Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: donjirka 26 Listopadu 2013, 07:51:26
-
Ahoj, potřeboval bych popostrčit v konfiguraci iptables. Když založím tyto pravidla, tak nejde nic z VPS pingnout ani stáhnout.
Pokud provedu restart (smažu pravila) tak je vše OK. Bez firewalu to ale jaksi fakt nejde, :-[ co dělám špatně?
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type echo-request -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
root@vps:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTA BLISHED
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere icmp echo-request
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@vps:~# apt-get install nano
Reading package lists... Done
Building dependency tree
Reading state information... Done
Suggested packages:
spell
The following NEW packages will be installed:
nano
0 upgraded, 1 newly installed, 0 to remove and 225 not upgraded.
Need to get 194 kB of archives.
After this operation, 618 kB of additional disk space will be used.
Err http://archive.ubuntu.com/ubuntu/ precise/main nano amd64 2.2.6-1
Temporary failure resolving 'archive.ubuntu.com'
Failed to fetch http://archive.ubuntu.com/ubuntu/pool/main/n/nano/nano_2.2.6-1_a md64.deb Temporary failure resolving 'archive.ubuntu.com'
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-mis sing?
root@vps:~# ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255. 255
inet6 addr: 2a01:***:**:*::ffff:***/128 Scope:Global
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:511 errors:0 dropped:0 overruns:0 frame:0
TX packets:415 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:45595 (45.5 KB) TX bytes:57023 (57.0 KB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
inet addr:37.205.*.* P-t-P:37.205.*.* Bcast:0.0.0.0 Mask:255.255. 255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
-
Jako první musí být nastavení default politiky
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
A pak ten zbytek.
-
vytvořil jsem script iptables.sh
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type echo-request -j ACCEPT
restartoval VPS iptables byly prázdné, zavedl jsem pravidla ručně scriptem a pořád stejná chyba. :o
root@vps:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@vps:~# apt-get update
Ign http://archive.ubuntu.com precise InRelease
Ign http://archive.ubuntu.com precise-updates InRelease
Ign http://security.ubuntu.com precise-security InRelease
Ign http://archive.canonical.com precise InRelease
Hit http://archive.ubuntu.com precise Release.gpg
Hit http://security.ubuntu.com precise-security Release.gpg
Hit http://archive.canonical.com precise Release.gpg
Get:1 http://archive.ubuntu.com precise-updates Release.gpg [198 B]
Hit http://security.ubuntu.com precise-security Release
Hit http://archive.canonical.com precise Release
Hit http://archive.ubuntu.com precise Release
Hit http://security.ubuntu.com precise-security/main amd64 Packages
Hit http://archive.canonical.com precise/partner amd64 Packages
Get:2 http://archive.ubuntu.com precise-updates Release [49.6 kB]
Hit http://security.ubuntu.com precise-security/restricted amd64 Packages
Hit http://security.ubuntu.com precise-security/universe amd64 Packages
Hit http://security.ubuntu.com precise-security/multiverse amd64 Packages
Hit http://security.ubuntu.com precise-security/main i386 Packages
Hit http://security.ubuntu.com precise-security/restricted i386 Packages
Hit http://archive.canonical.com precise/partner i386 Packages
Ign http://archive.canonical.com precise/partner TranslationIndex
Hit http://security.ubuntu.com precise-security/universe i386 Packages
Hit http://security.ubuntu.com precise-security/multiverse i386 Packages
Hit http://security.ubuntu.com precise-security/main TranslationIndex
Hit http://security.ubuntu.com precise-security/multiverse TranslationIndex
Hit http://security.ubuntu.com precise-security/restricted TranslationIndex
