(已解决)ping: sendmsg: Operation not permitted

iamshiyu

# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

ping哪里都不行了，我可以ssh登录到这台主机，但是从这台主机上往其他主机ssh就不可以。
昨天以前一直好好的……没有装过什么新东西啊……
这台做NAT的，现在NAT正常，内网机器依然在上网……
# Generated by iptables-save v1.3.6 on Wed Dec 20 09:53:16 2006
*nat
:PREROUTING ACCEPT [165584:15889901]
:POSTROUTING DROP [0:0]
:OUTPUT DROP [53:3676]
-A POSTROUTING -d 192.168.10.0/255.255.255.0 -o eth0 -j ACCEPT
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j SNAT --to-source 222.35.
14.56
COMMIT
# Completed on Wed Dec 20 09:53:16 2006
# Generated by iptables-save v1.3.6 on Wed Dec 20 09:53:16 2006
*filter
:INPUT DROP [40102:3424884]
:FORWARD DROP [44711:9920526]
:OUTPUT DROP [15:1300]
-A INPUT -s 192.168.10.46 -i eth0 -j ACCEPT
-A INPUT -s 192.168.10.251 -i eth0 -j ACCEPT
-A INPUT -s 192.168.10.241 -i eth0 -j ACCEPT
-A INPUT -s 192.168.10.3 -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -d 192.168.10.3 -j ACCEPT
-A OUTPUT -d 192.168.10.46 -j ACCEPT
COMMIT
# Completed on Wed Dec 20 09:53:16 2006

FORWARD链我隐藏了……
请指教有什么问题么？

[ 本帖最后由 iamshiyu 于 2006-12-20 14:17 编辑 ]

platinum

拦截了不该拦截的，若你无法驾驭 OUTPUT 链，那么就将他的 default policy 设置成 ACCEPT

iamshiyu

这个规则已经运行了几个月了……
而且我设置了
/sbin/iptables -P OUTPUT  ACCEPT
但是结果依旧……

platinum

检查 SELinux

iamshiyu

从来没开过……我查过了
# more /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=permissive
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted

platinum

disable 试试

iamshiyu

怪异，我刚才冒着被无数人骂的危险，迅速service iptables stop断开网络，然后ping 127.0.0.1就可以，然后迅速重新运行脚本恢复网络运行，然后ping 127.0.0.1，还是报告ping: sendmsg: Operation not permitted

ssffzz1

那个INPUT链也没有允许127.0.0.1的ICMP啊。INPUT链也需要开的。

iamshiyu

总算发现问题了……只要NAT或者filter表里面的OUTPUT或者POSTROUTING设置为DROP，就会发生这种现象，ping哪里都不通……或许是因为iptables升级到1.3.6以后有了一些改变吧，以前的1.2.1没有问题的

platinum

原帖由 iamshiyu 于 2006-12-20 14:04 发表
总算发现问题了……只要NAT或者filter表里面的OUTPUT或者POSTROUTING设置为DROP，就会发生这种现象

还是那句话，若你无法驾驭，你就不要设置