Добавить своё правило в IPTABLES

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Добавить своё правило в IPTABLES

Сообщение АлгоритмНТ » 18 мар 2020, 13:28

Добрый день.
Подскадите, как добавить своё правило в iptables на UTM.
Нужно безусловно разрешить весь трафик из локального интерфейса в него же. Сейчас проходит только пинг. UTM указан шлюзом по умолчанию в сети и пакеты в соседний сегмент локальной сети не идут.
Т.е. у UTM локальный адрес 192.168.1.1, на нём настроена маршрутизация в 192.168.2.0/24 через 192.168.1.100. Пинги в сеть 2.0 идут, трассировка показывает прохождение через UTM и межсегментный маршрутизатор, но другие пакеты режутся на UTM. Правила файрвола в веб интерфейсе не решают проблему. Хочу явным образом пропускать пакеты UTM, приходящие через локальный интерфейс и уходящие в него же правилом в iptables.
АлгоритмНТ
Пользователь
 
Сообщения: 9
Зарегистрирован: 23 май 2019, 09:50

Re: Добавить своё правило в IPTABLES

Сообщение ideco.dmitriy » 18 мар 2020, 13:45

Добрый день!
Попробуйте сперва режим "разрешить интернет всем" (в разделе Тех. поддержка). В нем создаются абсолютные правила разрешающие вообще все.

Возможно также в маршруте у вас указан источник - нужно его убрать, поставив 0.0.0.0/0
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2198
Зарегистрирован: 11 мар 2014, 08:43

Re: Добавить своё правило в IPTABLES

Сообщение АлгоритмНТ » 18 мар 2020, 15:40

В маршрутах в веб интерфейсе - источник 0.0.0.0/0. Также добавлен маршрут в консоли на всякий случай.
Разрешить интернет всем не помогает. Возможно, направление из Leth1 в Leth1 этим режимом не затрагивается.
В начале внедрения техподдержка делала мне отдельный скрипт с дополнительными правилами iptables, который можно было править. Но через несколько обновлений этот механизм закономерно исчез. Вот и ищу варианты прописать свои правила. Сейчас iptables не принимает правила.
АлгоритмНТ
Пользователь
 
Сообщения: 9
Зарегистрирован: 23 май 2019, 09:50

Re: Добавить своё правило в IPTABLES

Сообщение ideco.dmitriy » 18 мар 2020, 17:12

Нужно оставить один маршрут (в веб-интерфейсе) и проверить работу в режиме "разрешить интернет всем", чтобы понять куда копать дальше (помогут ли разрешающие правила где-либо, либо надо изменять маршрутизацию).
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2198
Зарегистрирован: 11 мар 2014, 08:43

Re: Добавить своё правило в IPTABLES

Сообщение АлгоритмНТ » 19 мар 2020, 09:40

При существующей настройке пинг проходит нормально, трассировка тоже показывает правильную маршрутизацию. Всё кроме пинга - не проходит через UTM, в режиме "Разрешить Инет всем" - тоже.
АлгоритмНТ
Пользователь
 
Сообщения: 9
Зарегистрирован: 23 май 2019, 09:50

Re: Добавить своё правило в IPTABLES

Сообщение ideco.dmitriy » 19 мар 2020, 10:56

Нужно посмотреть дамп трафика с помощью tcpdump
Например при попытке обращения к какому-либо ресурсу на IP-адресе 192.168.2.1 и локальном интерфейсе Leth1
tcpdump -vni Leth1 host 192.168.2.1

Так вы увидите с какими адресами пакеты приходят и уходят и возвращаются ли (может быть хост 192.168.2.1 отправляет их на другой шлюз, либо шлюз 192.168.1.100 отправляет куда-то не туда, там тоже можно посмотреть дамп).
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2198
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1