[+] Problem z otwieraniem stron (iptables?)

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 11 kwietnia 2010, 12:45

Nie kojarzę abym tworzył reguły zapory..
Nie próbowałem, zatem uczynię to w poniedziałek

Na ruterze jest DHCP włączony (ludzie maja ajfony), ale każdy komputer ma na sztywno wpisany adres IP wraz z DNSami.
Rozumiem, że najlepiej będzie jak podłącze komputer hosta bezpośrednio (kablem lan) z serwerem, tak?

grzesiek · Post autor: **grzesiek** » 11 kwietnia 2010, 13:13

Na przykład, ale przez router też powinno działać byle tylko portu WAN nie używać. Czyli mówiąc krótko przez przełącznik.
Rozumiem, że na Debianie nie masz serwera DHCP.

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 12 kwietnia 2010, 08:07

Dobrze rozumiesz, nie mam.

Dodane:
Dzień dobry.
Kabelkiem bezpośrednio nie mogę sprawdzić bo nie mam żadnego kabla krosowanego w firmie.
Natomiast przez ruter w funkcji przełącznika (odpięty port WAN) żadnych zmian nie ma, czyli większość stron się otwiera, a na tych wybranych nic się nie dzieje (przeglądarki zatrzymują się na

Kod: Zaznacz cały

Oczekiwanie na [url=http://www..]www..[/URL]...

To też jest ciekawe, że nie ma komunikatu o tym, że strona nie istnieje, tylko takie czekanie na nic.
Jestem otwarty na dalsze pomysły..

Dodane później:
Dzisiaj odkryłem, że nie działają nam też strony tp.pl i microsoft.com.
Robi się coraz ciekawiej.

grzesiek · Post autor: **grzesiek** » 12 kwietnia 2010, 17:44

No to wracamy, do tego co mówiłem na samym początku, trzeba wyłączyć zaporę - albo pokaż jej skrypt w końcu.

Kod: Zaznacz cały

iptables -F -t raw
iptables -F -t nat
iptables -F -t filter
iptables -F -t mangle
iptables -X -t raw
iptables -X -t nat
iptables -X -t filter
iptables -X -t mangle

i wtedy w identyczny sposób sprawdź.

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 12 kwietnia 2010, 19:49

Ok, ale to w środę dopiero

Dodano:
Niestety żadnych zmian to nie przyniosło :/
Gdybyś mi dokładnie powiedział, gdzie może być zaszyty skrypt tej zapory to bym go tu wkleił. Przejrzałem folder init.d i nic 'podejrzanego' nie zauważyłem..

Dodano później:
Nie macie pomysłów? :|
Może to coś pomoże?

Kod: Zaznacz cały

debian:~# ipmasq --verbose
#: Interfaces found:
#:   ppp0    87.205.187.223/255.255.255.255
#:   ppp0    87.205.187.223/255.255.255.255
#:   eth0    192.168.1.11/255.255.255.0
echo "0" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -F PREROUTING
/sbin/iptables -t mangle -F OUTPUT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT
/sbin/iptables -A INPUT -j ACCEPT -i lo
/sbin/iptables -A INPUT -j LOG -i ! lo -s 127.0.0.1/255.0.0.0
/sbin/iptables -A INPUT -j DROP -i ! lo -s 127.0.0.1/255.0.0.0
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -d 255.255.255.255/32
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -s 192.168.1.11/255.255.255.0
/sbin/iptables -A INPUT -j ACCEPT -i eth0 -d 224.0.0.0/4 -p ! 6
/sbin/iptables -A INPUT -j LOG -i ppp0 -s 192.168.1.11/255.255.255.0
/sbin/iptables -A INPUT -j DROP -i ppp0 -s 192.168.1.11/255.255.255.0
/sbin/iptables -A INPUT -j ACCEPT -i ppp0 -d 255.255.255.255/32
/sbin/iptables -A INPUT -j ACCEPT -i ppp0 -d 87.205.187.223/32
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.11/255.255.255.0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.1.11/255.255.255.0 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -j ACCEPT -o lo
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 255.255.255.255/32
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j ACCEPT -o eth0 -d 224.0.0.0/4 -p ! 6
/sbin/iptables -A FORWARD -j LOG -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A FORWARD -j DROP -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j LOG -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j DROP -o ppp0 -d 192.168.1.11/255.255.255.0
/sbin/iptables -A OUTPUT -j ACCEPT -o ppp0 -d 255.255.255.255/32
/sbin/iptables -A OUTPUT -j ACCEPT -o ppp0 -s 87.205.187.223/32
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A INPUT -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A INPUT -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A OUTPUT -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A OUTPUT -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A FORWARD -j LOG -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/iptables -A FORWARD -j DROP -s 0.0.0.0/0 -d 0.0.0.0/0

Znowu ja:
Odinstalowałem pakiet ipmasq i usunąłem wszystkie reguły z iptables. Postawiłem od nowa udostępnianie internetu używając poradnika pani BiExi. Niestety systuacja jest IDENTYCZNA, czyli problem RACZEJ nie leży w iptables...

grzesiek · Post autor: **grzesiek** » 17 kwietnia 2010, 13:53

Więc wina nie leży po stronie serwera - zainteresuj się tą "puszką" przed serwerem, najlepiej było by ją podmienić na sprawdzenie.

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 22 kwietnia 2010, 11:47

Witam ponownie,
Przepraszam za opóźnienie, ale choróbsko mnie zmogło :/

Dzisiaj wgrałem najnowszy firmware do rutera (tomato v1.27) i dalej nic. A przecież reguły zostały wyszczyszczone podczas aktualizacji..
Zaciskarkę będę miał jutro (piątek) i wtedy ostatecznie sprawdzę (potwierdzę?) czy to wina serwera czy rutera.
Pozdrawiam!

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 26 kwietnia 2010, 10:23

Witam po weekendzie

Sprawdziłem:

komputer PC podpięty pod port LAN4 na ruterze,
podpięty przełącznik na drodze SERWER-PC (zaciskarki nie dostałem, więc krosa zrobić nie mogłem).

W obu przypadkach dzieje się to samo co normalnie w sieci na WiFi, czyli stronki NIEKTÓRE się w ogóle nie otwierają, przeglądarka po prostu wisi i czeka na nie wiadomo co.
Co ciekawe onet.pl się trochę załadował i wygląda tak:
Obrazek

Kolega przez weekend zasugerował, że to mogła jakaś poprawka do Debiana zdziałać bo wcześniej wszystko działało i dopiero od nieco ponad miesiąca przestało.
Bardzo proszę o dalsze pomysły bo skończy się reinstalacją Debiana, a mam tam już sporo rzeczy zainstalowanych i zajmie mi kilka dni tego przywrócenie.

mariaczi · Post autor: **mariaczi** » 26 kwietnia 2010, 12:28

1. Możesz przytoczyć jakiś graficzny schemat sieci wraz z adresacją co i jak?
2. Ta "puszka" przed Debianem pracuje tylko jako modem ale połączenie zestawia już Debian?
3. Debian jest bramą dla całej sieci? Jaki adres(y) IP ma "puszka" przed Debianem?

WiCiO_MeDi · Post autor: **WiCiO_MeDi** » 26 kwietnia 2010, 13:34

Schemat
adresacja:
serwer 192.168.1.11
ruter: 192.168.1.1
PC-ty: 192.168.1.xx
Tak, tak puszka to modem Speedtouch, a połączenie skonfigurowane zostało przez pppoeconf.
Tak, jest bramą dla całej sieci, ale oprócz niego jest jeszcze brama na ruterze (port WAN).