Ad Widget

**Viewer** · 17-12-2015, 11:43

Выложи ifconfig, netstat -rn , traceroute 0.114

**yukra** · 17-12-2015, 15:01

настройте iptables, по умолчанию в центоси "все входящие кроме ssh запрещены"

**Zentarim** · 17-12-2015, 15:07

Originally posted by yukra

настройте iptables, по умолчанию в центоси "все входящие кроме ssh запрещены"

Это что же iptables отбивает с "no route to host"?

**yukra** · 18-12-2015, 08:42

Originally posted by Zentarim

Это что же iptables отбивает с "no route to host"?

добро пожаловать в линукс

REJECT (-j REJECT)

Пакет отклоняется. В отличие от цели DROP, где пакет просто отбрасывается, в данном случае отправителю будет отправлено IСМР-сообщение "Port unreachable" («Порт недоступен»). С помощью опции --reject-with можно изменить тип ICMP-сообщения:

# iptables -A INPUT -s 1.2.3.4 -j REJECT --reject-with icmp-net-unreachable

У опции --reject-with есть следующие аргументы:

icmp-net-unreachable — сеть недоступна;

icmp-host-unreachable — узел недоступен;
icmp-port-unreachable — порт недоступен;
icmp-proto-unreahable — неподдерживаемый протокол;
icmp-net-prohibited — сеть запрещена;
icmp-host-prohibited — узел запрещен.

http://suvan.ru/page/celi-iptables.html

**Zentarim** · 18-12-2015, 10:17

И вы серьезно считаете, что в Centos так сделано по умолчанию?

**yukra** · 18-12-2015, 11:24

Originally posted by zentarim

И вы серьезно считаете, что в centos так сделано по умолчанию?

Свежеустановленная центось6.7 минимал:

Code:

[root@localhost ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
[root@localhost ~]#

**Zentarim** · 18-12-2015, 11:52

Можете обьяснить нестыковку?

Originally posted by yukra

Свежеустановленная центось6.7 минимал:

Code:

[root@localhost ~]# cat /etc/sysconfig/iptables
# firewall configuration written by system-config-firewall
# manual customization of this file is not recommended.
*filter
:input accept [0:0]
:forward accept [0:0]
:output accept [0:0]
-a input -m state --state established,related -j accept
-a input -p icmp -j accept
-a input -i lo -j accept
-a input -m state --state new -m tcp -p tcp --dport 22 -j accept
-a input -j reject[b] --reject-with icmp-host-prohibited[/b]
-a forward -j reject [b]--reject-with icmp-host-prohibited[/b]
commit
[root@localhost ~]#

reject (-j reject)

Пакет отклоняется. В отличие от цели drop, где пакет просто отбрасывается, в данном случае отправителю будет отправлено iСМР-сообщение "port unreachable" («Порт недоступен»). С помощью опции --reject-with можно изменить тип icmp-сообщения:

# iptables -a input -s 1.2.3.4 -j reject --reject-with icmp-net-unreachable

http://suvan.ru/page/celi-iptables.html

**yukra** · 18-12-2015, 14:17

Originally posted by Zentarim

Можете обьяснить нестыковку?

Code:

 # iptables -A INPUT -s 1.2.3.4 -j REJECT --reject-with icmp-net-unreachable

- пример, указанный на странице, на которую я дал ссылку. Это просто пример того, как и с какими опциями можно выполнять данную команду. Дал я его не ради строки "# iptables -a input -s 1.2.3.4 -j ...", а ради " У опции --reject-with есть следующие аргументы: ..."

Code:

-A INPUT -j REJECT --reject-with icmp-host-prohibited

это вот так реально в CentOS 6.7 minimal после "установки по умолчанию". Что делает icmp-host-prohibited написано по той же ссылке, которую я давал выше на русском.
Почему icmp-host-prohibited превращается в "No route to host" предлагаю вам изучить самостоятельно.

**Zentarim** · 18-12-2015, 15:25

Originally posted by yukra

icmp-host-prohibited превращается в "No route to host"

"Превращаются", обычно, брюки в элегантные шорты.

А icmp-host-prohibited вызывает появление ICMP сообщений "Хост запрещен":

From X.X.X.X icmp_seq=1 Destination Host Prohibited

Очевидно, что "No route to host" тут не причем и дальнейшее обсуждение бессмысленно.

В любом случае хотелось бы в итоге получить ответ от топикстартера.
Информация, имеющая отношение к проблеме, с него уже запрошена.

**yukra** · 18-12-2015, 15:57

Originally posted by Zentarim

"Превращаются", обычно, брюки в элегантные шорты.

А icmp-host-prohibited вызывает появление ICMP сообщений "Хост запрещен":.

Я специально для вас подготовил картинку. Прокомментируйте ее пожалуйста.

**Zentarim** · 18-12-2015, 18:53

Originally posted by yukra

Я специально для вас подготовил картинку. Прокомментируйте ее пожалуйста.

Слишком гладко, чтобы быть неправдой...

Картинок, увы, дать не могу, однако же

[root@gate /home/root]# telnet 192.168.2.10 100
trying 192.168.2.10...
Telnet: Connect to address 192.168.2.10: Connection refused
telnet: Unable to connect to remote host

при этом на 192.168.2.10

reject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:100 reject-with icmp-host-prohibited

p.s. И правда, скорее всего дело в фаерволе. Надо запомнить на будущее

[root@gate /home/root]# telnet 192.168.2.10 100
trying 192.168.2.10...
Telnet: Connect to address 192.168.2.10: Connection refused
telnet: Unable to connect to remote host
[root@gate /home/root]# uname -rs
freebsd 9.1-release

[root@nfc ~]# telnet 192.168.2.10 100
trying 192.168.2.10...
Telnet: Connect to address 192.168.2.10: No route to host
[root@nfc ~]# cat /etc/fedora-release
fedora release 7 (moonshine)

Ad Widget

telnet: connect to address [IP]: No route to host

telnet: connect to address [IP]: No route to host

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment