Iptables и Radmin

[Знайка]

Radmin по прежнему не работает.

Давайте по порядку.
1) Пинг с клиента на сервер идет?
2) В настройках сервера, вы настраивали ограничение доступа по IP адресам. Если да, то расскажите об этом.
3) Если клиент находится в том же сегменте, что и сервер, он подключается к серверу?

[asy]

Все так и сделано
На Radmin Viewer основной шлюз - 192.168.1.10
На Radmin Server основной шлюз - 192.168.2.10.

Теперь просто уберите все правила iptables: service iptables stop
правила для FORWARD, если они нужны такие, потом восстановите, как заработает.

[Sergulet]

1) Пинги идут.
2) Между клиентом и сервером полный доступ
 

Код: [Выделить]

-A FORWARD  -i eth2 -d 192.168.1.47 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.47 -d 192.168.2.0/24 -j ACCEPT
3)Перед перемещением в другой сегмент специально проверял radmin работал.

[asy]

Код: [Выделить]

-A FORWARD  -i eth2 -d 192.168.1.47 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.47 -d 192.168.2.0/24 -j ACCEPT


А всё, что связано с NAT, сейчас убрано ? И вчитываться и проверять IP и интерфейсы в правилах тоже не хочется, хотя, если "Chain FORWARD (policy ACCEPT)" и ничего другого не осталось, оно ни в каком виде влияния не окажет.

[Знайка]

1) Пинги идут.
2) Между клиентом и сервером полный доступ
 

Код: [Выделить]

-A FORWARD  -i eth2 -d 192.168.1.47 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.47 -d 192.168.2.0/24 -j ACCEPT
3)Перед перемещением в другой сегмент специально проверял radmin работал.

Что-то странное вы говорите. Все должно работать. По крайней мере, гейт тут не причем.
На всякий случай перегрузите гейт, и еще раз дайте правила пакетного фильтра.
А именно, то что выводит iptables -L

[Sergulet]

Шлюз перезагрузил.

Код: [Выделить]

[root@firewall ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.47         192.168.1.10       
ACCEPT     all  --  192.168.1.21         192.168.1.10       
DROP       all  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.2.0/24       192.168.1.1         
ACCEPT     all  --  192.168.1.1          192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.3         
ACCEPT     all  --  192.168.1.3          192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.4         
ACCEPT     all  --  192.168.1.4          192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.5         
ACCEPT     all  --  192.168.1.5          192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.8         
ACCEPT     all  --  192.168.1.8          192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.14       
ACCEPT     all  --  192.168.1.14         192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.21       
ACCEPT     all  --  192.168.1.21         192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.40       
ACCEPT     all  --  192.168.1.40         192.168.2.0/24     
ACCEPT     all  --  192.168.2.0/24       192.168.1.47       
ACCEPT     all  --  192.168.1.47         192.168.2.0/24     
DROP       all  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.10         192.168.1.47       
ACCEPT     all  --  192.168.1.10         192.168.1.21       
DROP       all  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere


[Знайка]

[root@firewall ~]# iptables -L
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.2.0/24       192.168.1.47       
ACCEPT     all  --  192.168.1.47         192.168.2.0/24     

Таблица Filter у вас полностью правильная, что в принципе было очевидно, раз пинг бегает.
Осталось увидит еще таблицы Mangle и Nat, что бы полностью исключить пакетный фильтр из списка виновников.

[Sergulet]

Код: [Выделить]

[root@firewall ~]# iptables -L -n -v -t nat
Chain PREROUTING (policy ACCEPT 63362 packets, 9029K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 3 packets, 166 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1789  139K SNAT       all  --  *      eth0    192.168.2.0/24       0.0.0.0/0           to:192.168.1.10
   10   602 SNAT       all  --  *      eth2    192.168.1.0/24       0.0.0.0/0           to:192.168.2.10

Chain OUTPUT (policy ACCEPT 335 packets, 25226 bytes)
 pkts bytes target     prot opt in     out     source               destination
         
[root@firewall ~]# iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 754K packets, 583M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 60850 packets, 8300K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 24493 packets, 1639K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 249K   22M LOG        all  --  eth2   eth0    0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix ` PROTECTED '
 420K  551M LOG        all  --  eth0   eth2    0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix ` DOMAIN '
 249K   22M ACCEPT     all  --  eth2   eth0    0.0.0.0/0            0.0.0.0/0           
 420K  551M ACCEPT     all  --  eth0   eth2    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 42238 packets, 35M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 702K packets, 607M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain MANGLE_OUTPUT (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain MANGLE_PREROUTING (0 references)
 pkts bytes target     prot opt in     out     source               destination


[Знайка]

Немного не то вы выдали. Нуна iptables -L -n -t nat
Тут у вас только сработавшие правила. Если попытка подключения была, за то время, что собрана статистика, то и тут все чисто.
Копайте настройки вьевера и сервера. Возможно, что проблема в фильтре адресов.
И если есть возможность, посмотрите трафик на сервере в момент подключения клиента.

И вы так и не ответили на вопрос, зачем вам NAT. Хотя это к делу и не относится.
И еще, заставте пакетник писать все ICMP пакеты в лог. Может там что интересное будет.

[asy]

Немного не то вы выдали. Нуна iptables -L -n -t nat
Тут у вас только сработавшие правила. Если попытка подключения была, за то время, что собрана статистика, то и тут все чисто.

Нет. Он добавил только -v. Это добавляет вывод счётчиков, и _не_ убирает несработавшие цепочки.

И я повторю для Sergulet Ваш вопрос: "зачем вам NAT.". Попробуйте без него.
Не нравится мне встречный нат...

[Sergulet]

Nat убрал.

Код: [Выделить]

[root@firewall log]# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt     source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt     source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt     source               destination
В логах видно когда пингую радмин сервер, когда подключаюсь к нему через проводник, а когда запускаю радмин - тишина.

[Знайка]

То есть если с компьютера 192.168.1.47 вы пингуете 192.168.2.3, пинги идут, и вы видите это в логах на гейте.
Но подключится с 192.168.1.47 к 192.168.2.3 не удается, и в логах на гейте попытка подключения не фиксируется.
Я все правильно понял?

Тогда проблема в настройке 192.168.1.47.
Как вариант, там стоит файрвол, или что-то подобное, и блокирует трафик RAdmina, при этом пропуская ICMP трафик.
Для проверки, на гейте добавте правила для записи в лог трафика от 192.168.1.47
И в цепочку Forward, и в Input (на всякий случай).
Да, правила нужно добавлять в начало цепочек.

[Знайка]

Что-то типа:

Код: [Выделить]

iptables -I FORWARD -s 192.168.1.47 -j LOG --log-ip-options --log-level debug --log-prefix "IPT: FWD:"
iptables -I FORWARD -d 192.168.1.47 -j LOG --log-ip-options --log-level debug --log-prefix "IPT: FWD:"
iptables -I INPUT   -s 192.168.1.47 -j LOG --log-ip-options --log-level debug --log-prefix "IPT: INP:"
iptables -I OUTPUT  -d 192.168.1.47 -j LOG --log-ip-options --log-level debug --log-prefix "IPT: OUT:"
После вставки этих правил делаете PING, что бы убедится, что правила работают.
В логе должны появится записи и о PING и о PONG
А потом пытаетесь подключится RAdmin'ом.

На основании, какие записи появляются, и будем дальше копать.

[Sergulet]

То есть если с компьютера 192.168.1.47 вы пингуете 192.168.2.3, пинги идут, и вы видите это в логах на гейте.
Но подключится с 192.168.1.47 к 192.168.2.3 не удается, и в логах на гейте попытка подключения не фиксируется.
Я все правильно понял?

Да все так.

Я обращался в тех.поддержку Radmina, там утверждают что проблема на шлюзе. Файрволл не стоит.

[Знайка]

Сделайте, что описано в 27 посте, а потом подумаем.
И отфильтрованный лог в студию.