Comments | ru_root: Solved. Загадка в iptables

dil in ru_root

Solved. Загадка в iptables

Aug 30, 2016 16:53

Имеется машинка с линуксом (виртуальная, но это не существенно). Внезапно меня перестали туда пускать по ssh, соединение отваливается по таймауту. Попробовал зайти из другой подсети - пустили. Полез смотреть в местный файрвол, iptables-save выдаёт такое:( Read more... )

linux, iptables, firewall

Comments 18

prividen August 30 2016, 16:21:56 UTC

> Куда копать??
В сторону rp_filter например. Попробуйте выключить на всех интерфейсах и посмотреть что будет.

-P INPUT ACCEPT я так понимаю не помогает?

dil August 30 2016, 16:43:50 UTC

Не-а, ни то, ни другое не помогло

prividen August 30 2016, 16:51:58 UTC

А что на интерфейсах вообще накручено, в рутинге?
ip route get 192.168.12.чтонибудь предсказуемый интерфейс/адрес показывает? С этой машины можно пинговать ресурсы в 192.168.12.0/24?

Вообще если временно файрвол выключить, permissive, для оконочательного исключения его тлетворного влияния.

kiwibird August 30 2016, 17:36:07 UTC

Плюсую вопрос про обратный маршрут.

Thread 6

Поскольку неделя странных вопросов pan_2 August 30 2016, 19:32:22 UTC

то в fail2ban

RE: Поскольку неделя странных вопросов dil August 30 2016, 19:42:00 UTC

Да я же написал, что нету там других таблиц, а значит и fail2ban'а нет.

pan_2 August 30 2016, 20:00:17 UTC

>>И вот первое правило работает, из той подсети зайти можно. А второе - нет
А если второе привести к виду первого, т.е. без -m --comment ?

ну и нет ли в ifconfig воплей про errors?

dil August 31 2016, 09:17:36 UTC

Без комментов пробовал, никакой разницы. В ifconfig'е никаких ошибок не видно.

e_maksimov August 30 2016, 21:09:46 UTC

воткнуть первым правилом логгирование и посмотреть, доходит ли оно до правил вообще. ну и всякие ipset можно глянуть

в обратную сторону пакеты ходят? если да, может проблема на машине с гипревизором, ну там conntrack поломали или фильтр добавили

dil August 31 2016, 09:19:44 UTC

ipset'ов нету. И в обратную сторону они с этой машины не выходят, если б выходили, я б их увидел tcpdump'ом хотя бы на ней самой.

e_maksimov August 31 2016, 09:21:19 UTC

ээээ... не понял - не видно tcpdumpom пинги с этой виртуалки на вашу подсетку?

dil August 31 2016, 09:50:54 UTC

На eth0, через который пакеты из той подсетки приходят, не видно. Оказалось, проблема в маршрутизации, исходящие шли через eth1.

Thread 5

ext_665737 August 31 2016, 05:26:42 UTC

Привести к виду:

-A INPUT -s 192.168.103.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.12.0/255.255.255.0 -j LOG --log-prefix "192.168.12.0/24: "
-A INPUT -s 192.168.12.0/255.255.255.0 -m comment --comment "subnet 1" -j ACCEPT

А потом проверять логи и делать выводы