Добрый день всем!
Есть шлюз с iptables. Одной сетью смотрит в локалку - другой в интернет.
C него пинги замечательно проходят. Когда пытаюсь отправить из локалки - получаю это:
[root@getaway fletch]# tcpdump -i eth0 | grep ICMP | grep 192.168.7.78
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:22:24.682584 IP 192.168.7.78 > www.i.ua: ICMP echo request, id 512, seq 41257, length 40
10:22:27.560139 IP 192.168.7.78 > www.i.ua: ICMP echo request, id 512, seq 41513, length 40
10:22:32.682327 IP 192.168.7.78 > www.i.ua: ICMP echo request, id 512, seq 41769, length 40
10:22:38.182134 IP 192.168.7.78 > www.i.ua: ICMP echo request, id 512, seq 42025, length 40
10:22:43.681976 IP 192.168.7.78 > www.i.ua: ICMP echo request, id 512, seq 42281, length 40Как видим, ответа нет.
правила iptables:
#!/bin/bash
# Зададим общие переменные
IPTABLES="/usr/sbin/iptables"
WAN_IP="193.200.32.252"
WAN_IF="ppp0"
WAN_BC="255.255.255.0"
LAN_IP="192.168.7.167"
LAN_IF="eth0"
LAN_NET="192.168.7.0/24"
LO_IP="127.0.0.1"
LO_IF="lo"
# Очистим все старые правила фильтрации
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -t nat -X
# 1) Разрешим все подключения к серверу, как входящие, так и исходящие
# (потом отрегулирую)
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
# 2) Настроим некоторые важные системные правила
# 2.1) Все входящие пакеты с внутренней подсети на внутренний
# интерфейс - РАЗРЕШЕНЫ
$IPTABLES -A INPUT -p ALL -i $LAN_IF -s $LAN_NET -j ACCEPT
# ICMP
$IPTABLES -A INPUT -p icmp -j ACCEPT
# 2.2) Все локальные пакеты во все сети - РАЗРЕШЕНЫ
$IPTABLES -A INPUT -p ALL -i $LO_IF -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IF -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IF -s $WAN_IP -j ACCEPT
# 2.3) Все DHCP-запросы - РАЗРЕШЕНЫ
$IPTABLES -A INPUT -p UDP -i $LAN_IF --dport 67 --sport 68 -j ACCEPT
# DNS
$IPTABLES -A INPUT -p UDP -i $LAN_IF --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $LAN_IF --dport 53 -j ACCEPT
# FTP
$IPTABLES -A INPUT -p TCP -i ALL --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d $WAN_IP --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $WAN_IP --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
# Exim
$IPTABLES -A INPUT -p TCP -i ALL --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p TCP -s 0/0 --sport 1024:65535 -d $WAN_IP --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
# Dovecot
$IPTABLES -A INPUT -p TCP -i $LAN_IF --dport 110 -j ACCEPT
# VPN
$IPTABLES -A INPUT -p TCP --dport 1723 -j ACCEPT
$IPTABLES -A INPUT -p 47 -j ACCEPT
# SSH
$IPTABLES -A INPUT -p TCP -i ALL --dport 1222 -j ACCEPT
$IPTABLES -A INPUT -p TCP -s 0/0 --sport 1024:65535 -d $WAN_IP --dport 1222 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 13.200.32.252 --sport 1222 -d 0/0 -j ACCEPT
# NTP
$IPTABLES -A INPUT -p UDP -i $LAN_IF --dport 123 -j ACCEPT
# Jabber
$IPTABLES -A INPUT -p TCP -i ALL --dport 5222 -j ACCEPT
$IPTABLES -A INPUT -p TCP -i ALL --dport 5269 -j ACCEPT
# MySQL
$IPTABLES -A INPUT -i $LAN_IF -p tcp -m tcp --dport 3306 -j ACCEPT
# Закрываем icq
$IPTABLES -A FORWARD -d 64.12.0.0/16 -p tcp -j DROP
$IPTABLES -A FORWARD -d 64.12.51.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 64.12.174.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 64.12.161.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 64.12.202.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 152.163.159.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 152.163.208.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 194.67.23.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 194.186.55.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 205.188.179.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -d 205.188.251.0/24 -p tcp -j DROP
$IPTABLES -A FORWARD -s $LAN_NET -p tcp --dport 5190 -j DROP
# Forward icmp
$IPTABLES -A FORWARD -p icmp -j ACCEPT
# Output icmp
$IPTABLES -A OUTPUT -p icmp -j ACCEPT
# 3) Все уже установленные входящие подключения - РАЗРЕШЕНЫ
$IPTABLES -A INPUT -p ALL -d $WAN_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
# 5.1) Сначала включаем собственно NAT
$IPTABLES -t nat -I PREROUTING -i $LAN_IF -p tcp -s 192.168.7.0/24 --dport 80 -j DNAT --to-destination 192.168.7.167:3128
$IPTABLES -t nat -A POSTROUTING -p icmp -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $WAN_IF -j MASQUERADE
# 5.2) Все транзитные пакеты по уже установленным соединениям -
# РАЗРЕШЕНЫ
$IPTABLES -A FORWARD -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPTeth0 смотрит в локалку, eth2 - на медиаконвертер, провайдер раздает интернет через pppoe - соединение
UPD До вчерашнего дня все работало нормально. Провайдер прописал обратную зону и начались проблемы. Как она может влиять на файрвол?
