Что делать, в IPtables перестал работать 80 исходящий порт?

Question

[stufa]

все работало, в один момент
в IPtables перестал работать 80 исходящий порт
очень много правил под программы заложено, переделывать с нуля
целая проблема, тем более что не я настаивал все это...
Через IPtables настроен прозрачный прокси
с сервера без iptables telnet на 80 порт работает, с iptables таймаут
iptables перенаправляет все запросы через прокси, без него прокси
на порт 3128 начинает работать интернет с клиентских ПК, при ключении
iptables все блокируется, интернета нету, хотя через https сайты идут

iptables-save

# 
*mangle
:PREROUTING ACCEPT [14795:4192357]
:INPUT ACCEPT [6797:1406093]
:FORWARD ACCEPT [7775:2710008]
:OUTPUT ACCEPT [8217:1778537]
:POSTROUTING ACCEPT [15997:4489921]
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -p tcp -m tcp --dport 80 -j CONNMARK --set-xmark 0x10/0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
COMMIT
# Completed on Thu Aug 21 09:56:23 2014
# Generated by iptables-save v1.4.9.1 on Thu Aug 21 09:56:23 2014
*nat
:PREROUTING ACCEPT [449:127920]
:OUTPUT ACCEPT [271:30719]
:POSTROUTING ACCEPT [273:30823]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 212.98.168.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 212.98.162.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 195.239.152.122/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 89.207.91.70/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 212.98.168.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -s 212.98.162.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -s 195.239.152.122/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -s 89.207.91.70/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -d 62.133.173.51/32 -p tcp -m tcp --dport 42022 -j DNAT --to-destination 192.168.0.254:22
-A PREROUTING -d 62.133.173.51/32 -p tcp -m tcp --dport 42253 -j DNAT --to-destination 192.168.0.253:22
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.2.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.7.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 62.133.173.51
-A POSTROUTING -d 192.168.0.193/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j SNAT --to-source 62.133.173.51
-A POSTROUTING -s 10.10.0.0/24 -o ppp0 -j SNAT --to-source 62.133.173.51
COMMIT
# Completed on Thu Aug 21 09:56:23 2014
# Generated by iptables-save v1.4.9.1 on Thu Aug 21 09:56:23 2014
*filter
:INPUT ACCEPT [6797:1406093]
:FORWARD ACCEPT [3896:477240]
:OUTPUT ACCEPT [8213:1778247]
:fail2ban-ASTERISK - [0:0]
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A fail2ban-ASTERISK -s 182.140.241.10/32 -j DROP
-A fail2ban-ASTERISK -s 178.33.63.79/32 -j DROP
-A fail2ban-ASTERISK -s 85.25.109.9/32 -j DROP
-A fail2ban-ASTERISK -s 85.25.108.22/32 -j DROP
-A fail2ban-ASTERISK -s 108.59.12.149/32 -j DROP
-A fail2ban-ASTERISK -s 85.17.26.196/32 -j DROP
-A fail2ban-ASTERISK -j RETURN
-A fail2ban-ASTERISK -j RETURN
-A fail2ban-ASTERISK -j RETURN
-A fail2ban-ASTERISK -j RETURN
COMMIT
# Completed on Thu Aug 21 09:56:23 2014

iptables -L -n -t nat

target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/24       192.168.2.0/24
ACCEPT     all  --  192.168.0.0/24       192.168.7.0/24
SNAT       all  --  192.168.0.0/24       0.0.0.0/0           to:62.133.173.51
SNAT       tcp  --  0.0.0.0/0            192.168.0.193       tcp dpt:3389 to:192.168.0.1
SNAT       all  --  10.8.0.0/24          0.0.0.0/0           to:62.133.173.51
SNAT       all  --  10.10.0.0/24         0.0.0.0/0           to:62.133.173.51

iptables -L -n -t mangle

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
CONNMARK   all  --  0.0.0.0/0            0.0.0.0/0           CONNMARK restore

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
CONNMARK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 CONNMARK set 0x10
CONNMARK   all  --  0.0.0.0/0            0.0.0.0/0           CONNMARK restore

