Помогите кто чем может
debian4 utm5.2.1-005
Почему трафик пишется только исходящий?
Правила iptables
### CLEAR CHAINS
iptables -F
iptables -X
### NAT ################
iptables -t nat --flush
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth0 -j SNAT --to-source 192.168.10.250
### POLICY INPUT
iptables -F INPUT
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.20.0/24 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
### POLICY FORWARD
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -I FORWARD -s 192.168.20.0/24 -j ULOG --ulog-nlgroup 2
iptables -I FORWARD -d 192.168.20.0/24 -j ULOG --ulog-nlgroup 2
iptables -A FORWARD -s 192.168.20.8/24 -j ACCEPT
iptables -A FORWARD -d 192.168.20.8/24 -j ACCEPT
настройки ipcad.conf
capture-ports disable;
interface ulog group 2;
aggregate 192.168.20.0/24 strip 32;
netflow export version 5;
netflow timeout active 30;
netflow timeout inactive 15;
netflow engine-type 73;
netflow engine-id 1;
netflow export destination 127.0.0.1 9996;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh root@127.0.0.1 backup;
rsh root@127.0.0.1;
rsh 127.0.0.1 view-only;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = /var/log/ipcad/tmp/ipcad.dump;
#chroot = /var/log/ipcad/tmp;
pidfile = /var/log/ipcad/ipcad.pid;
Классы трафика проверил на 200раз.
Входящий
Источник 0.0.0.0/0 Адресат 192.168.20.0/24
Исходящий 192.168.20.0/24 Адресат 0.0.0.0/0
Трафик только исходящий
-
ALaponicin
- Сообщения: 8
- Зарегистрирован: Сб фев 14, 2009 21:46
- Откуда: Екатеринбург
Re: Трафик только исходящий
По моему надо так:ALaponicin писал(а): ...
iptables -I FORWARD -s 192.168.20.0/24 -j ULOG --ulog-nlgroup 2
iptables -I FORWARD -d 192.168.20.0/24 -j ULOG --ulog-nlgroup 2
...
iptables -I FORWARD 1 -s 192.168.20.0/24 -j ULOG --ulog-nlgroup 2
iptables -I FORWARD 2 -d 192.168.20.0/24 -j ULOG --ulog-nlgroup 2
Как понял это выдержки из конфигурационного файла.
А ты покажи действующие правила в цепочке FORWARD:
iptables -L FORWARD --line-numbers -v
Должно быть похоже на моё:
1 224M 38G ULOG all -- any any 192.168.100.0/22 anywhere ULOG copy_range 0 nlgroup 1 queue_threshold 1
2 242M 192G ULOG all -- any any anywhere 192.168.100.0/22 ULOG copy_range 0 nlgroup 1 queue_threshold 1
-
ALaponicin
- Сообщения: 8
- Зарегистрирован: Сб фев 14, 2009 21:46
- Откуда: Екатеринбург
1. Правила пронумеровал
2. Убрал из iptables маскарадинг, потому что масло масленное получается с SNAT.
3. iptables -L FORWARD --line-numbers -v
Chain FORWARD (policy DROP 3 packets, 144 bytes)
num pkts bytes target prot opt in out source destination
1 102 47704 ULOG all -- any any localnet/24 anywhere ULOG copy_range 0 nlgroup 2 queue_threshold 1
2 0 0 ULOG all -- any any anywhere localnet/24 ULOG copy_range 0 nlgroup 2 queue_threshold 1
3 99 47560 ACCEPT all -- any any 192.168.20.8 anywhere
4 0 0 ACCEPT all -- any any anywhere 192.168.20.8
Всё равно пишет только в исходящий
2. Убрал из iptables маскарадинг, потому что масло масленное получается с SNAT.
3. iptables -L FORWARD --line-numbers -v
Chain FORWARD (policy DROP 3 packets, 144 bytes)
num pkts bytes target prot opt in out source destination
1 102 47704 ULOG all -- any any localnet/24 anywhere ULOG copy_range 0 nlgroup 2 queue_threshold 1
2 0 0 ULOG all -- any any anywhere localnet/24 ULOG copy_range 0 nlgroup 2 queue_threshold 1
3 99 47560 ACCEPT all -- any any 192.168.20.8 anywhere
4 0 0 ACCEPT all -- any any anywhere 192.168.20.8
Всё равно пишет только в исходящий
Покажи скрин с классами трафика???ALaponicin писал(а):1. Правила пронумеровал
2. Убрал из iptables маскарадинг, потому что масло масленное получается с SNAT.
3. iptables -L FORWARD --line-numbers -v
Chain FORWARD (policy DROP 3 packets, 144 bytes)
num pkts bytes target prot opt in out source destination
1 102 47704 ULOG all -- any any localnet/24 anywhere ULOG copy_range 0 nlgroup 2 queue_threshold 1
2 0 0 ULOG all -- any any anywhere localnet/24 ULOG copy_range 0 nlgroup 2 queue_threshold 1
3 99 47560 ACCEPT all -- any any 192.168.20.8 anywhere
4 0 0 ACCEPT all -- any any anywhere 192.168.20.8
Всё равно пишет только в исходящий
-
ALaponicin
- Сообщения: 8
- Зарегистрирован: Сб фев 14, 2009 21:46
- Откуда: Екатеринбург
-
ALaponicin
- Сообщения: 8
- Зарегистрирован: Сб фев 14, 2009 21:46
- Откуда: Екатеринбург
-
ALaponicin
- Сообщения: 8
- Зарегистрирован: Сб фев 14, 2009 21:46
- Откуда: Екатеринбург
100% работалоDavion писал(а):название конторы в ебурге где такое работает встудию)))
отправлю резюме
сам смотрел. За этим шлюзом была алиасом такая же сетка 192.168.20.0/24, а раз нат не работал, и все в одном свиче без вланов, предыдущий маршрутизатор слал входящий трафик напрямую, игнорируя тестовый шлюз.