:26 , 27-Апр-12, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables" +/–

Сообщение от PavelR (ok) on 08-Апр-12, 00:31

> Здравствуйте!
> Проблема:
> шлюз с dhcp и bind подключен к инету через pppoe со статическим
> адресом.
> после перезагрузки, сервер перестает раздавать инет и не пускает к себе из
> внешней сети. на самом сервере инет работает.
> после выполнения команды service iptables restart все начинает работать.
> Куда копать?
сравнить вывод iptables-save до "service iptables restart" и после.
Вот туда и копать.
Аналогичным образом проверить ip_forward, для верности.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables" +/–

Сообщение от ivan3iy (ok) on 08-Апр-12, 00:52

> сравнить вывод iptables-save до "service iptables restart" и после.
> Вот туда и копать.
> Аналогичным образом проверить ip_forward, для верности.
Перезагрузить сервер сейчас не могу, но посмотрел iptables.save в нем нет таблицы nat в которой у меня построутинг прописан - так и должно быть?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables" +/–

Сообщение от PavelR (ok) on 08-Апр-12, 07:56

>> сравнить вывод iptables-save до "service iptables restart" и после.
>> Вот туда и копать.
>> Аналогичным образом проверить ip_forward, для верности.
> Перезагрузить сервер сейчас не могу, но посмотрел iptables.save
> в нем нет таблицы nat в которой у меня построутинг прописан - так и должно
> быть?
Я не знаю. Ваша система, ваша конфигурация.
Учитывая, что вы заявляете, что "service iptables restart" решает проблему и всё всё-таки работает - то значит так и должно быть, да.
С другой стороны, как и где "у вас построутинг прописан" если нет таблицы nat в iptables.save - я понять не могу. Вот сами и разбирайтесь в этом колхозе.
// На всякий случай: знак "точка" и знак "минус" - это разные знаки.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "iptables" +/–

Сообщение от Аноним (??) on 09-Апр-12, 09:53

Правилила с натом применяются до поднятия ppoe подика. Смотри куда их прописываешь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "iptables" +/–

Сообщение от Дядя_Федор on 08-Апр-12, 11:11

> после перезагрузки, сервер перестает раздавать инет и не пускает к себе из
> внешней сети. на самом сервере инет работает.
После перезагрузки ЧЕГО? Самого сервера?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "iptables" +/–

Сообщение от ivan3iy (ok) on 08-Апр-12, 17:09

>  После перезагрузки ЧЕГО? Самого сервера?
Да.
iptables очистил от всех правил фильтрации, осталась только строка
*nat
-A POSTROUTING -o ppp0 -j SNAT --to-source 1.2.3.4
сервер без экспериментов пока еще. Centos 5.7, установил bind и dhcp.
Предполагаю что проблема в том что изначально я настроил фаервол через setup, а потом поправил таблицу и сохранил.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "iptables" +/–

Сообщение от Дядя_Федор on 08-Апр-12, 20:51

> iptables очистил от всех правил фильтрации, осталась только строка
> *nat
> -A POSTROUTING -o ppp0 -j SNAT --to-source 1.2.3.4
А разрешать прохождение пакетов в FORWARD уже не принято? :) Или Вы просто эту таблицу не привели? Я не помню точно, как в ЦентОси, а в Дженте обычно формируют некий файл-шаблон для iptables. При помощи его загоняют все нужные правила. Потом выполняют /etc/init.d/iptables save - и все правила сохраняются в /var/lib/iptables/rules-save (хотя и имя файла и то, будут ли правила сохраняться при остановке iptables - зависит от параметров /etc/conf.d/iptables). И, собственно, все. После перезагрузки iptables "подсасывает" эти правила. Разумеется, если Вы в процессе работы внесете потом изменения в правила и не выполните приведенную выше команду - изменений при перезагрузке не будет. Покопайтесь в конфигурационных файлах в /etc для iptables - наверняка в ЦентОси там много чего задать можно. У меня есть тут в стороне не свои 3 сервера с CentOS - но сейчас смотреть что там и как - лениво. Общий принцип на примере другого дистрибутива я изложил.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "iptables" +/–

Сообщение от Дядя_Федор on 08-Апр-12, 20:57

Глянул. Ну вот жыж - файл /etc/sysconfig/iptables-config:
-------------
# Save current firewall rules on stop.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "iptables" +/–

Сообщение от ivan3iy (ok) on 08-Апр-12, 21:49

> Глянул. Ну вот жыж - файл /etc/sysconfig/iptables-config:
> -------------
> # Save current firewall rules on stop.
> #   Value: yes|no,  default: no
> # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
> # (e.g. on system shutdown).
> IPTABLES_SAVE_ON_STOP="no"
форвард пакетов включен.
Я сегодня обратил внимание на iptables-config, :) Завтра проверю этот раздел и отпишусь. Спасибо!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "iptables" +/–

Сообщение от ivan3iy (ok) on 08-Апр-12, 22:00

Вообще у меня два сервера 1 CentOS 5.5 и 5.7
конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на 5.7 через ppp0

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "iptables" +/–

Сообщение от ivan3iy (ok) on 08-Апр-12, 22:01

> Вообще у меня два сервера 1 CentOS 5.5 и 5.7
> конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на
> 5.7 через ppp0
на 5.5 после перезагрузки все работает на 5.7 нет

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "iptables" +/–

Сообщение от Дядя_Федор on 09-Апр-12, 08:33

> на 5.5 после перезагрузки все работает на 5.7 нет
Смотрим содержимое указанного выше файла после перезагрузки, смотрим - запустилась ли служба iptables после перезагрузки. Если не запустилась - смотрим причину незапуска (возможно, какие-то заморочки ppp0).

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "iptables" +/–

Сообщение от konst (??) on 16-Апр-12, 23:06

>> Вообще у меня два сервера 1 CentOS 5.5 и 5.7
>> конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на
>> 5.7 через ppp0
> на 5.5 после перезагрузки все работает на 5.7 нет
service iptables restart
Эта команда считывает данные из:
/etc/sysconfig/iptables
посмотреть запускается ли iptables при старте системы (ntsysv)
посмотреть содержимое /etc/rc.local (м.б. оттуда скрипт запускается)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "iptables" +/–

