[+] Brak odpowiedzi na ICMP

slui12 · Post autor: **slui12** » 14 lipca 2011, 14:55

Mam problem z odpowiedzią na ping. Problem jest taki, mam sieć jak na zdjęciu, napisałem kilka reguł iptables.

# czyszczenie starych [b]reguł[/b]
iptables -F 
iptables -X 
iptables -t nat X
iptables -t nat F
[I]#Polityka działania[/I]
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth2 -p icmp -j ACCEPT

iptables -A INPUT -i eth0 -i lo -j ACCEPT
iptables -A FORWARD -o lo -i lo -j ACCEPT

I teraz tak:
[INDENT]na ruterze, w lanie mam 192.168.1.1
na serwerze, na wanie tj. eth2 192.168.1.2
na serwerze, na lanie tj. eth0 192.168.40.1 [/INDENT]

jeśli puszczam ping z laptopa, z sieci 192.168.1.0 na ruter, na serwer na wan oraz lan, ping dochodzi, a jeżeli chcę puścić, na któryś komputer z sieci lan to ping nie dochodzi. Wszystkie firewalle na komputerze lokalnym są wyłączone.

markossx · Post autor: **markossx** » 14 lipca 2011, 15:01

Dodaj jeszcze:

Kod: Zaznacz cały

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Edycja:
Trochę się nie wczytałem w problem. To co wyżej i tak trzeba dopisać.
Laptop jest w innej sieci niż te komputery to chyba jasne.
Ustaw najpierw opcję FORWARD na ACCEPT, potem dodaj SNAT, i ewentualnie uruchom przekierowanie ip:

Kod: Zaznacz cały

echo '1' > /proc/sys/net/ipv4/ip_forward

lub za pomocą sysctl, jak wolisz.
Jak będzie działało wtedy ustaw opcję FORWARD na DROP i pobaw się na tym łańcuchu.

mariaczi · Post autor: **mariaczi** » 14 lipca 2011, 15:54

slui12 pisze:jeśli puszczam ping z laptopa, z sieci 192.168.1.0 na ruter, na serwer na wan oraz lan, ping dochodzi, a jeżeli chcę puścić, na któryś komputer z sieci lan to ping nie dochodzi. Wszystkie firewalle na komputerze lokalnym są wyłączone.

Na łańcuch FORWARD ustawiłeś akceptowanie ruchu tylko dla interfejsu lo. Jeśli puszczasz pinga z laptopa na któryś komputer za serwerem pakiety przechodzą przez łańcuch FORWARD i odpowiednie interfejsy.

Post autor: **Yampress** » 18 lipca 2011, 11:43

Kod: Zaznacz cały

iptables -P FORWARD ACCEPT

Lub z uściśleniem tak jak masz, tylko musisz akceptować. Przekierowanie danych z podsieci w firewallu.

slui12 · Post autor: **slui12** » 18 lipca 2011, 15:21

Rzeczywiście problemem okazało się brak akceptacji na łańcuchu FORWARD dla interfejsu eth2 (WAN).
Serdeczne dziękuję za pomoc i pozdrawiam.

Post autor: **Yampress** » 18 lipca 2011, 15:40

To co podałem wyżej akceptuje każde przekierowanie. Nie jest to bezpieczne.

slui12 · Post autor: **slui12** » 19 lipca 2011, 13:16

Witam ponownie.
Mam jeszcze jedno pytanie, otóż dołożyłem jeszcze jeden interfejs, bo chciałem stworzyć dwie sieci. Jedna:

Kod: Zaznacz cały

(eth2) 192.168.40.0/255

i druga:

Kod: Zaznacz cały

(eth3)192.168.60.0/255

Mój plik firewalla wygląda następująco:

Kod: Zaznacz cały

 # czyszczenie starych reguł
iptables -F 
iptables -X 
iptables -t nat X
iptables -t nat F
#Polityka działania
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth2 -p icmp -j ACCEPT
iptables -A INPUT -i eth3 -p icmp -j ACCEPT

iptables -A INPUT -i eth0 -i lo -j ACCEPT
iptables -A FORWARD -i eth2  -j ACCEPT
iptables -A FORWARD -i eth3  -j ACCEPT
iptables -A FORWARD -o lo -i lo -j ACCEPT

Problem polega na tym, że wysyłając ping z sieci 192.168.40.0 do hostów z sieci 192.168.60.0, to te odpowiadają, a już odwrotnie tj. z sieci 192.168.60.0 do sieci 192.168.40.0 pojawia się komunikat, że host jest nieosiągalny.

Post autor: **Yampress** » 19 lipca 2011, 13:34

Nie, logicznie to ma tak wyglądać:

Kod: Zaznacz cały

iptables -A FORWARD   source   destination  -j ACCEPT

Dla poszczególnych podsieci musisz tutaj ustawić według tej logiki.
Aktualnie wpuszczasz na wszystkie interfejsy cały protokół icmp. Czy to jest bezpieczne?