iptables No chain/target/match by that name

iptables -A POSTROUTING -s 192.168.1.0/30 -o enp2s2 -j SNAT --to-source провайдерский ip

Надо так:

iptables -t nat -A POSTROUTING -s 192.168.1.0/30 -o enp2s2 -j SNAT --to-source провайдерский ip

спасибо, через пару часов проверю - отпишусь

А ещё вопросец: обязательно ли -t имя_правила указывать каждый раз при добавлении новой таблицы?

Если не указано иное, по умолчанию подставляется -t filter. Т.к. nat, mangle и raw используются куда реже чем filter.

Понятно. Спасибо всем за участие.

Сделаа по вашему указанию - ошибок не возникло, но NAT не работает :-(

Продвижение пакетов между интерфейсами разрешено?

/proc/sys/net/ipv4/ip_forward

sysctl -w net.ipv4.ip_forward=1

/etc/sysctl.conf:
net.ipv4.ip_forward = 1

Ну и заодно покажи вывод

iptables-save

В тегах [code][/code].

Форвардинг разрешён. Разрешение прописано в /etc/sysctl.conf

А для работы с ДНСами ничего не нужно ставить? У меня на шлюзе стоит версия Net-install, минимальная. Может каких-то пакетов не хватает?

Показывай вывод iptables-save, в iptables важен порядок правил.

на эту команду нет вывода набираю, enter - просто пустая строка

Значит правила не загружены, вывод iptables-save не должен быть пустым, как минимум вот таким:

# iptables-save 
# Generated by iptables-save v1.4.21 on Wed Feb  1 13:16:26 2017
*mangle
:PREROUTING ACCEPT [1014055:137349091]
:INPUT ACCEPT [1005081:136098448]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [263549:2634716345]
:POSTROUTING ACCEPT [264032:2634809892]
COMMIT
# Completed on Wed Feb  1 13:16:26 2017
# Generated by iptables-save v1.4.21 on Wed Feb  1 13:16:26 2017
*filter
:INPUT ACCEPT [1005081:136098448]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [263549:2634716345]
COMMIT
# Completed on Wed Feb  1 13:16:26 2017

даже если никакие правила до этого не грузились.

Сохрани вот это в файл:

# Generated by iptables-save v1.4.21 on Wed Feb  1 13:17:49 2017
*nat
:PREROUTING ACCEPT [5:240]
:INPUT ACCEPT [5:240]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.1.0/30 -j MASQUERADE
COMMIT
# Completed on Wed Feb  1 13:17:49 2017
# Generated by iptables-save v1.4.21 on Wed Feb  1 13:17:49 2017
*mangle
:PREROUTING ACCEPT [1014825:137455936]
:INPUT ACCEPT [1005822:136199745]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [263905:2634758530]
:POSTROUTING ACCEPT [264388:2634852077]
COMMIT
# Completed on Wed Feb  1 13:17:49 2017
# Generated by iptables-save v1.4.21 on Wed Feb  1 13:17:49 2017
*filter
:INPUT ACCEPT [1005822:136199745]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [263905:2634758530]
COMMIT
# Completed on Wed Feb  1 13:17:49 2017

Я iptables настраивал по инструкции, там рекомендовалось первым делом очистить список правил.

Я ввёл iptables -L -v -n и получилось вот что:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

То есть создать файл с указанным содержимым и сделать его исполняемым? Или как?

Замечательно, загрузи приведённые мной правила из второго блока и у тебя всё будет работать. Ну либо поправь строчку заместо маскарадинга на снат.

Даже после очистки правил вывод iptables-save должен соответствовать тому, что я привёл в первом блоке.

Нет, сохранить это в файл и загрузить утилитой iptables-restore

iptables-restore file

Всё понял. Сделаю-отпишусь. Ещё один ламерский вопросик - в системе я нигде не нашёл каталога, где должен храниться файл с настройками iptables, подскажите пожалуйста куда лучше положить файлик, который я сейчас создам?