Сообщение от LSTemp (ok) on 27-Апр-12, 19:26

> Здравствуйте!
> Проблема:
> шлюз с dhcp и bind подключен к инету через pppoe со статическим
> адресом.
> после перезагрузки, сервер перестает раздавать инет и не пускает к себе из
> внешней сети. на самом сервере инет работает.
> после выполнения команды service iptables restart все начинает работать.
> Куда копать?
похоже что бинд стартует до поднятия динамического интерфейса в инет и соотвественно не может привязаться к нему. к тому же Вы используете форвард на ДНС провайдера (или другой внешний ДНС).
- попросите у провайдера локальный адрес его ДНС, который может быть использован до поднятия PPP, пропишите роуты на него ч/з физический интерфейс и делайте форвард своего ДНС туда
- попробуйте опцию "interface-interval 0;" в named.conf.
https://www.isc.org/software/bind/documentation
interface-interval The server will scan the network interface list every interface-interval minutes. The
default is 60 minutes. The maximum value is 28 days (40320 minutes). If set to 0, interface scanning
will only occur when the configuration file is loaded. After the scan, the server will begin listening
for queries on any newly discovered interfaces (provided they are allowed by the listen-on
configuration), and will stop listening on interfaces that have gone away.
PS
в упор не втыкаю, как перезагрузка iptables могла бы помочь в прогнозироемом мной случае, разче что у Вас не чистый NAT....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables"	+/–
Сообщение от PavelR (ok) on 08-Апр-12, 00:31
> Здравствуйте! > Проблема: > шлюз с dhcp и bind подключен к инету через pppoe со статическим > адресом. > после перезагрузки, сервер перестает раздавать инет и не пускает к себе из > внешней сети. на самом сервере инет работает. > после выполнения команды service iptables restart все начинает работать. > Куда копать? сравнить вывод iptables-save до "service iptables restart" и после. Вот туда и копать. Аналогичным образом проверить ip_forward, для верности.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "iptables"	+/–
	Сообщение от ivan3iy (ok) on 08-Апр-12, 00:52
	> сравнить вывод iptables-save до "service iptables restart" и после. > Вот туда и копать. > Аналогичным образом проверить ip_forward, для верности. Перезагрузить сервер сейчас не могу, но посмотрел iptables.save в нем нет таблицы nat в которой у меня построутинг прописан - так и должно быть?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "iptables"	+/–
	Сообщение от PavelR (ok) on 08-Апр-12, 07:56
	>> сравнить вывод iptables-save до "service iptables restart" и после. >> Вот туда и копать. >> Аналогичным образом проверить ip_forward, для верности. > Перезагрузить сервер сейчас не могу, но посмотрел iptables.save > в нем нет таблицы nat в которой у меня построутинг прописан - так и должно > быть? Я не знаю. Ваша система, ваша конфигурация. Учитывая, что вы заявляете, что "service iptables restart" решает проблему и всё всё-таки работает - то значит так и должно быть, да. С другой стороны, как и где "у вас построутинг прописан" если нет таблицы nat в iptables.save - я понять не могу. Вот сами и разбирайтесь в этом колхозе. // На всякий случай: знак "точка" и знак "минус" - это разные знаки.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	12. "iptables"	+/–
	Сообщение от Аноним (??) on 09-Апр-12, 09:53
	Правилила с натом применяются до поднятия ppoe подика. Смотри куда их прописываешь.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "iptables"	+/–
Сообщение от Дядя_Федор on 08-Апр-12, 11:11
> после перезагрузки, сервер перестает раздавать инет и не пускает к себе из > внешней сети. на самом сервере инет работает. После перезагрузки ЧЕГО? Самого сервера?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "iptables"	+/–
	Сообщение от ivan3iy (ok) on 08-Апр-12, 17:09
	> После перезагрузки ЧЕГО? Самого сервера? Да. iptables очистил от всех правил фильтрации, осталась только строка *nat -A POSTROUTING -o ppp0 -j SNAT --to-source 1.2.3.4 сервер без экспериментов пока еще. Centos 5.7, установил bind и dhcp. Предполагаю что проблема в том что изначально я настроил фаервол через setup, а потом поправил таблицу и сохранил.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "iptables"	+/–
	Сообщение от Дядя_Федор on 08-Апр-12, 20:51
	> iptables очистил от всех правил фильтрации, осталась только строка > *nat > -A POSTROUTING -o ppp0 -j SNAT --to-source 1.2.3.4 А разрешать прохождение пакетов в FORWARD уже не принято? :) Или Вы просто эту таблицу не привели? Я не помню точно, как в ЦентОси, а в Дженте обычно формируют некий файл-шаблон для iptables. При помощи его загоняют все нужные правила. Потом выполняют /etc/init.d/iptables save - и все правила сохраняются в /var/lib/iptables/rules-save (хотя и имя файла и то, будут ли правила сохраняться при остановке iptables - зависит от параметров /etc/conf.d/iptables). И, собственно, все. После перезагрузки iptables "подсасывает" эти правила. Разумеется, если Вы в процессе работы внесете потом изменения в правила и не выполните приведенную выше команду - изменений при перезагрузке не будет. Покопайтесь в конфигурационных файлах в /etc для iptables - наверняка в ЦентОси там много чего задать можно. У меня есть тут в стороне не свои 3 сервера с CentOS - но сейчас смотреть что там и как - лениво. Общий принцип на примере другого дистрибутива я изложил.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "iptables"	+/–
	Сообщение от Дядя_Федор on 08-Апр-12, 20:57
	Глянул. Ну вот жыж - файл /etc/sysconfig/iptables-config: ------------- # Save current firewall rules on stop. # Value: yes\|no, default: no # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped # (e.g. on system shutdown). IPTABLES_SAVE_ON_STOP="no"
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "iptables"	+/–
	Сообщение от ivan3iy (ok) on 08-Апр-12, 21:49
	> Глянул. Ну вот жыж - файл /etc/sysconfig/iptables-config: > ------------- > # Save current firewall rules on stop. > # Value: yes\|no, default: no > # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped > # (e.g. on system shutdown). > IPTABLES_SAVE_ON_STOP="no" форвард пакетов включен. Я сегодня обратил внимание на iptables-config, :) Завтра проверю этот раздел и отпишусь. Спасибо!
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "iptables"	+/–
	Сообщение от ivan3iy (ok) on 08-Апр-12, 22:00
	Вообще у меня два сервера 1 CentOS 5.5 и 5.7 конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на 5.7 через ppp0
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "iptables"	+/–
	Сообщение от ivan3iy (ok) on 08-Апр-12, 22:01
	> Вообще у меня два сервера 1 CentOS 5.5 и 5.7 > конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на > 5.7 через ppp0 на 5.5 после перезагрузки все работает на 5.7 нет
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "iptables"	+/–
	Сообщение от Дядя_Федор on 09-Апр-12, 08:33
	> на 5.5 после перезагрузки все работает на 5.7 нет Смотрим содержимое указанного выше файла после перезагрузки, смотрим - запустилась ли служба iptables после перезагрузки. Если не запустилась - смотрим причину незапуска (возможно, какие-то заморочки ppp0).
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "iptables"	+/–
	Сообщение от konst (??) on 16-Апр-12, 23:06
	>> Вообще у меня два сервера 1 CentOS 5.5 и 5.7 >> конфигурация iptables одинаковая, но на 5.5 инет на eth0 приходит а на >> 5.7 через ppp0 > на 5.5 после перезагрузки все работает на 5.7 нет service iptables restart Эта команда считывает данные из: /etc/sysconfig/iptables посмотреть запускается ли iptables при старте системы (ntsysv) посмотреть содержимое /etc/rc.local (м.б. оттуда скрипт запускается)
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

