Strona 1 z 3
brak odpowiedzi na ping po nazwach
: 18 maja 2011, 18:46
autor: piter8989
Witam.
Jestem w trakcie konfiguracji serwera i mam problem z pingiem na serwerze.
Chodzi o to że nie mogę pingować adresu np.
http://www.debian.linux.pl a mogę pingować "po adresie ip"
Na pewno jest zablokowany jakiś port UDP. Jak wszystkie dopuszczę to działa prawidłowo.
Kod: Zaznacz cały
iptables -A INPUT -p tcp -m multiport --dport 22,25,80,110,113,443,465,995,3128 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128 -j ACCEPT
Nie wiem które porty mam dopuścić aby działało.
Na pewno jest to port lub porty z przedziału 30000:65355
: 18 maja 2011, 19:33
autor: Yampress
Nie porty a protokół icmp.
Poszukaj czegoś o iptables icmp.
: 18 maja 2011, 19:33
autor: snejk
I na pewno port 53 UDP. Działa na nim dns więc bez niego nie będziesz mógł pingować po nazwie.
: 18 maja 2011, 19:36
autor: Yampress
Musisz wypuścić z serwera icmp na łańcuchu OUT. chyba za bardzo nie wiesz o co chodzi bo podałeś przykład wpuszczania pakietów z zewnątrz do swojego serwera na określone porty
: 18 maja 2011, 21:20
autor: piter8989
Kod: Zaznacz cały
#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
INTER="eth0"
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#iptables -A INPUT -p udp -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.2 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.3 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.4 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.5 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.6 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.7 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.8 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.9 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.10 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.11 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.12 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.13 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.14 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.15 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.16 -d 0/0 -j MASQUERADE
#odblokowane porty
iptables -A INPUT -p tcp -m multiport --dport 22,25,80,110,113,443,465,995,3128 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128,30000:65355 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m multiport --dport 0:65535 --syn -m state --state NEW -j ACCEPT
#przekierowanie na squida
iptables -t nat -A PREROUTING -i $INTER -p tcp --dport 80 -j REDIRECT --to-port 3128
#ping - odpowiedź i wysyłanie
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
# udostępnianie połaczenia dla sieci
iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
To jest wszystko co mam na chwile obecną. Tutaj działa wszystko prawidłowo.
W tej linijce
Kod: Zaznacz cały
iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128,30000:65355 -j ACCEPT
przepuszczam porty 30000:65355. Kiedy te porty usunę nie działa ping po nazwach tylko na serwerze.
Chodzi mi tylko o to abym dopuścił te porty, które są mi potrzebne, a nie cały przedział.
: 18 maja 2011, 22:23
autor: snejk
Zapomniałeś o najważniejszym. Akceptacja połączeń zainicjowanych przez Twój serwer i powiązanych.
Kod: Zaznacz cały
iptables -I INPUT -p ALL -i wan -m state --state RELATED,ESTABLISHED -j ACCEPT
: 18 maja 2011, 22:50
autor: piter8989
Dziękuję za tą regułkę ale nadal nie rozwiązuje to mojego problemu.
: 19 maja 2011, 09:51
autor: Bastian
Po pierwsze skoro domyślnie przepuszczasz cały ruch wychodzący to po co tobie regułki z OUTPUT ACCEPT? Po drugie:
Kod: Zaznacz cały
iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128,30000:65355 -j ACCEPT
Nie rozumiem twojego pytania. Jesli nie chcesz przedziału to podaj kolejne wybrane porty. Pamietaj ze w regułce mozesz zawrzeć max 15.
: 19 maja 2011, 11:19
autor: Yampress
Jakie usługi masz uruchomione na tym serwerze, www, sshd, mail? Jeśli nie, to otwarcie tych portów jest niepotrzebne. Ten Twój firewall zmieściłbym w 10 linijkach. Zupełny śmietnik.
: 19 maja 2011, 17:24
autor: snejk
Jakie usługi masz uruchomione na tym serwerze, www, sshd, mail? Jeśli nie, to otwarcie tych portów jest niepotrzebne. Ten Twój firewall zmieściłbym w 10 linijkach. Zupełny śmietnik.
Właśnie, może po prostu napisz ten firewall od nowa, poprzedzając to przeczytaniem paru artykułów o iptables.