/sbin/SuSEfirewall2 version 3.3
FW_DEV_EXT="eth0"
FW_DEV_INT="eth2"
FW_DEV_DMZ="eth1"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="10.130.1.179"
FW_PROTECT_FROM_INT="yes"
FW_SERVICES_EXT_TCP="25 53 143 110 80 domain"
FW_SERVICES_EXT_UDP="53"
FW_SERVICES_INT_TCP="25 53 80 110 143 1352 domain"
FW_SERVICES_INT_UDP="53 domain"
FW_SERVICES_DROP_EXT=""
FW_SERVICES_ACCEPT_EXT=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_FORWARD="... 10.130.0.0/16,10.0.0.0/8"
FW_ALLOW_CLASS_ROUTING="no"
Дальше еще интереснее!
в FW_MASQ_NETS добавил свой комп на линуксе ,FW_MASQ_NETS="10.130.1.179 10.130.1.125", с него все идет прекрасно:
>telnet 10.8.0.213 1352
Trying 10.8.0.213...
Connected to 10.8.0.213.
Escape character is '^]'.
результат tcpdump -i eth2 -ln host 10.8.0.213 and port 1352 для линуксовой машины таков:
09:13:39.971020 IP 10.130.1.125.60212 > 10.8.0.213.1352: S 3145367150:3145367150(0) win 5840 <mss 1460,sackOK,timestamp 297592790 0,nop,wscale 7>
09:13:39.971091 IP 10.130.1.125.60212 > 10.8.0.213.1352: S 3145367150:3145367150(0) win 5840 <mss 1460,sackOK,timestamp 297592790 0,nop,wscale 7>
09:13:39.982696 IP 10.130.1.125.60212 > 10.8.0.213.1352: . ack 4183327454 win 46 <nop,nop,timestamp 297592793 0>
09:13:43.543007 IP 10.130.1.125.60212 > 10.8.0.213.1352: . ack 1 win 46 <nop,nop,timestamp 297593683 0,nop,nop,sack 1 {0:1}>
С аналогичной виндозной машины результат tcpdump в ответ на telnet 10.8.0.213 1352 таков:
09:15:13.526913 IP 10.130.1.179.1072 > 10.8.0.213.1352: S 897550903:897550903(0) win 64512 <mss 1460,nop,nop,sackOK>
09:15:13.526973 IP 10.130.1.179.1072 > 10.8.0.213.1352: S 897550903:897550903(0) win 64512 <mss 1460,nop,nop,sackOK>
09:15:13.538753 IP 10.130.1.179.1072 > 10.8.0.213.1352: . ack 3781367464 win 64512
с linux telnet 10.8.0.213 1352 - tcpdump -i eth2 -ln host 10.8.0.213:
09:21:02.462992 IP 10.130.1.125.37720 > 10.8.0.213.1352: S 1513513487:1513513487(0) win 5840 <mss 1460,sackOK,timestamp 297703418 0,nop,wscale 7>
09:21:02.463059 IP 10.130.1.125.37720 > 10.8.0.213.1352: S 1513513487:1513513487(0) win 5840 <mss 1460,sackOK,timestamp 297703418 0,nop,wscale 7>
09:21:02.474629 IP 10.130.1.125.37720 > 10.8.0.213.1352: . ack 1372549872 win 46 <nop,nop,timestamp 297703421 0>
09:21:06.105465 IP 10.130.1.125.37720 > 10.8.0.213.1352: . ack 1 win 46 <nop,nop,timestamp 297704328 0,nop,nop,sack 1 {0:1}>
с win xp telnet 10.8.0.213 1352- tcpdump -i eth2 -ln host 10.8.0.213:
09:22:12.197104 IP 10.130.1.179.1074 > 10.8.0.213.1352: S 2077483152:2077483152(0) win 64512 <mss 1460,nop,nop,sackOK>
09:22:12.197156 IP 10.130.1.179.1074 > 10.8.0.213.1352: S 2077483152:2077483152(0) win 64512 <mss 1460,nop,nop,sackOK>
09:22:12.208940 IP 10.130.1.179.1074 > 10.8.0.213.1352: . ack 1112842368 win 64512
Результат отличается, ощущение такое что для винозных машин чего не хватает чтобы получить подтверждение пакетов, дошедших до цели чтоли?
Факт, что с линукса все проходит прекрасно, а с винды - затыкается! Встречался кто-нибудь такое?
с линукса web-сервер открывается успешно, tcpdump -i eth2 -ln host 10.8.0.144:
11:21:09.995397 IP 10.130.1.125.60369 > 10.8.0.144.80: S 2511673120:2511673120(0) win 5840 <mss 1460,sackOK,timestamp 342707120 0,nop,wscale 7>
11:21:09.995434 IP 10.130.1.125.60369 > 10.8.0.144.80: S 2511673120:2511673120(0) win 5840 <mss 1460,sackOK,timestamp 342707120 0,nop,wscale 7>
11:21:10.007359 IP 10.130.1.125.60369 > 10.8.0.144.80: . ack 3878629485 win 46 <nop,nop,timestamp 342707123 971853418>
11:21:10.007524 IP 10.130.1.125.60369 > 10.8.0.144.80: P 0:384(384) ack 1 win 46 <nop,nop,timestamp 342707123 971853418>
11:21:10.219033 IP 10.130.1.125.60369 > 10.8.0.144.80: P 0:384(384) ack 1 win 46 <nop,nop,timestamp 342707177 971853418>
11:21:10.643027 IP 10.130.1.125.60369 > 10.8.0.144.80: P 0:384(384) ack 1 win 46 <nop,nop,timestamp 342707283 971853418>
С виндозной машиной -проблема , tcpdump -i eth2 -ln host 10.8.0.144:
11:59:18.383871 IP 10.130.1.179.1452 > 10.8.0.144.80: S 1934015471:1934015471(0) win 64512 <mss 1460,nop,nop,sackOK>
11:59:18.383909 IP 10.130.1.179.1452 > 10.8.0.144.80: S 1934015471:1934015471(0) win 64512 <mss 1460,nop,nop,sackOK>
11:59:18.395394 IP 10.130.1.179.1452 > 10.8.0.144.80: . ack 1991293189 win 64512
11:59:18.400557 IP 10.130.1.179.1452 > 10.8.0.144.80: P 0:406(406) ack 1 win 64512
11:59:21.381748 IP 10.130.1.179.1452 > 10.8.0.144.80: P 0:406(406) ack 1 win 64512
11:59:27.413031 IP 10.130.1.179.1452 > 10.8.0.144.80: P 0:406(406) ack 1 win 64512
отличие в nop,nop,timestamp, кто может расшифровать , что именно нужно на фаерволле открыть , настроить? мыслей нет никаких, все настройки уже перепробовал, с виндовых машин пакеты не проходят через SuSEfirewall!