Hit http://security.ubuntu.com precise-security/universe TranslationIndex
Hit http://archive.ubuntu.com precise/main amd64 Packages
Hit http://archive.ubuntu.com precise/restricted amd64 Packages
Hit http://archive.ubuntu.com precise/universe amd64 Packages
Hit http://archive.ubuntu.com precise/main i386 Packages
Hit http://archive.ubuntu.com precise/restricted i386 Packages
Hit http://archive.ubuntu.com precise/universe i386 Packages
Hit http://archive.ubuntu.com precise/main TranslationIndex
Hit http://archive.ubuntu.com precise/restricted TranslationIndex
Hit http://archive.ubuntu.com precise/universe TranslationIndex
Hit http://security.ubuntu.com precise-security/main Translation-en
Hit http://security.ubuntu.com precise-security/multiverse Translation-en
Hit http://security.ubuntu.com precise-security/restricted Translation-en
Get:3 http://archive.ubuntu.com precise-updates/main amd64 Packages [708 kB]
Hit http://security.ubuntu.com precise-security/universe Translation-en
Ign http://archive.canonical.com precise/partner Translation-en
Get:4 http://archive.ubuntu.com precise-updates/restricted amd64 Packages [11.5 kB]
Get:5 http://archive.ubuntu.com precise-updates/universe amd64 Packages [223 kB]
Get:6 http://archive.ubuntu.com precise-updates/main i386 Packages [730 kB]
Get:7 http://archive.ubuntu.com precise-updates/restricted i386 Packages [11.4 kB]
Get:8 http://archive.ubuntu.com precise-updates/universe i386 Packages [227 kB]
Get:9 http://archive.ubuntu.com precise-updates/main TranslationIndex [3564 B]
Get:10 http://archive.ubuntu.com precise-updates/restricted TranslationIndex [2461 B]
Get:11 http://archive.ubuntu.com precise-updates/universe TranslationIndex [2850 B]
Hit http://archive.ubuntu.com precise/main Translation-en
Hit http://archive.ubuntu.com precise/restricted Translation-en
Hit http://archive.ubuntu.com precise/universe Translation-en
Get:12 http://archive.ubuntu.com precise-updates/main Translation-en [319 kB]
Hit http://archive.ubuntu.com precise-updates/restricted Translation-en
Get:13 http://archive.ubuntu.com precise-updates/universe Translation-en [130 kB]
Fetched 2419 kB in 3s (798 kB/s)
Reading package lists... Done
root@vps:~# ./iptables.sh
root@vps:~# apt-get update
Err http://archive.ubuntu.com precise InRelease
Err http://archive.canonical.com precise InRelease
Err http://security.ubuntu.com precise-security InRelease
0% [Connecting to archive.ubuntu.com] [Connecting to security.ubuntu.com] [Conn^C
root@vps:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere icmp echo-request
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@vps:~#
-
ukaz nam prosim vystup v tagu code (pred a po) z iptables-save
1) uz se nepouziva -m state ALE -m conntrack --ctstate
2) kdyz pouzijes RELATED,ESTABLISHED jako prvni (coz je dobre), tak na otevrene porty staci uz jen NEW
-
Už asi tuším, kde je bota :)
Ještě počkám na požadovaný výpis.
-
Už asi tuším, kde je bota :)
Ještě počkám na požadovaný výpis.
ja taky :D .. ono je totiz z iptables-save vsechno videt zdaleka nejlip .. koukat do -vL a -t nat -vL obcas zpusobuje *wtf eventy :D
-
Ahoj, trochu lidštěji na mě ;D jak vypíšu iptables-save?? ::)
-
Ahoj, trochu lidštěji na mě ;D jak vypíšu iptables-save?? ::)
To on neumí, ale jinak je to hodnej kluk ;D
-
Nu prostě v terminálu pod rootem zadej
iptables-save
PS: Ten iptables spouštíš na hostujícím PC, nebo na VPS?
PSS: To byla nápověda.
-
To mi ale uloží pravidla jestli se nepletu, já bych je chtěl ale pokaždé zavádět scriptem po spouštění. Promiňte mi mojí natvrdlost, ale asi jsem toho přečetl o iptables moc a jsem z toho trochu jelen.
Tadeáš Pařík: To on neumí, ale jinak je to hodnej kluk ;D
jo to je :D
-
To mi ale uloží pravidla jestli se nepletu ...
Pleteš :) Vypíše to aktuálně platná pravidla v takovém formátu, aby je pak šlo pomocí iptables-restore znovu zavést. Super na tom výpisu je, že je velmi ... komplexní.
