Жанна Бусаркина Записей: 21 |
Если бы я знала, что и как делать, не обращалась бы за помощью, давно бы всё у меня работало! |
Julia Dronova (administrator) Записей: 3144 |
|
Жанна Бусаркина Записей: 21 |
Делаю, выдаёт вот что: [root@linux ~]# cat /etc/sysconfig/iptables
|
Julia Dronova (administrator) Записей: 3144 |
Попробуйте от руки из-под рута отредактировать файл /etc/sysconfig/iptables в нём нужно оставить только то, что показывает iptables-save, то есть примерно так:
как редактировать файлы из-под рута смотреть ЗДЕСЬ |
Жанна Бусаркина Записей: 21 |
Отредактировала, и файл сохранился после перезагрузки: Password: [root@linux ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.3.7 on Sat Mar 12 08:27:00 2011 *nat :PREROUTING ACCEPT [11:572] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # Completed on Sat Mar 12 08:27:00 2011 # Generated by iptables-save v1.3.7 on Sat Mar 12 08:27:00 2011 *filter :INPUT ACCEPT [685:615657] :FORWARD ACCEPT [173:35007] :OUTPUT ACCEPT [633:81212] :stdin - [0:0] COMMIT # Completed on Sat Mar 12 08:27:00 2011 Но интернета на других машинах всё равно нет, пока не сделаешь iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE |
Viktor Записей: 1327 |
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE - удалите из /etc/sysconfig/iptables Какой у Вас дистрибутив? |
Жанна Бусаркина Записей: 21 |
AltLinux Unior 4.1 из пакета первой помощи. Удалила, сохранила, перезагрузила - не идёт. |
Viktor Записей: 1327 |
Сразу после перезагрузки сделайте iptables-save и вывод покажите. |
Julia Dronova (administrator) Записей: 3144 |
сделайте cat /etc/net/sysctl.conf |
Ирина Боркунова Записей: 465 |
Юлия, вы на верном пути. После перезагрузки отключается FORWARD. |
Жанна Бусаркина Записей: 21 |
[root@linux ~]# iptables-save # Generated by iptables-save v1.3.7 on Wed Mar 16 13:45:47 2011 *filter :INPUT ACCEPT [209:67450] :FORWARD ACCEPT [79:4437] :OUTPUT ACCEPT [213:25891] :stdin - [0:0] COMMIT # Completed on Wed Mar 16 13:45:47 2011 |
Жанна Бусаркина Записей: 21 |
[root@linux ~]# cat /etc/net/sysctl.conf # This file was formerly part of /etc/sysctl.conf ### IPV4 networking options. # net.ipv4.ip_forward=1 # # This variable is special, its change resets all configuration # parameters to their default state (RFC 1122 for hosts, RFC 1812 for # routers). # net.ipv4.ip_forward = 1 # Source validation by reversed path, as specified in RFC 1812. # # Recommended option for single homed hosts and stub network routers. # Could cause troubles for complicated (not loop free) networks # running a slow unreliable protocol (sort of RIP), or using static # routes. # net.ipv4.conf.default.rp_filter = 1 # If set to true, then the kernel will ignore ICMP ECHO requests sent # to broadcast/multicast addresses, preventing the use of your system # for "smurf" attacks. # net.ipv4.icmp_echo_ignore_broadcasts = 1 # TCP SYN cookies: http://cr.yp.to/syncookies.html # # If set to true and the kernel was compiled with CONFIG_SYN_COOKIES, # it will send out SYN cookies when the SYN backlog queue of a socket # overflows, defeating SYN flood attacks. Note that SYN cookies make # it possible (although hopefully impractical) to bypass certain # packet filter setups which disallow incoming packets based on the # SYN flag. This is because with SYN cookies the attacker no longer # strictly needs to send the initial SYN, but rather may guess a valid # SYN cookie. # net.ipv4.tcp_syncookies = 1 # TCP timestamps, as specified in RFC 1323. # # The primary purpose of TCP timestamps is to allow for more accurate # measurement of round-trip time, which in turn helps improve TCP # performance over large bandwidth*delay product paths. Other TCP # extensions also aimed at improving transfer rate include scaled windows # (also specified in RFC 1323) and selective acknowledgments (RFC 2018). # # Unfortunately, the sending of TCP timestamps as currently implemented # in the Linux kernel leaks information which some may view as sensitive: # the exact system uptime. # net.ipv4.tcp_timestamps = 0 |
