UTM5 +RedHat server 7.1
UTM5 +RedHat server 7.1
Мучаюсь 4 дня. Стоит связка RedHat server + UTM5 все на одной машине. Народ цепляется по VPN . Все работает, но в инет народ не пускает. Траф виден внутренний. Сессии постятся. Походу я в правилах что-то напутал или в натах. Помогите , а то мозг кипит уже.
Пардон / Есть 2 сетевых одна eth0 = 192.168.100.10 смотрит на бриджовый адсл(интернет) Вторая eth1 = 192.168.1.10 смотрит в сеть . Пользователь создает VPN c динамическим IP из диапазона 10.0.0.0 - 255.0.0.0
Вот файл iptables.save
# Generated by iptables-save v1.3.5 on Fri Apr 3 15:02:25 2009
*filter
:INPUT ACCEPT [49507:6675070]
:FORWARD DROP [1:60]
:OUTPUT ACCEPT [49861:4117010]
:NETFLOW - [0:0]
-A NETFLOW -j ULOG
-A NETFLOW -j ACCEPT
COMMIT
# Completed on Fri Apr 3 15:02:25 2009
# Generated by iptables-save v1.3.5 on Fri Apr 3 15:02:25 2009
*nat
:PREROUTING ACCEPT [4144:284798]
:POSTROUTING ACCEPT [462:39701]
:OUTPUT ACCEPT [462:39701]
-A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Apr 3 15:02:25 2009
Смущает вот это в логе rfw
Notice: Apr 20 23:48:59 UTM5 RFW: Version 5.2.1-006-update7-rhel5 starting
Notice: Apr 20 23:48:59 RFW Config: Processing config file: /netup/utm5/rfw5.cfg
Info : Apr 20 23:48:59 UTM5 Logger: New `*CRIT : ' stream: /netup/utm5/log/rfw.log
Info : Apr 20 23:48:59 UTM5 Logger: New ` Info : ' stream: /netup/utm5/log/rfw.log
iptables: Bad rule (does a matching rule exist in that chain?)
iptables: Bad rule (does a matching rule exist in that chain?)
Это из main.log
DBAExistingError: All ip are used in this ip_zone
ERROR : Апр 21 02:36:12 2009
RRD Graph: <failed to load /usr/share/rrdtool/fonts/DejaVuSansMono-Roman.ttf>
Вот файл iptables.save
# Generated by iptables-save v1.3.5 on Fri Apr 3 15:02:25 2009
*filter
:INPUT ACCEPT [49507:6675070]
:FORWARD DROP [1:60]
:OUTPUT ACCEPT [49861:4117010]
:NETFLOW - [0:0]
-A NETFLOW -j ULOG
-A NETFLOW -j ACCEPT
COMMIT
# Completed on Fri Apr 3 15:02:25 2009
# Generated by iptables-save v1.3.5 on Fri Apr 3 15:02:25 2009
*nat
:PREROUTING ACCEPT [4144:284798]
:POSTROUTING ACCEPT [462:39701]
:OUTPUT ACCEPT [462:39701]
-A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Apr 3 15:02:25 2009
Смущает вот это в логе rfw
Notice: Apr 20 23:48:59 UTM5 RFW: Version 5.2.1-006-update7-rhel5 starting
Notice: Apr 20 23:48:59 RFW Config: Processing config file: /netup/utm5/rfw5.cfg
Info : Apr 20 23:48:59 UTM5 Logger: New `*CRIT : ' stream: /netup/utm5/log/rfw.log
Info : Apr 20 23:48:59 UTM5 Logger: New ` Info : ' stream: /netup/utm5/log/rfw.log
iptables: Bad rule (does a matching rule exist in that chain?)
iptables: Bad rule (does a matching rule exist in that chain?)
Это из main.log
DBAExistingError: All ip are used in this ip_zone
ERROR : Апр 21 02:36:12 2009
RRD Graph: <failed to load /usr/share/rrdtool/fonts/DejaVuSansMono-Roman.ttf>
# sysctl -a | grep net.ipv4.ip_forward
net.ipv4.ip_forward = 0
# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 10.0.0.0/8
ACCEPT all -- 10.0.0.0/8 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 * 255.255.255.255 UH 0 0 0 ppp1
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default 192.168.100.1 0.0.0.0 UG 0 0 0 eth0
net.ipv4.ip_forward = 0
# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 10.0.0.0/8
ACCEPT all -- 10.0.0.0/8 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 * 255.255.255.255 UH 0 0 0 ppp1
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default 192.168.100.1 0.0.0.0 UG 0 0 0 eth0
Не помогает. Где еще копать?