-
root@vps:~# iptables-save
# Generated by iptables-save v1.4.12 on Wed Nov 27 05:52:13 2013
*mangle
:PREROUTING ACCEPT [174:17190]
:INPUT ACCEPT [174:17190]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [123:17124]
:POSTROUTING ACCEPT [123:17124]
COMMIT
# Completed on Wed Nov 27 05:52:13 2013
# Generated by iptables-save v1.4.12 on Wed Nov 27 05:52:13 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [19:2712]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Wed Nov 27 05:52:13 2013
root@vps:~#
proč mi nevypisuje nat?
-
protoze tam asi zadna pravidla pro NAT nemas .. nat to vypisuje :)
iptables-save proste vypise vsechna iptables pravidla, ktera jsou v soucasne chvili zavedena .. nevim, jestli je to stejne v ubu/debianu jako ve fedore, redhatu a centosu (tedy, ze ubu/debian automaticky vytvori pravidla v souboru /etc/iptables nebo /etc/sysconfig/iptables pokud tento existuje), ale iptables-save je jeden ze zakladnich nastroju v linuxu pro manipulaci s netfilterem ..
-
Stále mne zajímá, zda to, zda je iptables spouštěné na VPS, nebo na hostujícím PC?
Pokud na hostujícím PC ... pak ...
:FORWARD DROP [0:0]
-
Moc nerozumím dotazu ... jedná se o VPS u vpsfree.cz. Víte proč mi tedy nejde odchozí komunikace?
Celý dnešek jsem procházel schéma netfiltru a snažil se pochopit kde ty packety váznou, ale prostě mi přjde že je to nastavené dobře.
-
Moc nerozumím dotazu ... jedná se o VPS u vpsfree.cz. Víte proč mi tedy nejde odchozí komunikace?
Celý dnešek jsem procházel schéma netfiltru a snažil se pochopit kde ty packety váznou, ale prostě mi přjde že je to nastavené dobře.
Ok, tak tedy znova a lépe. Pokud je to VPS, které je hostované někde jinde, pak je to fuk, zda se jedná o skutečné PC, nebo hostovaný stroj (protože ten hostující stroj neovlivníš, nemáš na něj přístup a předpoklad je, že je správně nastaven). Tedy - co jsem vydedukoval na základě toho, co zde bylo řečeno:
1) Jedná se o stroj s veřejnou IP
2) Chceš všechno zakázat vyjma pár "nesmyslovin"
3) Před nahozením scriptu vše jede, server je dostupný, dostane se ven
4) Po nahození nejede ven - doplňující otázka: pingne po nahození na default gw? (bránu)
5) Cosi jsi tam hovořil o NATu, proč?
6) iptables-save PŘED spuštěním scriptu (když to jede) jsou prázdné? Nějak mi totiž není jasné, co tam dělá mangle
-
1) Ano
2) Ano
3) Ano
4) Ano - gw nemám jsem přímo v internetu
5) to neřeš ... moje blbost
6) Ano jsou prázdné
Dneska jsem procházel dalších pár článků a došel jsem k závěru že mi nefunguje pravidlo
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
nebo-li
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
když totiš iniicializuji spojení například pingem ven ... vypíše toto:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
139 10576 ACCEPT all -- lo any anywhere anywhere
158 13397 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
7678 659K ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh
10 536 ACCEPT icmp -- any any anywhere anywhere icmp echo-request
3 132 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
38 6486 DROP all -- any any anywhere anywhere
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 99 packets, 12240 bytes)
pkts bytes target prot opt in out source destination
z toho soudím že první pravidlo nevyhovělo žádnému packetu takže šly packety rovnou dolu na drop.
Potřeboval bych vědět jak se loguje provoz pro lepší diagnostiku problému.
Hledal jsem v různých článcích, ale nějak se mi nepodařilo přijít do jakého logu zapisují iptables logované packety. Mělo by to být kern.log ve /var/log/ ale tam prostě nic není.
-
4) Ano - gw nemám jsem přímo v internetu
To bych se skoro divil ... ip r Ti určitě nějakou ukáže :)
-
pošli příkaz který cheš.. pošlu ti výpis... taky jsem se divil :P
root@vps:~# ip r
default dev venet0 scope link
root@vps:~#
-
Tak moment, tady něco krutě nehraje.
