forum.opennet.ru

Составление сообщения

Исходное сообщение

"Iptabler + DNS .... нерезолвяться имена"
Отправлено Doc, 20-Май-08 11:29

>Лучше бы конечно вывод iptables-save, так как без -v вывод iptales -L
>не полон, но судя по имеющемуся проблем быть не должно, а
>именно:
>1. В цепочке INPUT предпоследнее правило делает все остальные и политику DROP
>несостоятельными, все равно все будет ACCEPT
>2. В цеочке OUTPUT дефолтным стоит ACCEPT и под дропающие правила dns
>трафик не попадает.
>
>Возможно вывод iptables-save поможет найти проблему. Ну и наконец всегда есть tcpdump
>для тонкой диагностики.
вот полный вывод
а то что предпоследние касаеться только интерфейса lo
Chain INPUT (policy DROP 103K packets, 4305K bytes)
pkts bytes target     prot opt in     out     source               destination
2979K  184M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
17580  996K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp flags:ACK/ACK
39798 2032K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp
    7   336 ACCEPT     tcp  --  any    any     213.221.6.0/24       anywhere            tcp multiport dports ssh,44337,ndmp,mysql
    5   240 ACCEPT     tcp  --  any    any     10.111.0.0/16        anywhere            tcp multiport dports ssh,44337,ndmp,mysql
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp spt:domain dpts:1024:65535
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-reply
   46 10003 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp destination-unreachable
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp source-quench
    1   576 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp time-exceeded
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp parameter-problem
  160  9600 ACCEPT     all  --  lo     any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpts:1024:iad1
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 4367K packets, 5872M bytes)
pkts bytes target     prot opt in     out     source               destination
  429 25740 DROP       tcp  --  any    any     anywhere            !10.111.0.0/16       tcp dpt:ftp
    0     0 ACCEPT     tcp  --  any    any     anywhere             komplexb.butovonet.ru tcp dpt:http
    6   507 ACCEPT     tcp  --  any    any     anywhere             nai-update.kerio.com tcp dpt:http
   73  4300 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:http
    2   120 DROP       tcp  --  any    any     anywhere             anywhere            tcp dpt:30375

Исходное сообщение
"Iptabler + DNS .... нерезолвяться имена" Отправлено Doc, 20-Май-08 11:29
>Лучше бы конечно вывод iptables-save, так как без -v вывод iptales -L >не полон, но судя по имеющемуся проблем быть не должно, а >именно: >1. В цепочке INPUT предпоследнее правило делает все остальные и политику DROP >несостоятельными, все равно все будет ACCEPT >2. В цеочке OUTPUT дефолтным стоит ACCEPT и под дропающие правила dns >трафик не попадает. > >Возможно вывод iptables-save поможет найти проблему. Ну и наконец всегда есть tcpdump >для тонкой диагностики. вот полный вывод а то что предпоследние касаеться только интерфейса lo Chain INPUT (policy DROP 103K packets, 4305K bytes) pkts bytes target prot opt in out source destination 2979K 184M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 17580 996K ACCEPT tcp -- any any anywhere anywhere tcp flags:ACK/ACK 39798 2032K ACCEPT tcp -- any any anywhere anywhere tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp 7 336 ACCEPT tcp -- any any 213.221.6.0/24 anywhere tcp multiport dports ssh,44337,ndmp,mysql 5 240 ACCEPT tcp -- any any 10.111.0.0/16 anywhere tcp multiport dports ssh,44337,ndmp,mysql 0 0 ACCEPT udp -- any any anywhere anywhere udp spt:domain dpts:1024:65535 0 0 ACCEPT icmp -- any any anywhere anywhere icmp echo-reply 46 10003 ACCEPT icmp -- any any anywhere anywhere icmp echo-request 0 0 ACCEPT icmp -- any any anywhere anywhere icmp destination-unreachable 0 0 ACCEPT icmp -- any any anywhere anywhere icmp source-quench 1 576 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded 0 0 ACCEPT icmp -- any any anywhere anywhere icmp parameter-problem 160 9600 ACCEPT all -- lo any anywhere anywhere 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpts:1024:iad1 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 4367K packets, 5872M bytes) pkts bytes target prot opt in out source destination 429 25740 DROP tcp -- any any anywhere !10.111.0.0/16 tcp dpt:ftp 0 0 ACCEPT tcp -- any any anywhere komplexb.butovonet.ru tcp dpt:http 6 507 ACCEPT tcp -- any any anywhere nai-update.kerio.com tcp dpt:http 73 4300 DROP tcp -- any any anywhere anywhere tcp dpt:http 2 120 DROP tcp -- any any anywhere anywhere tcp dpt:30375