14. "iptables"	+/–
Сообщение от LSTemp (ok) on 27-Апр-12, 19:26
> Здравствуйте! > Проблема: > шлюз с dhcp и bind подключен к инету через pppoe со статическим > адресом. > после перезагрузки, сервер перестает раздавать инет и не пускает к себе из > внешней сети. на самом сервере инет работает. > после выполнения команды service iptables restart все начинает работать. > Куда копать? похоже что бинд стартует до поднятия динамического интерфейса в инет и соотвественно не может привязаться к нему. к тому же Вы используете форвард на ДНС провайдера (или другой внешний ДНС). - попросите у провайдера локальный адрес его ДНС, который может быть использован до поднятия PPP, пропишите роуты на него ч/з физический интерфейс и делайте форвард своего ДНС туда - попробуйте опцию "interface-interval 0;" в named.conf. https://www.isc.org/software/bind/documentation interface-interval The server will scan the network interface list every interface-interval minutes. The default is 60 minutes. The maximum value is 28 days (40320 minutes). If set to 0, interface scanning will only occur when the configuration file is loaded. After the scan, the server will begin listening for queries on any newly discovered interfaces (provided they are allowed by the listen-on configuration), and will stop listening on interfaces that have gone away. PS в упор не втыкаю, как перезагрузка iptables могла бы помочь в прогнозироемом мной случае, разче что у Вас не чистый NAT....
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору