Простой роутер

0

2

Здравия. Имею ПК с Debian 11. У ПК встроенная сетевая смотрит в роутер с интернетом, у которого сеть 192.168.1.0/24. А внешняя сетевая смотрит во вторую сеть 192.168.0.0/24 (ещё должен быть dhcp, но пока и без него ничего не работает). Для nftables использовал официальный пример В /etc/network/interfaces только вот это:

auto lo
iface lo inet loopback

allow-hotplug enp1s0
  auto enp1s0
  iface enp1s0 inet static
  address 192.168.1.42
  netmask 255.255.255.0
  gateway 192.168.1.254


allow-hotplug enxcebe8029456
  auto enxcebe8029456
  iface enxcebe8029456 inet static
  address 192.168.0.42
  netmask 255.255.255.0

В результате не работает ни локальный интернет на ПК, ни на тех пк, которые подключены ко второй сетевой карте… Хотелось бы попросить ткнуть ссылкой, очень желательно на русском, с подобными и подробными инструкциями на такие ситуации. Со всеми этими nf, kea-dhcp и прочая. Вроде задача тривиальная, а решить не получается.

С уважением,

Ссылка

←	iptables обработка дропов

Ограничить количество соединений (NAT) на каждый DST каждому пользователю

→

так пойдет?

olelookoe ★★★
(12.08.24 00:13:52 MSK)

Ответ на: комментарий от olelookoe 12.08.24 00:13:52 MSK

Почти идеально. Без Яндекса лучше получилось. Спасибо.
Только все равно не понял чяднт. Вроде все тоже самое.

xorkrus
(12.08.24 21:03:08 MSK) автор топика

Ответ на: комментарий от xorkrus 12.08.24 21:03:08 MSK

Напиши, что ты понял и что сделал.

Ip адрес сетевого интерфейса, смотрящий в lan сеть на ПК сети должен быть прописан в качестве шлюза.

На ПК с двумя интерфейсами должно быть разрешено продвижение пакетов между сетевыми интерфейсами, ip_forward.

Далее нужно настроить nat (masquerade).

И все должно работать.

Аналогично, если политика для цепочки forward - drop, нужно сделать accept.

Если других правил нет - все будет работать.

kostik87 ★★★★★
(12.08.24 21:48:56 MSK)

Ответ на: комментарий от kostik87 12.08.24 21:48:56 MSK

"'
flush ruleset

define DEV_PRIVATE = enxcebe8029456
define DEV_WORLD = enp1s0
define NET_PRIVATE = 192.168.0.0/16

table ip global {
chain inbound_private {
# accepting ping (icmp-echo-request) for diagnostic purposes.
icmp type echo-request limit rate 5/second accept
# allow DHCP, DNS and SSH from the private network
ip protocol . th dport vmap { tcp . 22 : accept, udp . 53 : accept, tcp . 53 : accept, udp . 67 : accept}
}
chain inbound {
type filter hook input priority 0; policy drop;
ct state vmap { established : accept, related : accept, invalid : drop }
iifname vmap { lo : accept, $DEV_WORLD : jump inbound_world, $DEV_PRIVATE : jump inbound_private }
}

chain forward {
type filter hook forward priority 0; policy drop;
ct state vmap { established : accept, related : accept, invalid : drop }
iifname $DEV_PRIVATE accept
}

chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip saddr $NET_PRIVATE oifname $DEV_WORLD masquerade
}
}
"'
nftables пример из официальной документации, interfaces в первом посте. для enxcebe8029456 пробовал добавлять gateway 192.168.0.42. ip_forward=1. Т.е. с тем что получилось разница только в nftables - в приведенной статье правила проще, без дропа инвалидов, но остальное в моем понимании тоже самое. Да и вроде не должен такой конфиг ломать интернет на самом ПК

xorkrus
(13.08.24 10:46:00 MSK) автор топика

Ответ на: комментарий от xorkrus 13.08.24 10:46:00 MSK

Поставь iptables и настрой через него.

Тебе шашечки или ехать?

anonymous
(13.08.24 11:04:43 MSK)

Ссылка

Ответ на: комментарий от xorkrus 13.08.24 10:46:00 MSK

define NET_PRIVATE = 192.168.0.0/16

Почему маска 16 ?

anonymous
(13.08.24 12:59:24 MSK)

Ссылка

Для того чтобы оставить комментарий войдите или зарегистрируйтесь.

←	iptables обработка дропов

Admin

Ограничить количество соединений (NAT) на каждый DST каждому пользователю

→

Похожие темы