# sysctl -a | grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1
# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 10.0.0.0/8
ACCEPT all -- 10.0.0.0/8 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default 192.168.100.1 0.0.0.0 UG 0 0 0 eth0
# sysctl -a | grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1
# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 10.0.0.0/8
ACCEPT all -- 10.0.0.0/8 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default 192.168.100.1 0.0.0.0 UG 0 0 0 eth0
Все. Смерть мозга. Что не так.? вход из инета в модем-его IP - 192.168.100.1 DNS 212.12.0.2-212.12.0.3 Модем стоит бриджем по PPoE . В него воткнут сервер eth0 - IP 192.168.100.10 в сеть смотрит 2 карта eth1 - IP 192.168.1.10 Пользователи авторизуются на 192.168.1.10 получают IP из пула 10.0.0.0/23 адрес сервера у клиента светится 10.0.0.254 авторизация проходит нормально. внутренние сервера пингуются оба четко. Правила пробывал и так и так.
-A FORWARD -s UIP/UBITS -j ACCEPT
-D FORWARD -s UIP/UBITS -j ACCEPT
-A FORWARD -d UIP/UBITS -j ACCEPT
-D FORWARD -d UIP/UBITS -j ACCEPT
iptables -A FORWARD -s 0/0 -d UIP/UBITS -j ACCEPT
iptables -D FORWARD -s 0/0 -d UIP/UBITS -j ACCEPT
iptables -A FORWARD -d 0/0 -s UIP/UBITS -j ACCEPT
iptables -D FORWARD -d 0/0 -s UIP/UBITS -j ACCEPT
Так почему невключается инет.!? Парни это крик души От манов уже каша в голове.
-A FORWARD -s UIP/UBITS -j ACCEPT
-D FORWARD -s UIP/UBITS -j ACCEPT
-A FORWARD -d UIP/UBITS -j ACCEPT
-D FORWARD -d UIP/UBITS -j ACCEPT
iptables -A FORWARD -s 0/0 -d UIP/UBITS -j ACCEPT
iptables -D FORWARD -s 0/0 -d UIP/UBITS -j ACCEPT
iptables -A FORWARD -d 0/0 -s UIP/UBITS -j ACCEPT
iptables -D FORWARD -d 0/0 -s UIP/UBITS -j ACCEPT
Так почему невключается инет.!? Парни это крик души От манов уже каша в голове.
Не помогает. Такое чувство что где-то блок висит.
Делаю сквозной шлюз
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERAD
Инет у всех идет. Папробую с нуля все переставить. Может и правда гдето висит хвост.
В теории - всем должны управлять правила из админки. В привезке к переменным. Или я не прав? Я не говорю что UTM плохая... Мне лично нравится, а то что недостаточно точный мануал- ну так покажите мне идельный софт =)
Делаю сквозной шлюз
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERAD
Инет у всех идет. Папробую с нуля все переставить. Может и правда гдето висит хвост.
В теории - всем должны управлять правила из админки. В привезке к переменным. Или я не прав? Я не говорю что UTM плохая... Мне лично нравится, а то что недостаточно точный мануал- ну так покажите мне идельный софт =)
Пинг от клиента с установленым VPN ом 10.0.0.0 клиент
[root@localhost ~]# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:32:54.952633 IP 192.168.1.1.nsstp > 192.168.100.1.domain: 16093+ A? isatap.formus-com. (35)
01:32:54.953295 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 48489+ PTR? 1.100.168.192.in-addr.arpa. (44)
01:32:54.976015 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 48489 NXDomain* 0/1/0 (121)
01:32:54.976201 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 5606+ PTR? 1.1.168.192.in-addr.arpa. (42)
01:32:54.998904 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 5606 NXDomain* 0/1/0 (119)
01:32:54.999131 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 20297+ PTR? 2.0.12.212.in-addr.arpa. (41)
01:32:55.021995 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 20297* 1/2/2 PTR[|domain]
01:32:55.022199 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 5535+ PTR? 10.100.168.192.in-addr.arpa. (45)
01:32:55.044481 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 5535 NXDomain* 0/1/0 (122)
01:32:55.949202 IP 192.168.1.1.nsstp > 64.79.219.248.domain: 9940 A? u54.eset.com. (30)
01:32:55.949353 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 10707+ PTR? 248.219.79.64.in-addr.arpa. (44)
01:32:55.971856 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 10707 NXDomain* 0/1/0 (120)
01:32:56.968127 arp who-has 192.168.100.8 tell 192.168.100.1
01:32:56.968320 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 34796+ PTR? 8.100.168.192.in-addr.arpa. (44)
01:32:56.991712 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 34796 NXDomain* 0/1/0 (121)
01:32:57.483807 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 20, length 40
01:32:57.483966 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 57647+ PTR? 0.0.0.10.in-addr.arpa. (39)
01:32:57.506601 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 57647 NXDomain* 0/1/0 (116)
01:32:57.963903 arp who-has 192.168.100.8 tell 192.168.100.1
01:32:58.963819 arp who-has 192.168.100.8 tell 192.168.100.1
01:32:59.530399 IP 192.168.1.1.nsstp > 192.168.100.1.domain: 3808+ A? u54.eset.com. (30)
01:32:59.978443 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:00.973697 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:01.973651 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:02.483436 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 21, length 40
01:33:06.948629 IP 192.168.1.1.nsstp > b.root-servers.net.domain: 16093 A? isatap.formus-com. (35)
01:33:06.948807 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 60755+ PTR? 201.79.228.192.in-addr.arpa. (45)
01:33:06.972349 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 60755 1/3/3 (215)
01:33:07.483071 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 22, length 40
01:33:10.010009 arp who-has 192.168.100.8 tell 192.168.100.1
[root@localhost ~]# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
01:32:54.952633 IP 192.168.1.1.nsstp > 192.168.100.1.domain: 16093+ A? isatap.formus-com. (35)
01:32:54.953295 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 48489+ PTR? 1.100.168.192.in-addr.arpa. (44)
01:32:54.976015 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 48489 NXDomain* 0/1/0 (121)
01:32:54.976201 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 5606+ PTR? 1.1.168.192.in-addr.arpa. (42)
01:32:54.998904 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 5606 NXDomain* 0/1/0 (119)
01:32:54.999131 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 20297+ PTR? 2.0.12.212.in-addr.arpa. (41)
01:32:55.021995 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 20297* 1/2/2 PTR[|domain]
01:32:55.022199 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 5535+ PTR? 10.100.168.192.in-addr.arpa. (45)
01:32:55.044481 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 5535 NXDomain* 0/1/0 (122)
01:32:55.949202 IP 192.168.1.1.nsstp > 64.79.219.248.domain: 9940 A? u54.eset.com. (30)
01:32:55.949353 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 10707+ PTR? 248.219.79.64.in-addr.arpa. (44)
01:32:55.971856 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 10707 NXDomain* 0/1/0 (120)
01:32:56.968127 arp who-has 192.168.100.8 tell 192.168.100.1
01:32:56.968320 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 34796+ PTR? 8.100.168.192.in-addr.arpa. (44)
01:32:56.991712 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 34796 NXDomain* 0/1/0 (121)
01:32:57.483807 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 20, length 40
01:32:57.483966 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 57647+ PTR? 0.0.0.10.in-addr.arpa. (39)
01:32:57.506601 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 57647 NXDomain* 0/1/0 (116)
01:32:57.963903 arp who-has 192.168.100.8 tell 192.168.100.1
01:32:58.963819 arp who-has 192.168.100.8 tell 192.168.100.1
01:32:59.530399 IP 192.168.1.1.nsstp > 192.168.100.1.domain: 3808+ A? u54.eset.com. (30)
01:32:59.978443 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:00.973697 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:01.973651 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:02.483436 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 21, length 40
01:33:06.948629 IP 192.168.1.1.nsstp > b.root-servers.net.domain: 16093 A? isatap.formus-com. (35)
01:33:06.948807 IP 192.168.100.10.filenet-pa > ns0.tulatelecom.ru.domain: 60755+ PTR? 201.79.228.192.in-addr.arpa. (45)
01:33:06.972349 IP ns0.tulatelecom.ru.domain > 192.168.100.10.filenet-pa: 60755 1/3/3 (215)
01:33:07.483071 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 22, length 40
01:33:10.010009 arp who-has 192.168.100.8 tell 192.168.100.1
О! Славе Дутке привет )))) Давно не видел его )))
Ну что 10-х сеток я не вижу, это радует, а есть ли твои обращения?
кстати
01:32:59.978443 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:00.973697 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:01.973651 arp who-has 192.168.100.8 tell 192.168.100.1
говорят, что 192.168.100.8 не существует
ОПА!
01:33:07.483071 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 22, length 40
а где ж наш нат то?
Ну что 10-х сеток я не вижу, это радует, а есть ли твои обращения?
кстати
01:32:59.978443 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:00.973697 arp who-has 192.168.100.8 tell 192.168.100.1
01:33:01.973651 arp who-has 192.168.100.8 tell 192.168.100.1
говорят, что 192.168.100.8 не существует
ОПА!
01:33:07.483071 IP 10.0.0.0 > 192.168.100.1: ICMP echo request, id 1, seq 22, length 40
а где ж наш нат то?
