[Comm] (без темы)

[Comm] (без темы)

[Konstantin V. Markovich]

Добрый день!
Есть шлюз, соединяющий по pptp несколько сетей:
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24

До недавнего времени всё работало нормально, а сейчас, почему-то 
перестали ходить пакеты между сетями....
Вернее ICMP ходят нормально, а вот TCP не хотят...
# iptables-save |grep 192.168.0.0
-A INPUT -d 192.168.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 137:139 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --dport 445 -j ACCEPT

Как можно отследить почему это происходит?

Re: [Comm] (без темы)

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1346 bytes --]

Konstantin V. Markovich пишет:
> Добрый день!
> Есть шлюз, соединяющий по pptp несколько сетей:
> 192.168.1.0/24
> 192.168.2.0/24
> 192.168.3.0/24
> 
> До недавнего времени всё работало нормально, а сейчас, почему-то
> перестали ходить пакеты между сетями....
> Вернее ICMP ходят нормально, а вот TCP не хотят...
> # iptables-save |grep 192.168.0.0
> -A INPUT -d 192.168.0.0/255.255.0.0 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.0.0 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 137:139 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 445 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --dport 137:139 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.0.0 -p udp -m udp --dport 445 -j ACCEPT
> 
> Как можно отследить почему это происходит?
Воспользоваться tcpdump со товарищи. Посмотреть где исчезают пакеты.
Для шлюза приводить только входящие правила слишком мало. Важны ещё
исходящие и проходящие...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] (без темы)

[Konstantin V. Markovich]

Konstantin V. Markovich пишет:
> Добрый день!
> Есть шлюз, соединяющий по pptp несколько сетей:
> 192.168.1.0/24
> 192.168.2.0/24
> 192.168.3.0/24
>
> До недавнего времени всё работало нормально, а сейчас, почему-то 
> перестали ходить пакеты между сетями....
> Вернее ICMP ходят нормально, а вот TCP не хотят...
Есть ещё нюанс: из второй и третьей сетей первая очень даже доступна....

Re: [Comm] (без темы)

[Dmitriy Kruglikov]

30 июля 2008 г. 9:11 пользователь Konstantin V. Markovich  написал:
>
> Есть ещё нюанс: из второй и третьей сетей первая очень даже доступна....
>

Ща .... Еще немного ... Еще чуть-чуть ...
И кто-нибудь таки силой мысли вломится на ваш маршрутизатор и таки
вычитает _все_
правила iptables ...
И тогда появится ненулевая вероятность того, что ответ на ваш вопрос
может быть дан ...

Рекомендую сделать _самостоятельно_ следующее:
1) iptables-save > rules.txt
2) Напечатать rules.txt на бумаге.
3) С ручкой сесть за стол и против каждого правила словами написать,
что оно выполняет.
4) Сгруппировать правила по сетям и убедиться, что из каждой сети в
каждую есть правила
     - на вход,
     - на выход,
     - на проход через ...

Т.е. просто наведите порядок в своих правилах, ну и в понимании их работы.
Судя по тому, что вы сочли достаточным только маленький огрызок ваших
правил зацитировать, могу сделать вывод, что вы слабо представляете их
значения.

P.S.
Вы получите правильный ответ только в случае, если зададите правильный вопрос.


-- 
Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Comm] (без темы)

[Konstantin V. Markovich]

Dmitriy Kruglikov пишет:
> Рекомендую сделать _самостоятельно_ следующее:
> 1) iptables-save > rules.txt
> 2) Напечатать rules.txt на бумаге.
> 3) С ручкой сесть за стол и против каждого правила словами написать,
> что оно выполняет.
> 4) Сгруппировать правила по сетям и убедиться, что из каждой сети в
> каждую есть правила
>      - на вход,
>      - на выход,
>      - на проход через ...
>
> Т.е. просто наведите порядок в своих правилах, ну и в понимании их работы.
>   
Примерно так и сделал. Разобрался. Причина была в NAT'е(в POSRTOUTING не 
указал для какого интерфейса транслировать, соотв, транслировалось для всех)
> Судя по тому, что вы сочли достаточным только маленький огрызок ваших
> правил зацитировать, могу сделать вывод, что вы слабо представляете их
> значения.
>
>   
нет. можете считать меня параноиком, но я просто не хочу выкладывать 
правила своего брандмауэра на всеобщее обозрение. :)
> P.S.
> Вы получите правильный ответ только в случае, если зададите правильный вопрос.
>   
Полностью согласен.

Re: [Comm] (без темы)

[Dmitriy Kruglikov]

30 июля 2008 г. 15:03 пользователь Konstantin V. Markovich  написал:

> Примерно так и сделал. Разобрался. Причина была в NAT'е(в POSRTOUTING не
> указал для какого интерфейса транслировать, соотв, транслировалось для всех)
Ну и отлично ...

>
> нет. можете считать меня параноиком, но я просто не хочу выкладывать правила
> своего брандмауэра на всеобщее обозрение. :)
Для сисадмина это скроее комплимент :)

Получилось, и ладно...
Закрывайте тему.

-- 
Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com