IMHO.WS - Работа iptables

IMHO.WS (http://www.imho.ws/index.php)

- Пингвинятник (ОС *NIX) (http://www.imho.ws/forumdisplay.php?f=76)

- - Работа iptables (http://www.imho.ws/showthread.php?t=129758)

Работа iptables

Есть 10 машин с windosXP, на них открыты общие папки, и находятся в одной рабочей группе. Подключены к свичу, имеют адреса 192.168.1.x/24.
Так же, к свичу подключен роутер на RedHat.

В правилах iptables написано каким машинам можно в интернет.
Если всем машинам дать доступ в интернет, то все работает нормально. Но если его закрыть для всех, то машины не могут открыть рабочую группу, не видят ни себя ни других в сети.
Если закрывать для нескольких, то этот эффект проявляется, спонтанно.

Сеть гитабитная, карточки Realtek RTL8168/8111 PCI-E Gigabit.
Свич Allied Telesyn at-gs950/16
Брандмауэр windows отключен, стоит Касперский 6, его фаервол включен.

Iptables имеет следующий вид, с случае если в инет разрешено 4-м машинам 192.168.1.101 - 104, запрещаю доступ просто комментируя соответствующие строки.

Код:

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Lokkit-0-50-INPUT - [0:0]





-A INPUT -j RH-Lokkit-0-50-INPUT

-A FORWARD -j RH-Lokkit-0-50-INPUT 



-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --syn -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT 

...

-A RH-Lokkit-0-50-INPUT -s 192.168.1.0/24                      -j REJECT 



-I RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -d 192.168.1.1       -j ACCEPT

-I RH-Lokkit-0-50-INPUT -s 192.168.1.1                         -j ACCEPT

...

# Razreshit' mashinam v klasse v inet

-I RH-Lokkit-0-50-INPUT -s 192.168.1.101                       -j ACCEPT

-I RH-Lokkit-0-50-INPUT -s 192.168.1.102                       -j ACCEPT

-I RH-Lokkit-0-50-INPUT -s 192.168.1.103                       -j ACCEPT

-I RH-Lokkit-0-50-INPUT -s 192.168.1.104                       -j ACCEPT

...

-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT

-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT

-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT

-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT

COMMIT



*nat

-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE 

COMMIT

Цитата:

Сообщение от zyrcon (Сообщение 1524309)

Если всем машинам дать доступ в интернет, то все работает нормально. Но если его закрыть для всех, то машины не могут открыть рабочую группу, не видят ни себя ни других в сети.

Так а в чем проблема-то? Запрещаете машинам сеть - и нету ее...
Мастер-браузер в сети находится на Линуксовой машиен полагаю, Самба?

Цитата:

Сообщение от Hubbitus (Сообщение 1524457)

Самбы нету.

Проверил сниффером commview, все машины постоянно обрашаются к broadcast адресу 192.168.1.255.
Добавил такие правила :

Код:

-I RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -d 192.168.1.0/24  -j  ACCEPT

-I RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -d 192.168.1.255   -j  ACCEPT

Сейчас тестирую. Может что и выйдет.
А эффект этот проявляется еще вот так - когда одна из машин перестает нормально видить сеть, то можно на ней через поиск найти любую другую, длится это дольше чем обычно. Если на ней есть общий ресурс, а на других он подключен как сетевой диск, то он остается роботоспособным. Если я вытаскиваю кабель роутера из свича, то сеть на этой машине сразу не востананавливается, она начинает полноценно работать только после перезагрузки.

Слишком странно. Ну не может обозревание сети в Windows зависеть от шлюза и файрвола на нем. Скорее всего виновата таки случайно взявшаяся на нем самба, которая стала мастер-браузером.
netstat -an -A inet с шлюза покажи. )