From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.6 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.5 Message-ID: <51D6934C.30001@iop.kiev.ua> Date: Fri, 05 Jul 2013 12:35:08 +0300 From: Andrii Dobrovol`s`kii User-Agent: Mozilla/5.0 (X11; Linux i686; rv:20.0) Gecko/20100101 Firefox/20.0 SeaMonkey/2.17.1 MIME-Version: 1.0 To: "ALT Linux sysadmins' discussion" References: In-Reply-To: X-Enigmail-Version: 1.5.1 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-Virus-Scanned: clamav-milter 0.97.4 at rmaile.iop.kiev.ua X-Virus-Status: Clean Subject: Re: [Sysadmins] =?koi8-r?b?0NLPwszFzcEg0yBpcHRhYmxlcw==?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 05 Jul 2013 09:33:11 -0000 Archived-At: List-Archive: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Vladislav Y Gusev wrote: > День добрый! > > Не подскажете по iptables? Не удаётся наладить нормальную > работу одной железяки за натом. Железяке нужен неограниченных > доступ к определённому хосту в сети Интернет, с которым > устройство поднимает защищённого ipsec-соединение. Обычно в > подобных случаях я добавлял правило в таблицу filter/FORWARD > вида "-i eth1 -o eth0 -s <внутр.адрес железяки> -d <хост в сети > Интернет> -j ACCEPT" И это всегда работало. Всё работало > поначалу и с этим устройством, а потом вдруг начались проблемы: > разрывы сессии, невозможность соединиться с хостом... При > включении устройства напрямую мимо ната в шлюз провайдера с > выделением отдельного "белого" ip-адреса устройство работает > идеально. При работе за аппаратным натом (примитивный роутер > tp-link) - тоже никаких проблем. А вот через linux-шлюз > работать не получается. Если добавить аналогичное правило > только с "-j LOG", то видно, что правило срабатывает и пакеты > отправляются. Jul 2 18:17:27 alt-serv kernel: IN=eth1 > OUT=eth0 SRC=192.168.153.250 DST= LEN=33 TOS=0x00 > PREC=0xC0 TTL=254 ID=51 PROTO=UDP SPT=4500 DPT=4500 LEN=13 > > Не подскажите, в чём может быть загвоздка? Я даже не пойму, в > какую сторону смотреть. Особенно сбивает с толку, что > устройство нормально проработало за iptables почти месяц, а > теперь ни в какую... > > У меня используется Кентавр: #uname -srv Linux > 2.6.32-el-smp-alt27 #1 SMP Tue Sep 20 19:35:51 UTC 2011 > > # rpm -qa | grep ipta alterator-net-iptables-4.18-alt2 > iptables-1.4.10-alt1 > > -- С уважением, Гусев Владислав Юрьевич Я бы для начала поизучал логи на момент неработоспособности. И учитывал все пакеты для обоих хостов. может и появится ответ. Может наблюдается эпизодический перегуз шлюза... - -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU ********************************************************************* -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.13 (GNU/Linux) Comment: Using GnuPG with SeaMonkey - http://www.enigmail.net/ iF4EAREIAAYFAlHWk0sACgkQpBPgR3404hP22gEAxg4cwcDPgcOdwnZfjxeIYsOM db/5HpxM/w1qHHu/nPkBAKiR9deMaCpUHWNAfKRAXqP0iVO8LE/OHbx6jPEtoqdQ =l6Li -----END PGP SIGNATURE-----