From: "Вадим Илларионов" <master@usib.irkps.ru>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] *****SPAM***** Re: Проброс портов с тарелки в локалку
Date: Tue, 18 Apr 2006 17:23:01 +0900
Message-ID: <e227l5$abg$1@sea.gmane.org> (raw)
In-Reply-To: <44449B70.2040802@iop.kiev.ua>
Andrii Dobrovol`s`kii wrote:
> И всё-таки, попробуйте ещё раз без жаргона последовательно изложить
> проблему. Пока она не понятна. Чего хотите, что есть и что не так.
OK
Суть проблемы:
К интернету подключены через шлюз с ДВБ-платой и с АДСЛ через
эфирнет-карточку.
Со шлюза всё подаётся на сервер с ещё 2 сетками - радио и проводной.
На самом шлюзе всё работает как надо, пакетики бегают туда-сюда, на всяк
запрос имеем отклик.
Не работает с сервера. Ни пинг, ни телнет на нужные порты не идут, хотя
индикаторы АДСЛ-модема моргают, когда чего-то засылаем из сети вовне. Нет
возврата с ДВБ, хоть убейся...
При этом через шлюзовой прокси проходит всё, что умеет ходить через прокси
(в т.ч. с подсеток). Оно же и редиректится для вящей прозрачности.
А вот с такими сервисами, как почта, новости, джаббер и т.п. - облом-с.
Джаббер-то хоть при явном указании прокси работает, остальное - по нулям.
Понимаю, что дело в неотдаче принятых данных с ДВБ-карты обратно в сеть, а
как отдать - не понимаю...
Интерфейсы шлюза:
lan: 192.168.2.254/24
adsl: 192.168.1.254/24
dvb0_0: 192.168.0.254/24
tun0: 82.211.160.243 peer 192.168.80.70/32
adsl смотрит на модем с адресом 192.168.1.1/24
С сервера на шлюз смотрит интерфейс gateway с адресом 192.168.2.253/24
Пинг с сервера на все интерфейсы шлюза проходит, дальше - фигушки.
На шлюзе:
# iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
BLOCK all -- 0.0.0.0/0 0.0.0.0/0
# iptables -nL BLOCK
Chain BLOCK (2 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x16/0x02 limit: avg 1/sec burst 5
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x17/0x04 limit: avg 1/sec burst 5
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
limit: avg 1/sec burst 5
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
# iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
redir ports 2121
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports 80,8080,8081 redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.1.1 192.168.1.1
SNAT all -- 192.168.1.1 0.0.0.0/0
to:82.211.160.243
SNAT all -- 0.0.0.0/0 0.0.0.0/0
to:192.168.1.254
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
На сервере:
# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
pkts bytes target prot opt in out source
destination
Chain POSTROUTING (policy ACCEPT)
pkts bytes target prot opt in out source
destination
7636 593K SNAT all -- * * 0.0.0.0/0
0.0.0.0/0 to:192.168.2.253
Chain OUTPUT (policy ACCEPT)
pkts bytes target prot opt in out source
destination
Сделал на шлюзе по чьей-то рекомендации следующее:
echo "90 lan" >> /etc/iproute2/rt_tables
ip rule add from 192.168.2.0/24 table lan
ip route add default dev tun0 table lan
Не помогло. Правда, на попытки пинга и телнета прежде по тайм-ауту выпадал,
а теперь говорит:
$ telnet usib.irkps.ru jabber
Trying 195.46.96.107...
telnet: connect to address 195.46.96.107: No route to host
$ ping usib.irkps.ru
PING usib.irkps.ru (195.46.96.107) 56(84) bytes of data.
From 192.168.2.254: icmp_seq=2 Redirect Host(New nexthop: 195.46.96.107)
From 192.168.2.254: icmp_seq=3 Redirect Host(New nexthop: 195.46.96.107)
From 192.168.2.254 icmp_seq=1 Destination Host Unreachable
From 192.168.2.254 icmp_seq=2 Destination Host Unreachable
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
prev parent reply other threads:[~2006-04-18 8:23 UTC|newest]
Thread overview: 14+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-04-18 2:12 [Sysadmins] " Вадим Илларионов
2006-04-18 6:33 ` ABATAPA
2006-04-18 7:19 ` Вадим Илларионов
2006-04-18 7:46 ` ABATAPA
2006-04-18 8:10 ` Вадим Илларионов
2006-04-18 9:07 ` ABATAPA
2006-04-18 9:12 ` Вадим Илларионов
2006-04-18 9:45 ` Вадим Илларионов
2006-04-18 10:25 ` Вадим Илларионов
2006-04-18 10:31 ` ABATAPA
2006-04-18 10:33 ` ABATAPA
2006-04-19 0:14 ` Вадим Илларионов
2006-04-18 7:55 ` [Sysadmins] *****SPAM***** " Andrii Dobrovol`s`kii
2006-04-18 8:23 ` Вадим Илларионов [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='e227l5$abg$1@sea.gmane.org' \
--to=master@usib.irkps.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git