-A POSTROUTING -o eth1 -j MASQUERADE ?

>-A POSTROUTING -o eth1 -j MASQUERADE ?

На данный момент проблема в том, что пакеты с десктопа не идут на ноут через eth1. Т.е. проблема с роутингом. А в чём именно проблема я не понимаю. :(

Постановка задачи.

Так ты маршрутизатор хочешь или NAT?

Проверь:
$ /sbin/sysctl net.ipv4.ip_forward 
net.ipv4.ip_forward = 1

net.ipv4.ip_forward = 1

С роутингом разобрался. Внутри сети 192.168.96.0 пинг проходит в обе стороны.

ping между ноутом и "раутером" есть?
Default gateway на ноуте прописан?
файерволы на ноуте и "раутере"?

Вобщем без полной инфы, можно только гадать/перечислять все возможные варианты и в конце концов обнаружить что все это время ноут был выключен :-)))

Да, на ноуте был криво сконфигурирован фаерволл :) Пинг сейчас между ноутом и роутером есть.

В общем осталось настроить NAT.

-A POSTROUTING -o eth1 -j MASQUERADE не помогает.

Вопросы кстати... Как iptables в данном случае узнает, что нужно маскировать сеть 192.168.96.0 ?

И где ошибка в правиле?

iptables -t nat -A POSTROUTING -s 192.168.96.0/24 -d 0/0 -o eth1 -j SNAT --to-source xx.xx.xx.xx

>В общем осталось настроить NAT.

Сейчас кто-то из нас сильно тупит. Тебе надо чтоб с ноутбука в локалку через десткоп? Или чтоб это + из локалки могли достучаться до ноутбука?

Рутер или NAT?

Туплю скорее всего я, потому как пока в этом деле шарю не много :)

В общем мне нужно с ноутбука попадать в локалку через десткоп.

Тогда будем считать что нужен нат. Вообщем убирай всю свою ахинею из настройки iptables и вписывай одно единственное правило:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Также тебе правильно сказали про ipforward:

echo net.ipv4.ip_forward = 1 >>/etc/sysctl.conf

После этого пробуй пинговать машину во внешней сети.

да еще:

на ноутбуке роутер по умолчанию :

route add default gw 192.168.96.1 -если там линукс route add default 192.168.96.1 -если бзд или солярис тупое-тыканье-по-кнопочкам -если-венда :)

ok

Десктоп: iptables -t nat -F iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

ноут:

tracert 10.168.15.100

Tracing route to 10.168.15.100 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.96.1 2 * * * Request timed out. 3 * * * Request timed out.

:(((

Десктоп:
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

ноут:

tracert 10.168.15.100

Tracing route to 10.168.15.100 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 10.10.255.1
2 * * * Request timed out.
3 * * * Request timed out.

поменял внутреннюю сеть на 10.10.255.0 ибо как оказалось могло быть пересечение с сегментом локалки.

>1 <1 ms <1 ms <1 ms 10.10.255.1

Ты маршрутом по умолчанию на ноуте точно не ошибся?

Не пойму я вас, что это вы NAT на eth1 вешаете?

Как я понял, натить нужно пакеты с исходящего интерфейса, т.е. eth1. Или я не прав?

>поменял внутреннюю сеть на 10.10.255.0 ибо как оказалось могло быть >пересечение с сегментом локалки.

а адрес на интерфейсе который в подсеть с ноутом смотрит поменял?

>>Ты маршрутом по умолчанию на ноуте точно не ошибся?

Роутером ведь в данном случае является десктоп с eth1 - 10.10.255.1

>Не пойму я вас, что это вы NAT на eth1 вешаете?

тьфу, у него же eth0 внешний..

2anonymous: вообщем в правиле для iptables поменяй eth1 на eth0

>а адрес на интерфейсе который в подсеть с ноутом смотрит поменял?

Да.

$ /sbin/ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:30:18:B0:BA:50
inet addr:10.10.255.1 Bcast:10.10.255.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:857 errors:0 dropped:0 overruns:0 frame:0
TX packets:512 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:71910 (70.2 KiB) TX bytes:84948 (82.9 KiB)
Interrupt:11 Base address:0x4000

$ /sbin/route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.255.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.168.48.0 0.0.0.0 255.255.248.0 U 0 0 0 eth0
0.0.0.0 10.168.48.1 0.0.0.0 UG 0 0 0 eth0

>>2anonymous: вообщем в правиле для iptables поменяй eth1 на eth0

Я счастлив!!! :))))))))))

Спасибо большое!

Как мало нужно человеку для счастья:)

Осталось добавить: $IPT -t mangle -A OUTPUT -o eth0 -j TTL --ttl-set 64 $IPT -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 64

...чтобы не спалиться :)

т.е.
iptables -t mangle -A OUTPUT -o eth0 -j TTL --ttl-set 64 
iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 64

>>...чтобы не спалиться :)

ok. Но можно подробней что это значит? :)

В теории скрывает NAT от прова, подменяя параметр ttl ip-пакетов.

Осталось прописать iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP.

хакиры, блин :-)

> вписывай одно единственное правило:

> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Мне бы таких соседей по подсетке :-)

>Мне бы таких соседей по подсетке :-)

Ну тогда наверное помимо -j MASQUERADE еще стоить использовать -j DROP?

Человек вообще-то хотел подключить свой ноутбук к своей же рабочей машине и выйти через нее в инет.В его случае все остальные правила помимо маскарада для исходящего траффика нужны только при приступах параноии.

Ну, да. Осталось только gated поднять с рассылкой ROUTER_ADVERTISE со всех интерфейсов.

>Ну, да. Осталось только gated поднять с рассылкой ROUTER_ADVERTISE со >всех интерфейсов.

У нормальных админов рутеры настроены посылать такие рассылки лесом. Иначе каждый хацкер поднявший bgpd имел бы свою зону :)

"Когда вы говорите, такое ощущение, будто вы бредите"

>"Когда вы говорите, такое ощущение, будто вы бредите"

Ну перебрал чуть с молодежной лексикой. По существу-то есть что возразить?

А чему возражать-то? Хотите чтобы охочие до халявы соседи по подсетке выходили в сеть от вашего имени через ваш SNAT/MASQ? Кто же тут против? :-)

Я про исходящие соединения не просто так написал. Входящие само собой рубятся файрволом