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>Лучше бы конечно вывод iptables-save, так как без -v вывод iptales -L >>не полон, но судя по имеющемуся проблем быть не должно, а >>именно: >>1. В цепочке INPUT предпоследнее правило делает все остальные и политику DROP >>несостоятельными, все равно все будет ACCEPT >>2. В цеочке OUTPUT дефолтным стоит ACCEPT и под дропающие правила dns >>трафик не попадает. >> >>Возможно вывод iptables-save поможет найти проблему. Ну и наконец всегда есть tcpdump >>для тонкой диагностики. > вот полный вывод > а то что предпоследние касаеться только интерфейса lo > Chain INPUT (policy DROP 103K packets, 4305K bytes) > pkts bytes target prot opt in > out source > > destination > 2979K 184M ACCEPT all -- > any any anywhere > > anywhere > state RELATED,ESTABLISHED > 17580 996K ACCEPT tcp -- > any any anywhere > > anywhere > tcp flags:ACK/ACK > 39798 2032K ACCEPT tcp -- any > any anywhere > anywhere > > tcp multiport dports ftp-data,ftp,smtp,ni-ftp,domain,http,pop3,ident,imap,https,pptp > 7 336 ACCEPT > tcp -- any any > 213.221.6.0/24 anywhere > > tcp multiport dports ssh,44337,ndmp,mysql > 5 240 ACCEPT > tcp -- any any > 10.111.0.0/16 > anywhere > tcp multiport dports ssh,44337,ndmp,mysql > 0 0 ACCEPT > udp -- any > any anywhere > anywhere > udp spt:domain dpts:1024:65535 > 0 0 ACCEPT > icmp -- any any > anywhere > anywhere > icmp echo-reply > 46 10003 ACCEPT icmp -- > any any anywhere > > anywhere > icmp echo-request > 0 0 ACCEPT > icmp -- any any > anywhere > anywhere > icmp destination-unreachable > 0 0 ACCEPT > icmp -- any any > anywhere > anywhere > icmp source-quench > 1 576 ACCEPT > icmp -- any any > anywhere > anywhere > icmp time-exceeded > 0 0 ACCEPT > icmp -- any any > anywhere > anywhere > icmp parameter-problem > 160 9600 ACCEPT all > -- lo any > anywhere > anywhere > 0 0 ACCEPT > tcp -- any > any anywhere > anywhere > tcp dpts:1024:iad1 > Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target prot opt in > out source > > destination > Chain OUTPUT (policy ACCEPT 4367K packets, 5872M bytes) > pkts bytes target prot opt in > out source > > destination > 429 25740 DROP tcp > -- any any > anywhere > !10.111.0.0/16 tcp dpt:ftp > 0 0 ACCEPT > tcp -- any > any anywhere > komplexb.butovonet.ru tcp dpt:http > 6 507 ACCEPT > tcp -- any any > anywhere > nai-update.kerio.com tcp dpt:http > 73 4300 DROP > tcp -- any any > anywhere > anywhere > tcp dpt:http > 2 120 DROP > tcp -- any > any anywhere > anywhere > tcp dpt:30375
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру