पिंग: Sendmsg: आर्क GNU / Linux पर iptables स्थापित करने के बाद ऑपरेशन की अनुमति नहीं है


15

कल मुझे अपने होमसवर के रूप में एक नया कंप्यूटर मिला, एक एचपी प्रोलिएंट माइक्रोसेवर। कर्नेल संस्करण 3.2.12 के साथ इस पर आर्क लिनक्स स्थापित किया गया है।

Iptables स्थापित करने के बाद (1.4.12.2 - वर्तमान संस्करण AFAIK) और net.ipv4.ip_forwardकुंजी को 1 में बदलकर , और iptables कॉन्फ़िगरेशन फ़ाइल (और रीबूटिंग) में अग्रेषण को सक्षम करने के बाद, सिस्टम अपने नेटवर्क इंटरफेस में से किसी का उपयोग नहीं कर सकता है। पिंग के साथ विफल

Ping: sendmsg: operation not permitted

यदि मैं पूरी तरह से iptables हटा देता हूं, तो नेटवर्किंग ठीक है, लेकिन मुझे स्थानीय नेटवर्क पर इंटरनेट कनेक्शन साझा करने की आवश्यकता है।

eth0 - वान NIC मदरबोर्ड (ब्रॉडकॉम नेटएक्सट्रीम BCM5723) पर एकीकृत है।

eth1 - लैन एनआईसी इन पेस-एक्सप्रेस स्लॉट (इंटेल 82574L गीगाबिट नेटवर्क)

चूंकि यह iptables के बिना काम करता है (सर्वर इंटरनेट तक पहुंच सकता है, और मैं आंतरिक नेटवर्क से ssh के साथ लॉगिन कर सकता हूं), मुझे लगता है कि इसका iptables के साथ कुछ करना है। मुझे iptables के साथ बहुत अनुभव नहीं है, इसलिए मैंने इन्हें संदर्भ के रूप में इस्तेमाल किया (एक-दूसरे से अलग ...):

wiki.archlinux.org/index.php/Simple_stateful_firewall#Setting_up_a_NAT_gateway

revsys.com/writings/quicktips/nat.html

howtoforge.com/nat_iptables

अपने पिछले सर्वर पर, मैंने नेट सेट करने के लिए रेव्स गाइड का इस्तेमाल किया, एक आकर्षण की तरह काम किया।

किसी को भी इस तरह से पहले कुछ भी अनुभव किया? मैं क्या गलत कर रहा हूं?

जवाबों:


23

त्रुटि संदेश:

Ping: sendmsg: operation not permitted

इसका अर्थ है कि आपके सर्वर को ICMP पैकेट भेजने की अनुमति नहीं है। आपको अपने सर्वर को कॉन्फ़िगर किए गए इंटरफ़ेस में से एक या अधिक के माध्यम से ट्रैफ़िक भेजने की अनुमति देने की आवश्यकता है। आप यह कर सकते हैं:

  1. अपने बॉक्स से सभी आउटगोइंग ट्रैफ़िक को अनुमति देने के OUTPUTलिए चेन पॉलिसी सेट करें ACCEPT:

    sudo iptables -P OUTPUT ACCEPT
    
  2. OUTPUTश्रृंखला नीति सेट करें DROPऔर फिर चुनिंदा यातायात के प्रकार की आपको अनुमति दें।

यह न केवल श्रृंखला के सभी जंजीरों पर लागू होता है OUTPUTINPUTश्रृंखला आपके बॉक्स द्वारा प्राप्त ट्रैफ़िक को नियंत्रित करती है। FORWARDबॉक्स के माध्यम से अग्रेषित ट्रैफ़िक के साथ चेन डील।


पिंग सिर्फ एक उदाहरण था, udp पैकेट नहीं भेज सकता था, न ही tcp पैकेट ...
estol

हालांकि, एक ही विचार लागू होता है
खलद

आपने जो कहा, उसी परिणाम की कोशिश की। पुराने सर्वर से नियम प्राप्त करें, यह आंशिक रूप से काम करता है। कोई भी क्लाइंट, डोमेन नामों को देख सकता है, यहां तक ​​कि उन्हें पिंग करने में सक्षम है, लेकिन वेब ब्राउज़ नहीं कर सकता है। मैंने वर्कअराउंड के रूप में एक प्रॉक्सी स्थापित किया है (चूंकि सर्वर पर कनेक्शन ठीक है, सर्वर से कनेक्शन की तरह) लेकिन बहुत सारी सेवाएं इस तरह से काम नहीं करती हैं (ट्रिलियन, स्काइप)।
इस्टोल

आउटपुट चेन पॉलिसी को स्वीकार करने के लिए क्या कमांड है ??
जोसेफ अस्त्रहन

4
@ जोसेफस्ट्रेशन:sudo iptables -P OUTPUT ACCEPT
खालिद

2

मेरे लिए, डेबियन 9 पर, इसे पुनः स्थापित करने में मदद मिली ping:

apt-get install --reinstall iputils-ping 

CentOS 7 पर काम किया (पैकेज का उन्नयन वास्तव में yum upgrade iputils.x86_64), वीएम के लिए "भौतिक" ऑपरेटिंग सिस्टम को क्लोन करने के बाद - अगर यह मायने नहीं रखता है।
याहोल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.