[+] Problem z otwieraniem stron (iptables?)

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 08 kwietnia 2010, 11:17

Witam!

Od pewnego czasu przestały nam się w biurze otwierać NIEKTÓRE strony internetowe. Mamy w firmie postawiony serwer na Debian 5.0, do którego podłączony jest modem ADSL przez LAN. Wszystkie komputery są podłączone do rutera (AirLive z Tomato). W sieci mamy dwie bramy do internetu: jedna z serwera a druga bezpośrednio z AP (wifi). Wszystkie strony się otwierają w konsoli linuksa, natomiast już na komputerach w sieci jest problem. Na drugiej bramie oczywiście wszystko chodzi. Komputery w firmie są z różnymi systemami Windows, więc problem MUSI leżeć po stronie serwera.
Najprawdopodobniej coś nie tak z rutingiem w iptables.
Mam też zainstalowany pakiet denyhost, ale jak by to była jego wina to by na linuksie też strony nie chodziły..
Proszę o pomoc

Kod: Zaznacz cały

iptables --list

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
LOG        all  --  loopback/8           anywhere            LOG level warning 
DROP       all  --  loopback/8           anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  192.168.1.0/24       anywhere            
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
LOG        all  --  192.168.1.0/24       anywhere            LOG level warning 
DROP       all  --  192.168.1.0/24       anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             213-238-86-206.adsl.inetia.pl 
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        all  --  anywhere             192.168.1.0/24      LOG level warning 
DROP       all  --  anywhere             192.168.1.0/24      
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             192.168.1.0/24      
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
LOG        all  --  anywhere             192.168.1.0/24      LOG level warning 
DROP       all  --  anywhere             192.168.1.0/24      
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  213-238-86-206.adsl.inetia.pl  anywhere            
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere

grzesiek · Post autor: **grzesiek** » 08 kwietnia 2010, 11:41

Jeżeli reguły nie były zmieniane i nagle coś nie tak, to wątpię że to ich wina. Najprostszy test to wyłączenie zapory i sprawdzenie czy problem dalej występuje. Najpierw to sprawdź.

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 08 kwietnia 2010, 12:25

Jakiej zapory? To jest zwykły ruting, więc jak go wyłączę to przecież komputery w sieci w ogóle internetu nie będą miały.

grzesiek · Post autor: **grzesiek** » 08 kwietnia 2010, 13:25

To reguł udostępniających połączenie nie usuwaj. Chodzi o to, aby nic nie blokować!

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 08 kwietnia 2010, 13:31

Tylko ja nie widzę gdzie tu jest coś blokowanego

grzesiek · Post autor: **grzesiek** » 08 kwietnia 2010, 15:16

Skoro nie widzisz, to w inny sposób iptables nie może się przyczynić do tego, że niektóre stronki nie działają

I po temacie!

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 08 kwietnia 2010, 15:24

Temat będzie dopóki stronki będą blokowane. Ja tylko zasugerowałem iptables, co nie znaczy ze właśnie tam problem leży.

grzesiek · Post autor: **grzesiek** » 08 kwietnia 2010, 17:45

To po co pytasz, jak i tak nie masz zamiaru sprawdzać tego co Ci podpowiadam.
Skoro tak podchodzisz do tematu to mam do Ciebie pytanie. Czy potrafisz udowodnić, że iptables nic nie blokuje?

Jakiej zapory? To jest zwykły ruting...

Routing to jest w tablicy nat a nie filter Panie

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 09 kwietnia 2010, 09:17

Dobrze. To może ja się cofnę trochę.
Dzień dobry, jestem użytkownikiem Windowsa i posiadam niewielką wiedzę na temat Linuksa. Moja konfiguracja serwera jest wynikiem korzystania z Google i adaptacji znalezionych skryptów w sieci do własnych potrzeb.

Nie potrafię udowodnić, że iptables nic nie blokuje, ale wydaje mi się dziwne, że niektóre adresy przepuszcza, a niektóre blokuje. I akurat tego wybiórczego blokowania nie widzę w konfiguracji.
Chylę czoła przed "wyjadaczami" linuksa, dlatego z pokorą proszę o pomoc na tym forum.

Konkludując, bardzo proszę o naprowadzenie (łopatologią nie pogardzę), gdzie problem może leżeć i jak go rozwiązać, bo się panie w biurze denerwują, że im eNKa nie działa

arturimagda · Post autor: **arturimagda** » 09 kwietnia 2010, 12:40

Spoko. Od tego (między innymi) jest forum, aby sobie pomagać. Zainteresuj się opcją -L w iptables (szczególnie iptables -L -t nat -nv). Zaznajom się z programem tcpdump, bo to podstawowe narzędzie każdego administratora. Czy jesteś w stanie określić, które ze stron Ci nie działają? Pokaż wynik polecenia:

Kod: Zaznacz cały

iptables -L -t nat -nv | grep DROP

oraz:

Kod: Zaznacz cały

 iptables -L -nv | grep DROP