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

nmap почему-то проходит
nmap -sS -p 80 ya.ru

Starting Nmap 5.21 ( http://nmap.org ) at 2014-08-21 10:07 MSD
Nmap scan report for ya.ru (93.158.134.3)
Host is up (0.022s latency).
Hostname ya.ru resolves to 3 IPs. Only scanned 93.158.134.3
rDNS record for 93.158.134.3: www.yandex.ru
PORT   STATE    SERVICE
80/tcp filtered http

netstat -tulpn

Answer 1

[ERiC]

еще можно сюда вывод ip rule show. ?
ну и сразу уж тогда и ip r s t all - мало ли в какую таблицу отправляют трафик...
мое преположение -
тот кто настраивал ставил iptables -t manlge -A OUTPUT -p tcp -m tcp --dport 80 -j CONNMARK --set-xmark 0x10/0xffffffff
- это маркировка трафика, вопрос для чего маркировать трафик, если его не обрабатывать особым образом, может быть есть правило для этого ?

Comments

[stufa]

ip rule show
0: from all lookup local
107: from all fwmark 0x10/0x10 lookup xenrouter
32766: from all lookup main
32767: from all lookup default

[stufa]

почта по imap и https у компьютеров работают, не работает только http протокол

[ERiC]

107: from all fwmark 0x10/0x10 lookup xenrouter
@stufa, это означает что iproute2 отправляет трафик маркированный 10й метков в таблицу xenrouter.
теперь надо глянуть как трафик ходит в этой таблице.
выдай сюда:
ip route show table xenrouter
ну и заодно чтоб два раза не вставать можешь еще и
ip route show table main

[ERiC]

@stufa по поводу imap и https - ну среди той простыни что указана в вопросе я не вижу чтоб были манипуляции с 443 портом например. а вот с 80 видно что трафик на него маркируется в таблице mangle и что в таблице nat он редиректится на проксю похоже что локальную по отношению к этой машине.

[stufa]

Ну да, так это все так и работало.
По черному списку прокси блокирует, заходы показывает по access, вот только дальше не идет не могу понять почему
так получается что вроде пытается зайти на сайт, висит секунд 20-30 в потом пишет ошибку таймаута

[stufa]

вообще netstat нету TCP4 только TCP6 в listen о чем это может говорить?

[ERiC]

@stufa , где "ip route show table xenrouter" ?

[stufa]

ip route show table xenrouter
192.168.1.0/24 dev eth1 scope link
default via 192.168.0.254 dev eth1

[stufa]

ip route show table main
192.168.0.201 dev ppp1 proto kernel scope link src 192.168.0.1
83.174.192.33 dev ppp0 proto kernel scope link src 62.133.173.51
192.168.2.0/24 via 10.8.0.4 dev tap0
10.8.0.0/24 dev tap0 proto kernel scope link src 10.8.0.1
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1
127.0.0.0/8 dev lo scope link
default via 83.174.192.33 dev ppp0

[ERiC]

@stufa, теперь надо искать что происходит с трафиком на машине с адресом 192.168.0.254. какие там правила (ip rule show, ip route show, тот же iptables-save ), как трафик оттуда пропускается.
ну или можно, что проще, попробовать от обратного - удалить правило маркировки трафика на этой машине (iptables -t mangle -D OUTPUT -p tcp -m tcp --dport 80 -j CONNMARK --set-xmark 0x10/0xffffffff) , и посмотреть что будет.

и опять же:
а где прокси стоит то? на этой же машине?
а что будет если удалить таки правило с перенаправлением 80го порта на прокси:
iptables -t nat -D PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 ?

[stufa]

насколько я понял 192.168.0.254 это IP машины другой с XENHOST, зачем так сделали не могу понять ... и прокси и интернет все на одной машине плюсом там еще поднят телефонный шлюз, VPN сервер и apache2 на 80 порту

[stufa]

удивительно что после команды iptables -t nat -D PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 интернет работает и работает как надо без ввода прокси в браузере!!! после перезагрузки iptables настройка не сохраняется, как сохранить? теперь еще больше непонятно как это все там закручено....

[stufa]

заработало оно ненадолго возможно по какой-то другой причине, факт в том что эта команда ничего не меняет...

[stufa]

однако все заработало после удаления правила маркировки трафика, не могу понять зачем вообще было сделано... надеюсь не на какое-то опять время..

[stufa]

сделано это было чтобы все работало через 80 порт, а не только через 3128 .... тока непойму как именно и почему работает с перебоями

[ERiC]

Зачем тау сделано, и какие последствия будут от доступа в сеть напрямую без промежуточной машины или без прокси я не знаю там множество сервисов, для какой то цели было так. Ну а без этих правил трафик сразу идёт напрямую на маршрут по умолчанию.. Как сохранить ? Это смотря как правила применяются. Это зависит как от дистрибутива, так и от того как сделал тот кто настраивал изначально. iptables-save, load при загрузке. Или какой нибудь скрипт при загрузке срабатывает, его могли разместить запуск из крона, из /etc/rc.local или инит написать. Тут уже копаться надо.
Если разбираться нет желания - то можно просто нарисовать запуск нужных команд в крон каждые 15 минут. Но это ужасный способ. Стоит найти то, откуда правила iptables восстанавливаются, и в том скрипте поправить..

[stufa]

добавил такое правило iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 результат такой что интернет работает только если принудительно указать 80 порт в браузере..

Answer 2

[Алексей]

Проверь логи прокси, вероятно он дальше не пускает.
Может банальный вариант, но имя интерфейса проверь, что eth1 точно тому соответствует

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Comments

[stufa]

какие именно логи? в access заходы пишутся

[stufa]

eth0 Link encap:Ethernet HWaddr 00:01:02:0c:15:20
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::201:2ff:fe0c:1520/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7325135 errors:0 dropped:0 overruns:0 frame:0
TX packets:4749938 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1745459693 (1.6 GiB) TX bytes:1157660173 (1.0 GiB)
Interrupt:20 Base address:0xe000

eth1 Link encap:Ethernet HWaddr 00:01:02:0c:13:45
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::201:2ff:fe0c:1345/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4148879 errors:0 dropped:0 overruns:0 frame:0
TX packets:6541813 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:880604863 (839.8 MiB) TX bytes:1380296984 (1.2 GiB)
Interrupt:19 Base address:0x2000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:26673 errors:0 dropped:0 overruns:0 frame:0
TX packets:26673 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2466745 (2.3 MiB) TX bytes:2466745 (2.3 MiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:62.133.173.51 P-t-P:83.174.192.35 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:278561 errors:0 dropped:0 overruns:0 frame:0
TX packets:261093 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:46678392 (44.5 MiB) TX bytes:163164979 (155.6 MiB)

ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.201 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:14263 errors:0 dropped:0 overruns:0 frame:0
TX packets:14466 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:5706039 (5.4 MiB) TX bytes:3418214 (3.2 MiB)

tap0 Link encap:Ethernet HWaddr a6:5e:6c:44:9f:43
inet addr:10.8.0.1 Bcast:10.8.0.255 Mask:255.255.255.0
inet6 addr: fe80::a45e:6cff:fe44:9f43/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1723 errors:0 dropped:0 overruns:0 frame:0
TX packets:10815 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:122367 (119.4 KiB) TX bytes:650964 (635.7 KiB)

[stufa]

и прокси с отключенным iptables работает на 3128

[Алексей]

увы, пока идей нет

Answer 3

[Алексей Черемисин]

Немного не в тему. Ух, какое полотно... Оказывается, еще кто-то пишет эти правила самостоятельно.
Рекомендую больше так не делать, а переходить на shorewall или firehol (или аналоги). Последним я сам пользуюсь, хотя продукт уже не развивается, в каждом из них есть возможность добавлять свои правила, кучу правил уже готова из коробки., у меня всего около 50 строк кода на 6 подсетей с маскарадингом, DMZ, пробросом портов, VPN, политиками куда и какая подсеть ходи, защитой от разного рода SYN/SYNC и прочих атак, логированием...
Firehol и Shorewall - генераторы правил для iptables и не только. Firehol уже не развивается, но очень прост в использовании. Shorewall мощный инструмент с активными комьюнити и жизненным циклом, немного посложнее.