Новые ответы

outgoing Ping,

andrey, 25-Авг-08, 12:14 [смотреть все]

Доброго времени суток.
Так
-A INPUT -p icmp --icmp-type 8 -s 0/0 -d $SERVER_IP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp --icmp-type 0 -s $SERVER_IP -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -s $SERVER_IP -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 0 -s 0/0 -d $SERVER_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
или так
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type any -j ACCEPT
не работает исходящий пинг на локальные машины. Без iptables всё ходит. В чём я не прав ? Заранее спасибо.

Ответить | Сообщить модератору

outgoing Ping, Andrey Mitrofanov, 16:53 , 25-Авг-08 (1)
>-A INPUT -p icmp --icmp-type 8 -s 0/0 -d $SERVER_IP -m state
>-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
>не работает исходящий пинг на локальные машины
>В чём я не прав ? Заранее спасибо.
На/с локальных машин $SERVER_IP другой? Я угадал? :-/ Хотя во втором варианте, вроде, и должно работать.
...проще надо, проще, но всё равно разбираться придётся... http://www.opennet.dev/openforum/vsluhforumID10/3779.html#4 & #5
Ответить | Сообщить модератору
outgoing Ping, andrey, 09:58 , 26-Авг-08 (2)
Ага есть контакт.
Итак, прокси имеет 2 интерфейса один в инет, другой в локалку.
При включённом iptables имеем tcpdump при пинге:
server_internet_ip -> some_local_ip
конечно ничего не приходит и пинг молчит.
При выключенном iptables имеем tcpdump при пинге:
server_local_ip -> some_local_ip
конечно всё рабтает.
Я конечно где-то в конфигах накосячил. Вот только где?

Ответить | Сообщить модератору
outgoing Ping, andrey, 10:13 , 26-Авг-08 (3)
Всем спасибо, туплю. Андрею Митрофанову отдельное спс.
-A POSTROUTING -s 192.168.0.0/24 -j SNAT --to $INTERNET_IP
А в сети есть второй прокси с таким же внешним IP, на него и настроены клиенты.
Ответить | Сообщить модератору

outgoing Ping, daevy, 12:06 , 26-Авг-08 (4)
имхо применение модуля state для icmp это излишнее, а вот почему подумайте сами:-)
Ответить | Сообщить модератору

outgoing Ping, Andrey Mitrofanov, 13:33 , 26-Авг-08 (5)
>имхо применение модуля state для icmp это излишнее,
Нет.(С)
Учите мат.часть. Соедиение TCP и состояние "соедиения" в Netfilter - даже не однофамильцы.
http://www.opennet.dev/docs/RUS/iptables/#STATEMACHINE
> а вот почему подумайте сами:-)
Ответить | Сообщить модератору

outgoing Ping, daevy, 14:21 , 26-Авг-08 (6)
>Учите мат.часть. Соедиение TCP и состояние "соедиения" в Netfilter - даже не
>однофамильцы.
извините коллега, если задел вас постом
я имел ввиду совсем не то что вы подумали, (вчитайтесь еще раз) объясните мне практический смысл правила с проверкой состояния для icmp? разве только DROP'ть INVALID.
для себя не имею смысла добавлять такое правило так как в цепочке где проверяется разрешенный траф, стоит правило $IPTABLES -A allowed -m state --state INVALID -j DROP
под которое попадают пакеты независимо от протокола. или может я гдето не прав
Ответить | Сообщить модератору

outgoing Ping, Andrey Mitrofanov, 16:27 , 26-Авг-08 (7)
>извините коллега, если задел вас постом
Конечно задело...-->(1) см.ниже.
>я имел ввиду совсем не то что вы подумали, (вчитайтесь еще раз)
Что применение модуля state для icmp _не_ излишне? Ну, да... Я доверяю в этом вопросе автору firehol, и при поверхностном взгляде (нет, исходники ядра я читатть не пойду) склонен присоединиться к его выбору.
Что коллега не учил мат.часть? Да, был не прав. Не затруднил себя политкорректнее как-нибудь "ввернуть" или отвечать "точно по тексту".
>объясните мне практический смысл правила с проверкой состояния для icmp?
Ещё более "жёсткая" проверка, чего "пускать".
>разве только DROP'ть INVALID.
Ну, там ни про DROP, ни про INVALID речи не было, в общем-то...
-A FORWARD -d 192.168.0.0/255.255.255.0 -i eth2 -o eth0 -p icmp -m state --state NEW,ESTABLISHED -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -o eth2 -p icmp -m state --state ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
Да, это не сильно отличается от того же самого без "-m state --state NEW,ESTABLISHED" и "-m state --state ESTABLISHED". Но отличается - для меня этого достаточно.
А, для кого-то, совсем почти не отличается от "-A FORWARD -m icmp --icmp-type any -j ACCEPT". Тоже ведь ничего - работает. Вы ведь _ему_ рассказывали про "излишний" -m state?
---
Что до меня, так "излишними" являются километровые скрипты с вызовами $IPTABLES, их отладка через "ой, а чегой-то у меня здесь не так?!/оцените скрипт?" в форумах и забивание головы деталями man iptables и кучей "правил написанияя простыни" при чтении и, ни дай бог, исправлении этого счастья.
Моё NSHO заключается в том, что "пустить пинги наружу" это слово ping между словами client и accept в секции $"где у меня там секция "наружу"?".
(1)--> Конечно меня задела попытка "учить" меня совсем неочевидным (и не нужным мне) деталям, которых я бы и в глаза :) не видел, но когда _посмотрел_ -- решил, что "тупой скрипт" ((знаю: _автор_ весьма приличного скрипта, на самом деле)) таки прав в деталях, а я прав в том, что на них и смотреть-то не хотел.
:))))))))
Ответить | Сообщить модератору