Задать вопрос
Ответы пользователя по тегу Iptables
  • Как передавать реальный айпи по udp через GRE?

    @MechanID
    Админ хостинг провайдера
    Правилом -A POSTROUTING -d 10.200.1.9 -p udp --dport 19130:19140 -j SNAT --to-source 10.200.1.8
    вы переписываете ип адрес отправителя пакета на свой

    Если этого не делать что все ломается потому что пакет пришол на ваш сервер 1 тот его передал серверу 2, сервер 2 ответил.... но отправитель пакета ждет ответ от сервера 1 а не сервера 2
    Что делать:
    правило выше убрать и на сервере 2 настраивать маркировку пакетов при помощи iptables и правила роутинга на основе марикровки пакетов чтобы все что пришло через интерфейс с гре уходило тудаже а не через сетевку за которой дефолтный гейтвей, наиблизкий пример как настраивать - в документации LARTC раздел про мульти WAN
    Ответ написан
    Комментировать
  • CentOs 8 маршрутизация с двумя активными gateway?

    @MechanID
    Админ хостинг провайдера
    Отвечу на ваш вопрос из комментария: если ipv4 forward =0 то в локальной сети интернет небыл бы доступеню
    Сейчас у вас все работает именно так как вы настроили, просто у вас логическая проблема:
    у вас есть проброс порта -A PREROUTING -d 217.xxx.xxx.218/32 -i enp6s0 -p tcp -m tcp --dport 53388 -j DNAT --to-destination 192.168.0.166:53388
    и пакеты придут на 217.xxx.xxx.218 и попадут на адрес 192.168.0.166:53388, а проблема в том что в соответствии с вашими настройками пакеты от 192.168.0.166(как и от все сети 192.168.0.0/24) пойдут в интернет не с адреса 217.xxx.xxx.218, а через адрес 192.168.59.2 соответственно источник подключения к RDP получит ответ от другово ип адреса чего он никак не ожидает, поэтому отбросит пакеты.
    Варианты как это решить:
    простой - 192.168.0.166 натить в интернет через 217.xxx.xxx.218
    сложный - маскарадить и маркировать запросы вашего шлюза к 192.168.0.166 на нужные порты чтобы потом их отправлять с нужного ип на шлюзе.
    Ответ написан
  • Как указать для правила iptables несколько интерфейсов?

    @MechanID
    Админ хостинг провайдера
    Можно сделать вот так и ничего не перечислять
    iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
    iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
    Ответ написан
    Комментировать
  • Как перенаправить sip (IPTABLES)?

    @MechanID
    Админ хостинг провайдера
    При помощи iptables все что вы сможете - перенаправить весь трафик с 10.66.66.66 на второй астер - но тогда первый астер этот трафик уже не получит. - мне кажется это не то чт овам нужно.
    Ответ написан
    Комментировать
  • Как пустить PREROUTING iptables через фильтр?

    @MechanID
    Админ хостинг провайдера
    Конечно строка iptables -A INPUT -i ${WAN} -d ${LOCAL_IP} -p tcp --dport 80 -j ACCEPT бесполезна - так как указан ${WAN} интерфейс и в трафике там приходит на ${WAN_IP}. - вам нужно заменить ${LOCAL_IP} на ${WAN_IP} тогда правило заработает.

    По ддос атаке - опасно рейтлимитить вест трафик, когда вы делаете вот так:
    -A Filters -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP
    вы рейтлимитите все и отовсюду, если у вас переполнится conntrac то начнутся потери пакетов и сервер может стать не доступным, в таких правилах всегда указывайте входящий интерфейс и порт.
    Ответ написан
    3 комментария
  • Как записать все IP адреса которые попали в Drop Iptables?

    @MechanID
    Админ хостинг провайдера
    можно сначала заворачивать в -j LOG
    а следуюйщим правилом в цепочке ставить -j DROP
    Ответ написан
    Комментировать
  • Что за странные правила неожиданно появились в iptables?

    @MechanID
    Админ хостинг провайдера
    Очень похоже что KOP-315-65406 это номер тикета или заявки в саппорте вашего хостера, попробуйте с ними связаться.
    Ответ написан
    Комментировать
  • Как пустить трафик из hotspot на squid?

    @MechanID
    Админ хостинг провайдера
    net.ipv4.ip_forward = 1 в /etc/sysctl.conf стоит ?
    если нет поставте и сделайте sysctl -p
    Ответ написан
  • Как правильно открыть 80 порт для 2-x провайдеров?

    @MechanID
    Админ хостинг провайдера
    Вы можете:
    1 просто добавить на веб-сервер с адресом 192.168.1.10 еще 1 ип адрес, повесить на него такоqже виртуал хост и пробрасывать на него 80ый порт с другова провайдера. (этот адрес должен выходить в интернет именно с другова провайдера)

    2 Либо вам придется вникать в проблему: сейчас у вас скорее всего на шлюзе стоит простой NAT и роутинг (пара таблиц в каждой свой дефаулт гейтвей) - и правила эту сеть или ипы через 1го провадера а другие через другова, поэтому даже если пришли пакеты с другова провайдера на порт 80 они всеравно уходят через 1го провадер и ничего не работает, решить проблему можно почитав LARTC и доки по iptables iproute2. но там много не очевидных вещей, увелкательые приключения с tcpdump вам гарантированны.
    Ответ написан
    Комментировать
  • Iptables mark + iproute2, как заблокировать домен?

    @MechanID
    Админ хостинг провайдера
    Эээ... дроп пакетов я уже вставлял бы в -t nat FORWARD а не тамже в mangle + учтите что так вы словите пачку фалс позитивов - например юзер будет открывать сайт где есть ссылки на ya.ru и пакеты тоже будут попадать под правило и дропатся.
    имхо оч странное решение задачи.

    Доступ к сайтам лучше резать на прокси или локальным днсом отдавать ип заглушки а сторонние днсы запретить/зафаерволить
    Ответ написан
    1 комментарий
  • Почему не работает firewall iptables?

    @MechanID
    Админ хостинг провайдера
    Если соединение на RDP 3389 идет от клиента через этот шлюз кудато дальше в интернет то правила должны быть не в цепочке INPUT, а в цепочке FORWARD.
    Ответ написан
    Комментировать
  • Как организовать балансировку трафика и агрегацию каналов?

    @MechanID
    Админ хостинг провайдера
    Теория - очень рекомендую прочитать LARTC
    Вобще многое зависит от нагрузки, если пропускной способности одной пары ubiquiti nano station не хватает то да надо использовать агрегацию.
    Также можно использовать оба провайдера для обоих сетей (внимание балансировка нагрузки описанная в LARTC работает только для ядер 2.6 для 3+ это делается несколько иначе)
    Ответ написан
    Комментировать