Что делать, в IPtables перестал работать 80 исходящий порт?

все работало, в один момент
в IPtables перестал работать 80 исходящий порт
очень много правил под программы заложено, переделывать с нуля
целая проблема, тем более что не я настаивал все это...
Через IPtables настроен прозрачный прокси
с сервера без iptables telnet на 80 порт работает, с iptables таймаут
iptables перенаправляет все запросы через прокси, без него прокси
на порт 3128 начинает работать интернет с клиентских ПК, при ключении
iptables все блокируется, интернета нету, хотя через https сайты идут

iptables-save
# 
*mangle
:PREROUTING ACCEPT [14795:4192357]
:INPUT ACCEPT [6797:1406093]
:FORWARD ACCEPT [7775:2710008]
:OUTPUT ACCEPT [8217:1778537]
:POSTROUTING ACCEPT [15997:4489921]
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -p tcp -m tcp --dport 80 -j CONNMARK --set-xmark 0x10/0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
COMMIT
# Completed on Thu Aug 21 09:56:23 2014
# Generated by iptables-save v1.4.9.1 on Thu Aug 21 09:56:23 2014
*nat
:PREROUTING ACCEPT [449:127920]
:OUTPUT ACCEPT [271:30719]
:POSTROUTING ACCEPT [273:30823]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 212.98.168.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 212.98.162.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 195.239.152.122/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 89.207.91.70/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 192.168.0.193:3389
-A PREROUTING -s 212.98.168.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -s 212.98.162.58/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -s 195.239.152.122/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -s 89.207.91.70/32 -d 62.133.173.51/32 -p tcp -m tcp --dport 3394 -j DNAT --to-destination 192.168.0.194:3389
-A PREROUTING -d 62.133.173.51/32 -p tcp -m tcp --dport 42022 -j DNAT --to-destination 192.168.0.254:22
-A PREROUTING -d 62.133.173.51/32 -p tcp -m tcp --dport 42253 -j DNAT --to-destination 192.168.0.253:22
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.2.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.7.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 62.133.173.51
-A POSTROUTING -d 192.168.0.193/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j SNAT --to-source 62.133.173.51
-A POSTROUTING -s 10.10.0.0/24 -o ppp0 -j SNAT --to-source 62.133.173.51
COMMIT
# Completed on Thu Aug 21 09:56:23 2014
# Generated by iptables-save v1.4.9.1 on Thu Aug 21 09:56:23 2014
*filter
:INPUT ACCEPT [6797:1406093]
:FORWARD ACCEPT [3896:477240]
:OUTPUT ACCEPT [8213:1778247]
:fail2ban-ASTERISK - [0:0]
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A INPUT -p udp -m multiport --dports 5060 -j fail2ban-ASTERISK
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A fail2ban-ASTERISK -s 182.140.241.10/32 -j DROP
-A fail2ban-ASTERISK -s 178.33.63.79/32 -j DROP
-A fail2ban-ASTERISK -s 85.25.109.9/32 -j DROP
-A fail2ban-ASTERISK -s 85.25.108.22/32 -j DROP
-A fail2ban-ASTERISK -s 108.59.12.149/32 -j DROP
-A fail2ban-ASTERISK -s 85.17.26.196/32 -j DROP
-A fail2ban-ASTERISK -j RETURN
-A fail2ban-ASTERISK -j RETURN
-A fail2ban-ASTERISK -j RETURN
-A fail2ban-ASTERISK -j RETURN
COMMIT
# Completed on Thu Aug 21 09:56:23 2014

iptables -L -n -t nat
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/24       192.168.2.0/24
ACCEPT     all  --  192.168.0.0/24       192.168.7.0/24
SNAT       all  --  192.168.0.0/24       0.0.0.0/0           to:62.133.173.51
SNAT       tcp  --  0.0.0.0/0            192.168.0.193       tcp dpt:3389 to:192.168.0.1
SNAT       all  --  10.8.0.0/24          0.0.0.0/0           to:62.133.173.51
SNAT       all  --  10.10.0.0/24         0.0.0.0/0           to:62.133.173.51

iptables -L -n -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
CONNMARK   all  --  0.0.0.0/0            0.0.0.0/0           CONNMARK restore

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
CONNMARK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 CONNMARK set 0x10
CONNMARK   all  --  0.0.0.0/0            0.0.0.0/0           CONNMARK restore

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

nmap почему-то проходит
nmap -sS -p 80 ya.ru
Starting Nmap 5.21 ( http://nmap.org ) at 2014-08-21 10:07 MSD
Nmap scan report for ya.ru (93.158.134.3)
Host is up (0.022s latency).
Hostname ya.ru resolves to 3 IPs. Only scanned 93.158.134.3
rDNS record for 93.158.134.3: www.yandex.ru
PORT   STATE    SERVICE
80/tcp filtered http


netstat -tulpn
  • Вопрос задан
  • 3375 просмотров
Пригласить эксперта
Ответы на вопрос 3
@typ6o0jiehb
ИТ-специалист // Сисадмин.
еще можно сюда вывод ip rule show. ?
ну и сразу уж тогда и ip r s t all - мало ли в какую таблицу отправляют трафик...
мое преположение -
тот кто настраивал ставил iptables -t manlge -A OUTPUT -p tcp -m tcp --dport 80 -j CONNMARK --set-xmark 0x10/0xffffffff
- это маркировка трафика, вопрос для чего маркировать трафик, если его не обрабатывать особым образом, может быть есть правило для этого ?
Ответ написан
zlyoha
@zlyoha
Администратор Linux, эникей
Проверь логи прокси, вероятно он дальше не пускает.
Может банальный вариант, но имя интерфейса проверь, что eth1 точно тому соответствует
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
Ответ написан
leahch
@leahch Куратор тега Linux
3Д специалист. Долго, Дорого, Дерьмово.
Немного не в тему. Ух, какое полотно... Оказывается, еще кто-то пишет эти правила самостоятельно.
Рекомендую больше так не делать, а переходить на shorewall или firehol (или аналоги). Последним я сам пользуюсь, хотя продукт уже не развивается, в каждом из них есть возможность добавлять свои правила, кучу правил уже готова из коробки., у меня всего около 50 строк кода на 6 подсетей с маскарадингом, DMZ, пробросом портов, VPN, политиками куда и какая подсеть ходи, защитой от разного рода SYN/SYNC и прочих атак, логированием...
Firehol и Shorewall - генераторы правил для iptables и не только. Firehol уже не развивается, но очень прост в использовании. Shorewall мощный инструмент с активными комьюнити и жизненным циклом, немного посложнее.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы