ой, думаешь это тебя спасет если здешняя публика тобой заинтересуется? ?

конечно спасет

это неуязвимая штука

несотря а то что каму то это не нравится -)

50413 в логах светит ?

14:46:54 firewall,info sa input: in:domru out:(none), proto TCP (ACK,RST), 212.120.164.206:20462->188.187.190.18:50413, len 40

14:44:58 firewall,info sa input: in:domru out:(none), proto TCP (ACK,RST), 78.159.225.94:16472->188.187.190.18:50413, len 40

50413 в логах светит ?

23 светит -) публика начинает ломится -))))

не, не я

у меня 194,хххх и 93.76.хххх

я пробовал обычным телнетом из 93 айпишки

14:44:53 firewall,info sa input: in:domru out:(none), proto TCP (ACK,FIN), 192.168.0.101:54348->188.187.190.18:50413, len 40 вот откуда это 192,168/16?

кто то в локалке провайдера балуется ?

или ты из своей локалки ?

эти два на телнет ломятся

на 23

мои?

да

ну норма. я же пробую

щас и SSH пустил разок

всюду режет файрвол

нигде ответі не прилетали

тоесть почему то не НАТит 50413

14:50:10 firewall,info sa input: in:domru out:(none), proto TCP (SYN), 93.76.94.77:36859->188.187.190.18:23, len 60 14:50:11 firewall,info sa input: in:domru out:(none), proto TCP (SYN), 93.76.94.77:36859->188.187.190.18:23, len 60 14:50:13 firewall,info sa input: in:domru out:(none), proto TCP (SYN), 93.76.94.77:36859->188.187.190.18:23, len 60 14:50:17 firewall,info sa input: in:domru out:(none), proto TCP (SYN), 93.76.94.77:36859->188.187.190.18:23, len 60

там еще в конце 22 порт разок должен быть

ладно. назови порт который НАТит

и глянь щетчики правила. вырастет ли на единицу

да есть такое

25 попробуй

он занатит

и ответит

снать ЛЕВЫЙ порт, просто глянем натит ли вообще на сервак. скоппируй существующее правило и задай левый порт. а я на него подключусь

25 порт молчит

но погоди, 25 ТСР?

а то я телнетом же конекчусь

да 25

smtp

там exim

молчок. не натит

а в дропах нету

щас на сервере гляну может упал

tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 931/smbd tcp 0 0 0.0.0.0:9091 0.0.0.0:* LISTEN 16889/transmission- tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 931/smbd tcp 0 0 0.0.0.0:50413 0.0.0.0:* LISTEN 16889/transmission- tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1187/nginx -g daemo tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1111/sshd tcp 0 0 172.16.221.175:25 0.0.0.0:* LISTEN 1548/exim4 tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1548/exim4 tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 1187/nginx -g daemo tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN 25561/ietd

вроде слушает

значит мой клиент выпендривается

не, на свой адрес я зашел, сразу выдало приглашение телнета

имею ввиду адрес другого роутера

могут по пути лочит?

ладно давай ssh

кинул давай

пути по 22 пошло

ноя 28 15:02:05 blkst sshd[21500]: Connection closed by 194.44.132.26 port 55797 [preauth]

вот интересно если я в пути задам 25 порт и протокол телнет оно мне покажет инфу полученую?

вижу

я на серой айпишке, так что в ответку ты не законектишся

ладно, нать 22 порт на сервак

глянем пустит ли меня

или там SSH нету?

где?

это был днат ссш на сервак

ну на серваке куда натишь

ааа

ну ок. работает нат. теперь включай фильтр файрвола

будем смотреть на каком этапе резать будет

а ты думал микрот? -)

угу ?

он и был включен

я просто дописал к правилу 22 порт

ну тоесть меня запустило, фильтр не зарезал? а чего остальные режет?

ERROR: S client not available

да, только что опять запустило

да тебя запустило

Так не фильтр режет. Чтобы дойти до фильтра надо сначала пройти dst-nat и Route decision.

Остается вопрос чего остальные поррты в дроп в фильтре в инпуте подпадают

т.е вообще говоря днат то он работает как бы

Таким образом или в dst-nat что-то мешает отобрать пакет или маршрут странный. Например route-rule есть какая-нибудь

но не всегда

иногда почему то не срабатывает

[admin@eXmachine] > ip route rule print Flags: X - disabled, I - inactive 0 dst-address=8.8.8.8/32 action=lookup table=azu2 1 dst-address=8.8.4.4/32 action=lookup table=azu2

Там логика работы. 1. Пришел пакет 2. в прероутинг попал в дст-нат где возомжно ему поменяли адрес назначения 3. Пришел на маршрутизацию. Если адрес назначения=любому из адресов маршрутизатора то input. Если не равен и есть маршрут - то форвард

т.е не работает нат?

или контрек не может уследить?

сбось и на строй все заново))

0 chain=forward action=change-mss new-mss=1452 passthrough=yes tcp-flags=syn protocol=tcp out-interface=domru tcp-mss=1453-65535 log=no log-prefix=""

I ;;; ipsecl2tp not ready chain=prerouting action=mark-routing new-routing-mark=azu2 passthrough=yes dst-address-list=!localnet in-interface=ipsecl2tp time=9h-23h59m,sun,mon,tue,wed,thu,fri,sat log=no log-prefix=""

мангл

не то. не должно задевать

а может ли это быть из -за таймаутов в контреке?

а может ли это быть из -за таймаутов в контреке?

а ты там что-то менял?

почти нет

установленые сделал 30 минут

или контрек не может уследить?

КОнтрак не при чем. Нат обрабатывает только первый пакет соединения с флагом New. Далее он правит контрак. И тот уже натит. Т.е. вопрос в пакете с флагом New

так вот нету же в логе ни одного суна который бы прилетел в инпут

аск fin, ack rst

это закрытие соединения

может контрек и закрыл по таймауту

а клиент нет

а потом клиент прислал

а соединение в контреке уже тютю

У контрека на tcp-established таймаут в сутки.

это много оно потом висит мертвым грузом

но у меня такое впечатление что я починил