Жанна Бусаркина Записей: 21 |
И теперь после команды iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE: [root@linux ~]# iptables-save # Generated by iptables-save v1.3.7 on Wed Mar 16 13:52:26 2011 *nat :PREROUTING ACCEPT [29:1657] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # Completed on Wed Mar 16 13:52:26 2011 # Generated by iptables-save v1.3.7 on Wed Mar 16 13:52:26 2011 *filter :INPUT ACCEPT [1684:1057023] :FORWARD ACCEPT [324:72972] :OUTPUT ACCEPT [1751:285967] :stdin - [0:0] COMMIT # Completed on Wed Mar 16 13:52:26 2011 [root@linux ~]# cat /etc/net/sysctl.conf # This file was formerly part of /etc/sysctl.conf ### IPV4 networking options. # net.ipv4.ip_forward=1 # # This variable is special, its change resets all configuration # parameters to their default state (RFC 1122 for hosts, RFC 1812 for # routers). # net.ipv4.ip_forward = 1 # Source validation by reversed path, as specified in RFC 1812. # # Recommended option for single homed hosts and stub network routers. # Could cause troubles for complicated (not loop free) networks # running a slow unreliable protocol (sort of RIP), or using static # routes. # net.ipv4.conf.default.rp_filter = 1 # If set to true, then the kernel will ignore ICMP ECHO requests sent # to broadcast/multicast addresses, preventing the use of your system # for "smurf" attacks. # net.ipv4.icmp_echo_ignore_broadcasts = 1 # TCP SYN cookies: http://cr.yp.to/syncookies.html # # If set to true and the kernel was compiled with CONFIG_SYN_COOKIES, # it will send out SYN cookies when the SYN backlog queue of a socket # overflows, defeating SYN flood attacks. Note that SYN cookies make # it possible (although hopefully impractical) to bypass certain # packet filter setups which disallow incoming packets based on the # SYN flag. This is because with SYN cookies the attacker no longer # strictly needs to send the initial SYN, but rather may guess a valid # SYN cookie. # net.ipv4.tcp_syncookies = 1 # TCP timestamps, as specified in RFC 1323. # # The primary purpose of TCP timestamps is to allow for more accurate # measurement of round-trip time, which in turn helps improve TCP # performance over large bandwidth*delay product paths. Other TCP # extensions also aimed at improving transfer rate include scaled windows # (also specified in RFC 1323) and selective acknowledgments (RFC 2018). # # Unfortunately, the sending of TCP timestamps as currently implemented # in the Linux kernel leaks information which some may view as sensitive: # the exact system uptime. # net.ipv4.tcp_timestamps = 0 |
Viktor Записей: 1327 |
Судя по iptables-save # Generated by iptables-save v1.3.7 on Wed Mar 16 13:45:47 2011 *filter :INPUT ACCEPT [209:67450] :FORWARD ACCEPT [79:4437] :OUTPUT ACCEPT [213:25891] :stdin - [0:0] COMMIT # Completed on Wed Mar 16 13:45:47 2011 правила из /etc/sysconfig/iptables проигнорированы. Надо знать, где в _этом_ дистрибутиве они прописаваются. Увидеть можно в стартовом скрипте под названием iptables. Но интуиция подсказывает про /etc/net/*. Да и форвардинг лучше проверить так cat /proc/sys/net/ipv4/ip_forward . Это вроде как стандарт, хотя ... |
Ирина Боркунова Записей: 465 |
