Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] Problem z otwieraniem stron (iptables?)

https://www.debian.pl/viewtopic.php?t=18340

Strona 1 z 4

[+] Problem z otwieraniem stron (iptables?)

: 08 kwietnia 2010, 11:17
autor: WiCiO_MeDi
Witam!

Od pewnego czasu przestały nam się w biurze otwierać NIEKTÓRE strony internetowe. Mamy w firmie postawiony serwer na Debian 5.0, do którego podłączony jest modem ADSL przez LAN. Wszystkie komputery są podłączone do rutera (AirLive z Tomato). W sieci mamy dwie bramy do internetu: jedna z serwera a druga bezpośrednio z AP (wifi). Wszystkie strony się otwierają w konsoli linuksa, natomiast już na komputerach w sieci jest problem. Na drugiej bramie oczywiście wszystko chodzi. Komputery w firmie są z różnymi systemami Windows, więc problem MUSI leżeć po stronie serwera.
Najprawdopodobniej coś nie tak z rutingiem w iptables.
Mam też zainstalowany pakiet denyhost, ale jak by to była jego wina to by na linuksie też strony nie chodziły..
Proszę o pomoc :)

Kod: Zaznacz cały

iptables --list

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
LOG        all  --  loopback/8           anywhere            LOG level warning 
DROP       all  --  loopback/8           anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  192.168.1.0/24       anywhere            
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
LOG        all  --  192.168.1.0/24       anywhere            LOG level warning 
DROP       all  --  192.168.1.0/24       anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             213-238-86-206.adsl.inetia.pl 
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        all  --  anywhere             192.168.1.0/24      LOG level warning 
DROP       all  --  anywhere             192.168.1.0/24      
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             192.168.1.0/24      
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
LOG        all  --  anywhere             192.168.1.0/24      LOG level warning 
DROP       all  --  anywhere             192.168.1.0/24      
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  213-238-86-206.adsl.inetia.pl  anywhere            
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere

: 08 kwietnia 2010, 11:41
autor: grzesiek
Jeżeli reguły nie były zmieniane i nagle coś nie tak, to wątpię że to ich wina. Najprostszy test to wyłączenie zapory i sprawdzenie czy problem dalej występuje. Najpierw to sprawdź.

: 08 kwietnia 2010, 12:25
autor: WiCiO_MeDi
Jakiej zapory? To jest zwykły ruting, więc jak go wyłączę to przecież komputery w sieci w ogóle internetu nie będą miały.

: 08 kwietnia 2010, 13:25
autor: grzesiek
To reguł udostępniających połączenie nie usuwaj. Chodzi o to, aby nic nie blokować!

: 08 kwietnia 2010, 13:31
autor: WiCiO_MeDi
Tylko ja nie widzę gdzie tu jest coś blokowanego :)

: 08 kwietnia 2010, 15:16
autor: grzesiek
Skoro nie widzisz, to w inny sposób iptables nie może się przyczynić do tego, że niektóre stronki nie działają :) I po temacie!

: 08 kwietnia 2010, 15:24
autor: WiCiO_MeDi
Temat będzie dopóki stronki będą blokowane. Ja tylko zasugerowałem iptables, co nie znaczy ze właśnie tam problem leży.

: 08 kwietnia 2010, 17:45
autor: grzesiek
To po co pytasz, jak i tak nie masz zamiaru sprawdzać tego co Ci podpowiadam.
Skoro tak podchodzisz do tematu to mam do Ciebie pytanie. Czy potrafisz udowodnić, że iptables nic nie blokuje?
Jakiej zapory? To jest zwykły ruting...
Routing to jest w tablicy nat a nie filter Panie

: 09 kwietnia 2010, 09:17
autor: WiCiO_MeDi
Dobrze. To może ja się cofnę trochę.
Dzień dobry, jestem użytkownikiem Windowsa i posiadam niewielką wiedzę na temat Linuksa. Moja konfiguracja serwera jest wynikiem korzystania z Google i adaptacji znalezionych skryptów w sieci do własnych potrzeb.

Nie potrafię udowodnić, że iptables nic nie blokuje, ale wydaje mi się dziwne, że niektóre adresy przepuszcza, a niektóre blokuje. I akurat tego wybiórczego blokowania nie widzę w konfiguracji.
Chylę czoła przed "wyjadaczami" linuksa, dlatego z pokorą proszę o pomoc na tym forum.

Konkludując, bardzo proszę o naprowadzenie (łopatologią nie pogardzę), gdzie problem może leżeć i jak go rozwiązać, bo się panie w biurze denerwują, że im eNKa nie działa :rolleyes:

: 09 kwietnia 2010, 12:40
autor: arturimagda
Spoko. Od tego (między innymi) jest forum, aby sobie pomagać. Zainteresuj się opcją -L w iptables (szczególnie iptables -L -t nat -nv). Zaznajom się z programem tcpdump, bo to podstawowe narzędzie każdego administratora. Czy jesteś w stanie określić, które ze stron Ci nie działają? Pokaż wynik polecenia:

Kod: Zaznacz cały

iptables -L -t nat -nv | grep DROP
oraz:

Kod: Zaznacz cały

 iptables -L -nv | grep DROP
Strefa czasowa UTC+02:00
Strona 1 z 4

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl