Автор Тема: Сайты не открываются по доменным именам. Iptables. [Решено] (Прочитано 4963 раз)

Cool_Lamer · « : 23.02.2014 13:24:05 »

В какой-то момент, после применения каких-то из настроек, на сервере перестали открываться/пинговаться сайты по доменным именам, по ip-адресам всё прекрасно.

ksa · « **Ответ #1 :** 23.02.2014 13:26:09 »

Цитата: Cool_Lamer от 23.02.2014 13:24:05

после применения каких-то из настроек

Каких настроек ? На сервере тыкаться наобум - себе дороже. Телепаты в отпуску нынче

Cool_Lamer · « **Ответ #2 :** 23.02.2014 13:34:11 »

Цитата: sb от 23.02.2014 13:26:09

Каких настроек ? На сервере тыкаться наобум - себе дороже. Телепаты в отпуску нынче

Настраивалась сеть на etcnet, добавлялись маршруты, редактировался iptables. Дело не в том что тыкали наобум)) Просто после каких именно настроек не понятно, ибо до настоящего времени необходимости открывать доменные имена, не было.

asy · « **Ответ #3 :** 23.02.2014 14:20:54 »

что в /etc/resolv.conf ? При этом, следует помнить, что resolv.conf может копироваться из описания интерфейса в etcnet в момент активирования интерфейса.

Cool_Lamer · « **Ответ #4 :** 23.02.2014 14:44:26 »

Цитата: asy от 23.02.2014 14:20:54

что в /etc/resolv.conf ? При этом, следует помнить, что resolv.conf может копироваться из описания интерфейса в etcnet в момент активирования интерфейса.

В resolv только адрес DNS сервера

Код: [Выделить]

nameserver 194.158.206.206

asy · « **Ответ #5 :** 23.02.2014 14:56:59 »

Этот сервер точно работает ?
"host www.ru 194.158.206.206" ip показывает ?

Cool_Lamer · « **Ответ #6 :** 23.02.2014 14:59:26 »

Цитата: asy от 23.02.2014 14:56:59

"host www.ru 194.158.206.206" ip показывает ?

не понял, это команда? Нет, подвисает и ничего не происходит.

Код: [Выделить]

]# host www.ru 194.158.206.206
;; connection timed out; no servers could be reached

днс-сервер работает 100% через него 500 абонентов сидят (напомню интернет работает, только доменные имена с свервера не отрываются). С настройками iptables это не связано (скрин выше)?

Насчёт есть ли на сервере интернет, я сейчас на нём по ssh через интернет.

Cool_Lamer · « **Ответ #7 :** 23.02.2014 17:11:52 »

Такс, вырубил iptables, заработало, что я не так написал в правилах?

iptables

# Generated by iptables-save v1.4.10 on Fri Feb 7 13:57:06 2014
*nat
:PREROUTING ACCEPT [32159029:2771992823]
:INPUT ACCEPT [3073:160282]
:OUTPUT ACCEPT [4727:337253]
:POSTROUTING ACCEPT [3821:262531]
-A PREROUTING -d <ip_eth0>/32 -p tcp -m tcp --dport 9089 -j DNAT --to-destination 10.3.21.10:9089
-A PREROUTING -d <ip_eth0>/32 -p tcp -m tcp --dport 7012 -j DNAT --to-destination 10.3.21.10:7012
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Feb 7 13:57:06 2014
# Generated by iptables-save v1.4.10 on Fri Feb 7 13:57:06 2014
*filter
:INPUT ACCEPT [7510:694356]
:FORWARD ACCEPT [561537880:406168347700]
:OUTPUT ACCEPT [70659:23204595]
-A INPUT -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 8090 -j ACCEPT - висит техническая инфа
-A INPUT -p tcp -m tcp --dport 8090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7012 -j ACCEPT - висит тех.инфа2
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth+ -j DROP
COMMIT
# Completed on Fri Feb 7 13:57:06 2014

akarp · « **Ответ #8 :** 23.02.2014 20:17:11 »

Цитата: Cool_Lamer от 23.02.2014 17:11:52

что я не так написал в правилах

53 порт

asy · « **Ответ #9 :** 24.02.2014 10:26:02 »