Ten výpis je ve chvíli, kdy jde net? V takovém případě bych rád viděl i
ip a
cat /etc/network/interfaces
route
-
Tady je výpis když mám ip tables prázdné.
root@vps:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
link/void
inet 127.0.0.2/32 scope host venet0
inet 37.205.*.*/32 scope global venet0:0
inet6 2a01:430:*:*::ffff:*/128 scope global
valid_lft forever preferred_lft forever
root@vps:~# cat /etc/network/interfaces
# This configuration file is auto-generated.
#
# WARNING: Do not edit this file, your changes will be lost.
# Please create/edit /etc/network/interfaces.head and
# /etc/network/interfaces.tail instead, their contents will be
# inserted at the beginning and at the end of this file, respectively.
#
# NOTE: it is NOT guaranteed that the contents of /etc/network/interfaces.tail
# will be at the very end of this file.
#
# Auto generated lo interface
auto lo
iface lo inet loopback
# Auto generated venet0 interface
auto venet0
iface venet0 inet manual
up ifconfig venet0 up
up ifconfig venet0 127.0.0.2
up route add default dev venet0
down route del default dev venet0
down ifconfig venet0 down
iface venet0 inet6 manual
up ifconfig venet0 add 2a01:430:*:*::ffff:*/128
down ifconfig venet0 del 2a01:430:*:*::ffff:*/128
up route -A inet6 add default dev venet0
down route -A inet6 del default dev venet0
auto venet0:0
iface venet0:0 inet static
address 37.205.*.*
netmask 255.255.255.255
root@vps:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default * 0.0.0.0 U 0 0 0 venet0
root@vps:~#
tady když mám politiku drop
root@vps:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
link/void
inet 127.0.0.2/32 scope host venet0
inet 37.205.*.*/32 scope global venet0:0
inet62a01:430:*:*::ffff:*/128 scope global
valid_lft forever preferred_lft forever
root@vps:~# cat /etc/network/interfaces
# This configuration file is auto-generated.
#
# WARNING: Do not edit this file, your changes will be lost.
# Please create/edit /etc/network/interfaces.head and
# /etc/network/interfaces.tail instead, their contents will be
# inserted at the beginning and at the end of this file, respectively.
#
# NOTE: it is NOT guaranteed that the contents of /etc/network/interfaces.tail
# will be at the very end of this file.
#
# Auto generated lo interface
auto lo
iface lo inet loopback
# Auto generated venet0 interface
auto venet0
iface venet0 inet manual
up ifconfig venet0 up
up ifconfig venet0 127.0.0.2
up route add default dev venet0
down route del default dev venet0
down ifconfig venet0 down
iface venet0 inet6 manual
up ifconfig venet0 add 2a01:430:*:*::ffff:*/128
down ifconfig venet0 del 2a01:430:*:*::ffff:*/128
up route -A inet6 add default dev venet0
down route -A inet6 del default dev venet0
auto venet0:0
iface venet0:0 inet static
address 37.205.*.*
netmask 255.255.255.255
root@vps:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default * 0.0.0.0 U 0 0 0 venet0
root@vps:~#
-
Nikdo nic?
-
Byl víkend a tak.
Zkus nastavit default politiku na chain FORWARD na ACCEPT.
Popravdě jsem se snad ještě nesetkal s tím, že by default GW bylo rozhraní.
-
Ahoj, tak forwardem to není :o. Spíš mě zkuste navést jak zjistit kudy putují packety logováním.
-
No hele, nahodil jsem si cvičně ten tvůj script a valí to.
Celej průšvih tuším v té chybějící GW ...
-
Ahoj, to už jsem na svém PC zkoušel také, ale jak z toho ven?
-
Jo, tak na tohle moje znalosti nestačí, fakt netuším jak se k tomuhle chovat :(
NTZ? Co Ty na to?
-
Jo, tak na tohle moje znalosti nestačí, fakt netuším jak se k tomuhle chovat :(
NTZ? Co Ty na to?
Jednoho jsem vyřídil , tak kdo jde další? Ne, ...dělám si srandu děkuji za snahu. Máte někdo nějaký nápad?
-
kdyz mas iptables prazdne a funguje to, tak proste rucne jedno po druhem nahazuj pravidla (vsechny politiky mas ACCEPT, posledni praavidlo v INPUTU drop):
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABSLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m conntrack --ctstate NEW --dport 80 -j ACCEPT
iptables -A INPUT -j DROP
tohle musi fungovat
-
@ntz:
Já se bojím, že celej problém bude v tomto:
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABSLISHED -j ACCEPT
Tušil bych, že ta brána, co tam je (sice nedefinovaná, ale bude) "krade" příznaky ...
-
@ntz:
Já se bojím, že celej problém bude v tomto:
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABSLISHED -j ACCEPT
Tušil bych, že ta brána, co tam je (sice nedefinovaná, ale bude) "krade" příznaky ...
wtf ? rozumim tomu az po "Tušil bych, "
kdo krade ? co krade ? proc by to delala ? to jsem nikdy v praxi nevidel .. jak muze krast brana priznaky ? o.O
-
iptables nerozumím, ale imho je pro IPv4
na device je IPv6 a na subdevice je sice IPv4, ale ptp
když to jde tím tunelem, tak je to bráno a zpracováno stejně jako běžný provoz, který by šel normálně přímo?
-
iptables nerozumím, ale imho je pro IPv4
na device je IPv6 a na subdevice je sice IPv4, ale ptp
když to jde tím tunelem, tak je to bráno a zpracováno stejně jako běžný provoz, který by šel normálně přímo?
To by sice mělo, ale kde je brána sítě? Jestliže je definovaná IP, tak musí být v nějakém subnetu a ten má bránu, ale ta není definovaná (ona asi bude, ale na tom hostujícím stroji). Je to celé jakési divné ...
Ale tím neříkám, že to je špatně, jen ... jsem si myslel, že o IP něco vím ...
PS: IPv6 ignoruji, protože používá iptables a ne ip6tables ...
-
Ahoj, to s politikou INPUT ACCEPT už jsem zkoušel ... vede to k stejnému výsledku jako u -p DROP. Přidám poslední pravidlo iptables -A INPUT -j DROP v tu chvíli je to v ...
-
kdo krade ? co krade ? proc by to delala ? to jsem nikdy v praxi nevidel .. jak muze krast brana priznaky ? o.O
Ani já, proto taky na to vejrám jak sova z nudlí :)
Ale podívej na tu routetable
root@vps:~# ip r
default dev venet0 scope link
Jestli tomu dobře chápu, pak cokoliv, co chce odeslat prostě plácne na rozhraní a naopak pakety nepřijímá z GW, ale z rozhraní. Na druhé straně si to cosi jaksi zpracuje, jenže nevím ani co ani jak. A vůbec bych se nedivil, kdyby všechny spojení měly stav NEW ...
-
s maskou 255.255.255.255 na tom subdevice to bude znamenat komunikaci skrz tunel a tam na druhé straně patrně bude to nastavení sítě které tu marně hledáte...
-
s maskou 255.255.255.255 na tom subdevice to bude znamenat komunikaci skrz tunel a tam na druhé straně patrně bude to nastavení sítě které tu marně hledáte...
Tak jest, ale to nevysvětluje to, proč chybí na paketech příznak RELATED,ESTABSLISHED, protože jinak nevím, jak si toto chování vysvětlit. A také to nevede ani k tomu, jak v takovém případě vybudovat stavový firewall ...
-
Ahoj, ještě zkusím napsat na podporu vpsfree ... uvidíme jak se k tomu postaví a dám vědět.
-
Tak sem na to přišel a jak jsem si celou dobu myslel, byla to vlastní blbost. U vpsfree je v admin možnost vis příloha, měl jsem v iptables disable ::)(nevím na co, ale je tam). Omlouvám se za problémy. Prosím o označení vyřešeno.
[příloha smazaná administrátorem]
-
No to bude právě na to, aby byly pakety správně označkované.
Super, hlavně, že to jede.