Лучше выполнить

/etc/init.d/iptables save

и будут сами применяться при запуске шлюза?

Ну либо поправь строчку заместо маскарадинга на снат.

А есть ли принципиальная разница?

Если IP провайдера статический, то лучше SNAT, ибо чуть меньше нагрузку даёт, если динамический - MASQUERADE.

Понял. Спасибо вам за ваше терпение и в возне с чайником :-) А таки по автозапуску правил: точно не нужно ничего вписывать в ./etc/network/interfaces ?

Например я создаю файлик с правилами, называю его iptables_rules, запускаю iptables-save > iptables_rules, правила сохранились и применились. А теперь, чтобы правила сами применялись при запуске шлюза, нужнол ли прописывать в ./etc/network/interfaces то-нибудь навроде: pre-up iptables-restore < /etc/iptables_rules ???

Просто во многих инструкциях это упоминается.

А таки по автозапуску правил: точно не нужно ничего вписывать в ./etc/network/interfaces ?

Если у тебя Debian, то почитай его wiki по настройке iptables, в Gentoo, CentOS у сценария запуска iptables есть параметр save, который сохраняет правила для их загрузки во время запуска. В Debian, скорее всего, есть такой же параметр, если

/etc/init.d/iptables save

Если не отработал - пиши в pre-up.

Просто во многих инструкциях это упоминается.

Просто написавшие эти многие инструкции перепечатывали их с других инструкций и сами не читали документацию.

Всё понятно. Спасибо ещё раз. Сделаю - отпишусь

Доброго времени суток ещё раз. Создал файл с вашими настройками. Всё работает. Спасибо вам.

Мне теперь нужно немного усложнить список правил, блочить ресурсы по IP, позже - фильтровать контент... Я нашёл неплохую (на мой взгляд) инструкцию тут но при запуске списка правил, который приведён там в виде примера iptables у меня ругается на криво заданный диапазон IP-адресов локалки. Говорит что Invalid mask «30». Всё остальное, перечисленноев скрипте, мне понятно и у меня работает. Не могли бы вы объяснить мне что не так там с маской локальных адресов?

Покажите правила на которые ругается.

# NAT iptables -t nat -A POSTROUTING -s 192.168.1.0/110 -o enp2s2 -j SNAT --to-source провайдерский_внешний_IP

и ошибка выдаётся «unable mаsk „110“

я же правильно понимаю что в 192.168.1.0/110 нужно указывать диапазон IP-адресов в локальной сети, которая будет выходить в инет? Или там нужно указать IP-адрес сетевого интерфейса, который смотрит в локалку?

192.168.1.0/110

Ну и как мы видим в 32 маску в 110? Долго курим основы адресации в ipv4

Не понял... Можно просто сказать где я ошибся?

Вопросом на вопрос, что по вашему мнению /110 который вы написали?

конечный адрес в диапазоне IP-адресов локальной сети

Это маска. Как писал выше, долго курим основы.

тут есть небольшая неточность - в топике написано «30», потому что тогда диапазон ограничивался всего 30 машинами. позже, я писал уже из другой конторы, где такая же история, только машин в сети больше. И там конечный адрес в диапазоне «110». но я кажется понял вас, когда заглянул в настройки сетевой платы. Там указана маска сети 192.168.1.0, а адрес, собственно сетевой платы, указан именно как 192.168.1.0/9 Думаю что просто в Линуксе таким образом записывается адрес самой сетевой платы. То есть указывается маска сети и адрес самой платы. Верно?

Последний раз, читаем основы - для мелкого примера вики https://ru.wikipedia.org/wiki/Маска_подсети
В дальнейшем - гуглю очень дорого.

192.168.1.0/9

Нехило так захапали, вы точно уверены что пригодны для этой работы?

как же иногда трудно с детьми...