Цитата: Cool_Lamer от 23.02.2014 17:11:52

-A INPUT -p udp -m udp --dport 8090 -j ACCEPT - висит техническая инфа
-A INPUT -p tcp -m tcp --dport 7012 -j ACCEPT - висит тех.инфа2

Про "-A INPUT -p udp -m udp --dport 53 -j ACCEPT" уже написано.
но раз там NAT, надо бы ещё tcp/udp >1024 на вход открыть, по идее.
А что касается отквоченных строчек, можно прямо вот так:

Код: [Выделить]

-A INPUT -p udp -m udp --dport 8090 -j ACCEPT -m comment --comment "висит техническая инфа"

Cool_Lamer · « **Ответ #10 :** 24.02.2014 11:26:56 »

asy, за 53ый порт спасибо, сейчас буду пробовать.
Насчёт

Код: [Выделить]

-A INPUT -p udp -m udp --dport 8090 -j ACCEPT -m comment --comment "висит техническая инфа"ещё раз спасибо, буду знать, но это я просто попдисал, чтобы лишних вопросов не возникло, а оно получилось наоборот

Цитировать

но раз там NAT, надо бы ещё tcp/udp >1024 на вход открыть, по идее.

Зачем?

- - - - - - - - - - - - - -
Попробовал, на всякий случай ещё и tcp на 53й. Не пошло.

Спойлер

#
*filter
:INPUT ACCEPT [22:1794]
:FORWARD ACCEPT [2986637:2265327019]
:OUTPUT ACCEPT [1075:150498]
-A INPUT -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 8090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7012 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth+ -j DROP
COMMIT

akarp · « **Ответ #11 :** 24.02.2014 13:06:02 »

RELATED, ESTABLISHED - но из-за его обидчивости он это не увидит, пока кто-нибудь не продублирует.

asy · « **Ответ #12 :** 24.02.2014 15:28:18 »

Цитата: Cool_Lamer от 24.02.2014 11:26:56

Цитировать
но раз там NAT, надо бы ещё tcp/udp >1024 на вход открыть, по идее.
Зачем?

Потому, что цепочкам трансляции надо как-то работать, а пакеты ответные летят в INPUT, а не в FORWARD.

Cool_Lamer · « **Ответ #13 :** 24.02.2014 18:22:55 »

Цитата: akarp от 24.02.2014 13:06:02

RELATED, ESTABLISHED - но из-за его обидчивости он это не увидит, пока кто-нибудь не продублирует.

$:-\$

Код: [Выделить]

[root@d123 sysconfig]# iptables -L -v
Chain INPUT (policy ACCEPT 21 packets, 1803 bytes)
 pkts bytes target     prot opt in     out     source               destination
   13   885 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:22
   27  1756 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:22
    3   143 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:http
   34  1615 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:http
    5   238 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:https
   25  1344 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:https
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:8090
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:8090
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:7012
   71  7469 ACCEPT     icmp --  any    any     anywhere             anywhere
89058   12M DROP       all  --  eth+   any     anywhere             anywhere

Chain FORWARD (policy ACCEPT 2460K packets, 1683M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 523 packets, 46071 bytes)
 pkts bytes target     prot opt in     out     source               destination
   13  1435 ACCEPT     udp  --  any    any     anywhere             anywhere            udp spt:domain dpts:1024:65535
   19  1224 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain
[root@123 sysconfig]# ping ya.ru
ping: unknown host ya.ru

Спойлер

*filter
:INPUT ACCEPT [88:7454]
:FORWARD ACCEPT [14775405:9961037784]
:OUTPUT ACCEPT [3096:324267]
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 8090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7012 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth+ -j DROP
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT

Не аллё

asy · « **Ответ #14 :** 25.02.2014 17:18:47 »

Цитата: Cool_Lamer от 24.02.2014 18:22:55

-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

OUTPUT-то почему ? Это что NAT касается:
-A INPUT -p udp -m udp --dport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT

Остальное подскажет tcpdump. Может и к DNS запросы уходят с >1024. Имеют право, в общем-то.

Форум сообщества
Альт Линукс