Как я понимаю, команда iptables-save, выводит правила по умолчанию на консоль. В ALT 4 правила прописываются в iptables. Чтобы добавить новое правило, его можно запустить в командной строке, при этом оно загружается в ядро, но после перезагрузки пропадет. Чтобы оно работало дальше, после запуска из командной строки, необходимо его сохранить командой iptables-save >> /etc/syscofig/iptables . Форвардинг можно включить, если он отключен, командой echo "1" > /proc/sys/net/ipv4/ip_forward , контролируя при этом, чтобы в файле /etc/net/sysctl.conf не была раскомментирована строка net.ipv4.ip_forward = 0 . Команду включения форвардинга также необходимо сохранить в iptables. |
Julia Dronova (administrator) Записей: 3144 |
Я прошу прощения, что исчезла из темы, сейчас попробуем разобраться. Жанна, для удобства чтения консольных выводов, форматируйте их, как написано в ФАК, заранее спасибо :) |
Viktor Записей: 1327 |
> Команду включения форвардинга также необходимо сохранить в iptables. Вы уверены? В /etc/net/sysctl.conf или в /etc/sysctl.conf строка net.ipv4.ip_forward = 1 не должна быть закомментирована. Если у Вас есть _этот_ дистрибутив, посмотрите iptables в стартовых скриптах. Там написано откуда он берет правила. |
Julia Dronova (administrator) Записей: 3144 |
Виктор, прикрепляю тут стартовый iptables из Мастера 4, мы всё делаем правильно, но где-то что-то упускаем.Форвардинг у неё прописан. ещё занимательное чтение ТУТ при всём уважении к альтовцам, старый-добрый подход "чтобы настроить интернет, выучи баш-скриптинг и иптабли", в наше время уж можно было заменить простыми пошаговыми инструкциями, как это сразу стала делать Убунту. Ничего личного. |
Ирина Боркунова Записей: 465 |
ALT 4 уже нет, а в ПСПО 5 при старте правила загружаются из iptables, а уже потом срабатывает sysctl, поэтому там не должно быть net.ipv4.ip_forward = 0, иначе изменится правило прописанное в iptables. А можно попробовать не включать форвардинг в iptables, но раскомментировать строку net.ipv4.ip_forward = 1 в /etc/net/sysctl.conf, что тоже должно включить форвардинг. По умолчанию он отключен. |
Julia Dronova (administrator) Записей: 3144 |
Рассматриваем Альт4, и насколько я вижу, у Жанны строка раскоментирована. На форумах альтовых тоже все путаются, как именно конфигурировать -- то ли через /etc/net, то ли классическими способами iptables, и, похоже, где-то что-то недоделано. Жанна, вы хотите помучаться и найти ответ вместе с нами, или направляю выше в техподдержку? Хотя скорей всего они начнут с того же места, где начали мы. |
Ирина Боркунова Записей: 465 |
Не очень наглядно представленно, но там все-таки решетка перед строкой. Нужно проверить, как подсказывал Victor, cat /proc/sys/net/ipv4/ip_forward. |
Julia Dronova (administrator) Записей: 3144 |
Самая первая раскоментированная строка идентична первой же, которая закоментирована. Я не знаю, насколько в данном синтаксисе играют роль пробелы, потому что там пробелы, которых нет в закоментированной строке. # net.ipv4.ip_forward=1 и net.ipv4.ip_forward = 1 |
Ирина Боркунова Записей: 465 |
С форматированием согласна, посмотрела sysctl.conf в ПСПО 5, у меня по умолчанию форвардинг выключен, а у Жанны, похоже включен, если его кто-то не включил, заменивши "0" на "1", не помню как было в ALT 4.0 школьный, но у нас на ALT 4.0.1 сервер не школьный, по умолчанию форвардинг отключен. В любом случае, нужна реакция Жанны на наши размышления. |
Жанна Бусаркина Записей: 21 |
Сейчас буду всё переваривать, а пока скажу, что форвардинг включала сама. |
Viktor Записей: 1327 |
1) Настройте, что бы все работало (вручную) 2) Выполните от root (должно _перезаписать_ /etc/syscofig/iptables) servise iptables save и /sbin/chkconfig --level 5 iptables on 3) Перезагрузитесь. PS Долго молчал. В результате аварии у провадера пропал internet. |
©2015 Все права защищены.
Портал информационной и технической поддержки ПО образовательных учреждений РФ.
Cо всеми проблемами и пожеланиями по работе портала и службы технической поддержки вы можете обратиться по адресу .