brak odpowiedzi na ping po nazwach

piter8989 · Post autor: **piter8989** » 18 maja 2011, 18:46

Witam.
Jestem w trakcie konfiguracji serwera i mam problem z pingiem na serwerze.
Chodzi o to że nie mogę pingować adresu np. http://www.debian.linux.pl a mogę pingować "po adresie ip"

Na pewno jest zablokowany jakiś port UDP. Jak wszystkie dopuszczę to działa prawidłowo.

Kod: Zaznacz cały

iptables -A INPUT -p tcp -m multiport --dport 22,25,80,110,113,443,465,995,3128 -j ACCEPT 
iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128 -j ACCEPT

Nie wiem które porty mam dopuścić aby działało.

Na pewno jest to port lub porty z przedziału 30000:65355

Post autor: **Yampress** » 18 maja 2011, 19:33

Nie porty a protokół icmp.

Poszukaj czegoś o iptables icmp.

snejk · Post autor: **snejk** » 18 maja 2011, 19:33

I na pewno port 53 UDP. Działa na nim dns więc bez niego nie będziesz mógł pingować po nazwie.

Post autor: **Yampress** » 18 maja 2011, 19:36

Musisz wypuścić z serwera icmp na łańcuchu OUT. chyba za bardzo nie wiesz o co chodzi bo podałeś przykład wpuszczania pakietów z zewnątrz do swojego serwera na określone porty

piter8989 · Post autor: **piter8989** » 18 maja 2011, 21:20

Kod: Zaznacz cały

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

INTER="eth0"


iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#iptables -A INPUT -p udp -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.2 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.3 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.4 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.5 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.6 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.7 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.8 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.9 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.10 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.11 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.12 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.13 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.14 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.15 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s 192.168.0.16 -d 0/0 -j MASQUERADE


#odblokowane porty
iptables -A INPUT -p tcp -m multiport --dport 22,25,80,110,113,443,465,995,3128 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128,30000:65355 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m multiport --dport 0:65535 --syn -m state --state NEW -j ACCEPT

#przekierowanie na squida
iptables -t nat -A PREROUTING -i $INTER -p tcp --dport 80 -j REDIRECT --to-port 3128

#ping - odpowiedź i wysyłanie
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

# udostępnianie połaczenia dla sieci
iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT

To jest wszystko co mam na chwile obecną. Tutaj działa wszystko prawidłowo.
W tej linijce

Kod: Zaznacz cały

iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128,30000:65355 -j ACCEPT

przepuszczam porty 30000:65355. Kiedy te porty usunę nie działa ping po nazwach tylko na serwerze.

Chodzi mi tylko o to abym dopuścił te porty, które są mi potrzebne, a nie cały przedział.

snejk · Post autor: **snejk** » 18 maja 2011, 22:23

Zapomniałeś o najważniejszym. Akceptacja połączeń zainicjowanych przez Twój serwer i powiązanych.

Kod: Zaznacz cały

iptables -I INPUT -p ALL -i wan -m state --state RELATED,ESTABLISHED -j ACCEPT

piter8989 · Post autor: **piter8989** » 18 maja 2011, 22:50

Dziękuję za tą regułkę ale nadal nie rozwiązuje to mojego problemu.

Bastian · Post autor: **Bastian** » 19 maja 2011, 09:51

Po pierwsze skoro domyślnie przepuszczasz cały ruch wychodzący to po co tobie regułki z OUTPUT ACCEPT? Po drugie:

Kod: Zaznacz cały

iptables -A INPUT -p udp -m multiport --dport 22,25,53,80,110,113,443,465,995,3128,30000:65355 -j ACCEPT

Nie rozumiem twojego pytania. Jesli nie chcesz przedziału to podaj kolejne wybrane porty. Pamietaj ze w regułce mozesz zawrzeć max 15.

Post autor: **Yampress** » 19 maja 2011, 11:19

Jakie usługi masz uruchomione na tym serwerze, www, sshd, mail? Jeśli nie, to otwarcie tych portów jest niepotrzebne. Ten Twój firewall zmieściłbym w 10 linijkach. Zupełny śmietnik.

snejk · Post autor: **snejk** » 19 maja 2011, 17:24

Jakie usługi masz uruchomione na tym serwerze, www, sshd, mail? Jeśli nie, to otwarcie tych portów jest niepotrzebne. Ten Twój firewall zmieściłbym w 10 linijkach. Zupełny śmietnik.

Właśnie, może po prostu napisz ten firewall od nowa, poprzedzając to przeczytaniem paru artykułów o iptables.