Dziwny objaw iptables
Patrycjusz Fudała
pfudala w katowice.kwpsp.gov.pl
Pon, 15 Maj 2006, 14:05:23 CEST
Łukasz Buczyński napisał(a):
> Patrycjusz Fudała napisał(a):
> > To raczej nie błąd w skrypcie ponieważ do tej pory chodził super i
>
>> dopiero po zmianie jądra z 2.6.8-4 na jw. zaczęły dziać się dziwne
>> rzeczy. Firewall przepuszcza pakiety a jak mu sie odwidzi to zaczyna je
>> blokować nie pomaga dodanie wpisów by przepuszczał wszystko co idzie z
>> serwera poczty w jedną i drugą stronę. Jak chce to puszcza a jak mu się
>> odwidzi to blokuje
>>
> Z kryształowej kuli nie wróżę. Chcę oglądać twoje logi logi logi... co
> na to tcpdump ? coś w /var/log/* ?. Jak nie chcesz pokazywać firewalla
> to raczej nie wymyślę rozwiązania, więc jak chcesz. Pozdrawiam.
>
>
>
To jest w logu z iptables:
May 15 13:29:39 alfa kernel: IN=eth3 OUT=eth0 SRC=192.168.99.2
DST=10.11.11.3 LEN=129 TOS=0x00 PREC=0x00 TTL=63 ID=4246 DF PROTO=TCP
SPT=465 DPT=43522 WINDOW=15180 RES=0x00 ACK PSH URGP=0
May 15 13:29:39 alfa kernel: IN=eth3 OUT=eth0 SRC=192.168.99.2
DST=10.11.11.3 LEN=129 TOS=0x00 PREC=0x00 TTL=63 ID=4248 DF PROTO=TCP
SPT=465 DPT=43522 WINDOW=15180 RES=0x00 ACK PSH URGP=0
May 15 13:29:40 alfa kernel: IN=eth3 OUT=eth0 SRC=192.168.99.2
DST=10.11.11.3 LEN=129 TOS=0x00 PREC=0x00 TTL=63 ID=4250 DF PROTO=TCP
SPT=465 DPT=43522 WINDOW=15180 RES=0x00 ACK PSH URGP=0
May 15 13:29:41 alfa kernel: IN=eth3 OUT=eth0 SRC=192.168.99.2
DST=10.11.11.3 LEN=129 TOS=0x00 PREC=0x00 TTL=63 ID=4252 DF PROTO=TCP
SPT=465 DPT=43522 WINDOW=15180 RES=0x00 ACK PSH URGP=0
May 15 13:29:45 alfa kernel: IN=eth3 OUT=eth0 SRC=192.168.99.2
DST=10.11.11.3 LEN=129 TOS=0x00 PREC=0x00 TTL=63 ID=4254 DF PROTO=TCP
SPT=465 DPT=43522 WINDOW=15180 RES=0x00 ACK PSH URGP=0
May 15 13:29:52 alfa kernel: IN=eth3 OUT=eth0 SRC=192.168.99.2
DST=10.11.11.3 LEN=129 TOS=0x00 PREC=0x00 TTL=63 ID=4256 DF PROTO=TCP
SPT=465 DPT=43522 WINDOW=15180 RES=0x00 ACK PSH URGP=0
A reguły odpowiedzialne za przepuszczenie tego pakietu to:
iptables -A FORWARD -i $ETH_LAN -o $ETH_DMZ_1 -j internal_dmz_1
iptables -A FORWARD -i $ETH_DMZ_1 -o $ETH_LAN -j dmz_1_internal
poniżej reguła która otwiera ruch z sieci lokalnej do serwera poczty
iptables -A internal_dmz_1 -p tcp -d $DMZ_1_SMTP_POP_IP -m multiport\
--dport $SMTP_POP_TCP -m state --state NEW,ESTABLISHED,RELATED\
-j ACCEPT
poniżej reguła powrotna z serwera poczty
iptables -A dmz_1_internal -p tcp -m state --state ESTABLISHED,RELATED\
-j ACCEPT
w takiej konfiguracji działało na 2.6.8-4
Patras
Więcej informacji o liście dyskusyjnej pld-users-pl