LINUX.ORG.RU
ФорумAdmin

Нужна помощь в настройке шлюза на CentOS 5.2


0

0

Ситуация в общем следующая:

Есть интерфейс eth0- с постоянным ip адресом смотрит в интернет.

интерфейс eth1- с ip адресом локальной сети.

необходимо через ip адрес eth1 раздавать интернет по локальной сети. Вроде все настроено, но если указать шлюзом ip адрес eth1, пакеты дальше шлюза не летят. С локальной машины пингуется шлюз и внешний ip адрес а дальше ничего не видно.

ifconfig

eth0 Link encap:Ethernet HWaddr 00:17:9A:B3:9A:69 inet addr: 95.195.212.98 cast:95.195.212.103 Mask:255.255.255.248 inet6 addr: fe80::217:9aff:feb3:9a69/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:35530 errors:0 dropped:0 overruns:0 frame:0 TX packets:6588 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3663903 (3.4 MiB) TX bytes:636325 (621.4 KiB) Interrupt:225

eth1 Link encap:Ethernet HWaddr 00:02:B3:38:BF:63 inet addr:192.168.0.119 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::202:b3ff:fe38:bf63/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:36384 errors:0 dropped:0 overruns:0 frame:0 TX packets:8600 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3113768 (2.9 MiB) TX bytes:7088914 (6.7 MiB)

route

Destination Gateway Genmask Flags Metric Ref Use Iface

95.195.212.96 * 255.255.255.248 U 0 0 0 eth0

192.168.0.0 * 255.255.255.0 U 0 0 0 eth1

default 95.195.212.97 0.0.0.0 UG 0 0 0 eth0

ip_forward=1

iptables все цепочки ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -o eth0 -j SNAT --to-source 95.195.212.98

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -o eth0 -j MASQUERADE

пробовал nat по разному прописать все равно не работает

были подозрения на сетевую карту поставил другую сетевую карту проблема не решилась.

Что я делаю не правильно?

anonymous
Ответ на: комментарий от anonymous

service iptables reload

lsmod | grep nat
iptable_nat 8324 1
nf_nat 20396 2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4 19080 3 iptable_nat
nf_conntrack 66752 5 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state
ip_tables 14820 3 iptable_nat,iptable_mangle,iptable_filter
x_tables 16132 5 ipt_MASQUERADE,iptable_nat,xt_state,ipt_ULOG,ip_tables

dimon555 ★★★★★
()
Ответ на: комментарий от dimon555

[root@mx sysconfig]# lsmod | grep nat

iptable_nat 40773 1

ip_nat 53100 2 ipt_MASQUERADE,iptable_nat

ip_conntrack 91237 5

ip_conntrack_netbios_ns,ipt_MASQUERADE,iptable_nat,ip_nat,xt_state

nfnetlink 40457 2 ip_nat,ip_conntrack

ip_tables 55329 4

iptable_raw,iptable_nat,iptable_mangle,iptable_filter

x_tables 50377 7

ipt_MASQUERADE,iptable_nat,xt_state,ip_tables,xt_limit,ipt_LOG,xt_tcpudp

anonymous
()
Ответ на: комментарий от Reset

google: masquerading simple howto

да вроде знаю как это все делается и как работает, просто может у кого нибудь похожая ситуация была. Времени мало.

anonymous
()
Ответ на: комментарий от anonymous

ну может ещё нужно state RELATED, ESTABLISHED разрешить, но это вроде не надо

dimon555 ★★★★★
()
Ответ на: комментарий от anonymous

Блин, ты набери эти строки в гугл, пойди по первой ссылке и набери 8 строк для iptables'а, которые там будут. Ты делаешь чушь. Одновременно MASQUERADING и SNAT не используют.

Reset ★★★★★
()
Ответ на: комментарий от Reset

>Одновременно MASQUERADING и SNAT не используют.

ыыы а я думал он говорит, что пытался и SNAT и MASQUARADE отдельно и всёравно не работает

dimon555 ★★★★★
()

По идее, "-d ! 192.168.0.0/24" лишнее, так как есть "-o eth0". У SNAT правил какие значения счетчиков (iptables -v -L -n -t nat)?

Запустите tcpdump на eth0 для icmp пакетов и смотрите какие пакеты уходят. Может у вас провайдер режет все пакеты с неправильным TTL.

mky ★★★★★
()
Ответ на: комментарий от Reset

я SNAT и MASQUERADE вместе не использую

я имел ввиду что так iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -o eth0 -j SNAT --to-source 95.195.212.98

и так пробовал iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -o eth0 -j MASQUERADE

а не все вместе.

Блин, ты набери эти строки в гугл, пойди по первой ссылке и набери 8 строк для iptables'а, которые там будут. Ты делаешь чушь. Одновременно MASQUERADING и SNAT не используют.

Попробовал не помогло. Я в принципе тоже самое и делал.

anonymous
()
Ответ на: комментарий от mky

По идее, "-d ! 192.168.0.0/24" лишнее, так как есть "-o eth0". У SNAT правил какие значения счетчиков (iptables -v -L -n -t nat)?

Запустите tcpdump на eth0 для icmp пакетов и смотрите какие пакеты уходят. Может у вас провайдер режет все пакеты с неправильным TTL.

По нулям все.

Chain POSTROUTING (policy ACCEPT 1 packets, 73 bytes) pkts bytes target prot opt in out source destination

0 0 SNAT all -- * eth0 192.168.0.0/24 0.0.0.0/0 to:95.195.212.98

tcpdump на eth0 ничего не показывает, на eth1 показывает icmp запрос , провайдер не может резать так как шлюз для eth0 наша cisco туда пакеты вообще не доходят.

я шлюз для eth0 пингую.

anonymous
()

Всё у вас, вроде, правильно. Со шлюза-то внешний мир видел аще? И ещё: default gw у машин правильно стоит..вроде, больше ничего очевидного такого.... 

markevichus ★★★
()
Ответ на: комментарий от markevichus

Всё у вас, вроде, правильно. Со шлюза-то внешний мир видел аще? И ещё: default gw у машин правильно стоит..вроде, больше ничего очевидного такого....

Да в том то и дело что с сервера интернет виден, из локальной сети видны eth0 и eth1 но дальше дело не идет.

anonymous
()
Ответ на: комментарий от dimon555

Менял провода, менял сетевые карты.

service NetworkManager не запущен.

chkconfig --list NetworkManager

NetworkManager 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл

anonymous
()
Ответ на: комментарий от anonymous

>95.195.212.96 * 255.255.255.248 U 0 0 0 eth0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 default 95.195.212.97 0.0.0.0 UG 0 0 0 eth0

стрранный роут , извините если нет .. но

95 ... > eth0

default ... > eth0

flat
()
Ответ на: комментарий от anonymous

Может надо 1 в /proc/sys/net/ipv4/ip_forward ? И проверьте содержимое цепочек в iptables, может у вас рубится все в mangle, если FORWARD точно открыт.

mky ★★★★★
()
Ответ на: комментарий от mky

Может надо 1 в /proc/sys/net/ipv4/ip_forward ? И проверьте содержимое цепочек в iptables, может у вас рубится все в mangle, если FORWARD точно открыт.

ip_forward=1

таблицы mangle,filter пустые, все в ACCEPT.

Ладно, ВСЕМ КТО ОТОЗВАЛСЯ ОГРОМНОЕ СПАСИБО, решил проблему немного по другому. Будет время вернемся к данному вопросу. ВСЕМ УДАЧИ.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.