И снова NAT, iptables,route. Где то ошибка

0

0

ОС: Ubuntu Server 8.10
eth0: inet с внешним ip. далее &inet
eth1: ip 10.0.3.1 netmask 24
eth2: ip 10.0.2.1 netmask 24

Далее всё просто, дать инет локальной сети... Но вот головой бьюсь уже весь день.... где допустил ошибку, ума не приложу, что забыл?

iptables

# Generated by iptables-save v1.4.0 on Sat May 2 03:41:08 2009
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -p tcp -s 10.0.3.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p udp -s 10.0.3.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p icmp -s 10.0.3.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p tcp -s 10.0.2.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p udp -s 10.0.2.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p icmp -s 10.0.2.0/24 -o eth0 -j SNAT --to-source &inet
COMMIT
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A FORWARD -j ACCEPT
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -j ACCEPT
COMMIT
#s

По сути простейший конфиг, а ничерта не пашет.. инет есть, сервак пингует любую машину в сетях и инет видит, но с машины в локалке пингуется только сервак, включая внешние интерфейсы, но не инет (

Ссылка

←	2 провайдера, на одном не работает нат

[archlinux] версии пакетов

→

echo "1" > /proc/sys/net/ipv4/ip_forward естественно сделал

k4m454k
(07.08.09 19:50:15 MSD) автор топика

Ссылка

sudo sysctl net.ipv4.conf.all.forwarding=1

dimon555 ★★★★★
(07.08.09 19:51:41 MSD)

Ответ на: комментарий от dimon555 07.08.09 19:51:41 MSD

Делал. Не помогает.

k4m454k
(07.08.09 19:54:33 MSD) автор топика

Ссылка

route можно посмотреть?

route add default gw <что там у вас>

anton_jugatsu ★★★★
(07.08.09 20:05:56 MSD)

Ответ на: комментарий от anton_jugatsu 07.08.09 20:05:56 MSD

да, конечно
Destination Gateway Genmask Flags Metric Ref Use Iface
77.246.248.64 * 255.255.255.192 U 0 0 0 eth0
10.0.2.0 * 255.255.255.0 U 0 0 0 eth2
10.0.3.0 * 255.255.255.0 U 0 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth0
default 248-65.umostel. 0.0.0.0 UG 100 0 0 eth0

k4m454k
(07.08.09 20:18:50 MSD) автор топика

Ссылка

> -A POSTROUTING -p tcp -s 10.0.3.0/24 -o eth0 -j

Отмени все в iptables, выставь -P ... ACCEPT
и добавь одно правило
iptable -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Если не работает у клиента по IP (может у тебя с ДНС еще проблемы) и ip_forward так таки == 1, то внимательно смотри раутинг на клиенте и может твой провайдер еще фигней мается и "не разрешает" NAT

~~sdio~~ ★★★★★
(07.08.09 20:53:46 MSD)

Ответ на: комментарий от sdio 07.08.09 20:53:46 MSD

тоесть всё, из цепочки POSTROUTING я удаляю и ставлю правило с маскарадом? о_О С ДНС всё ок.. проверено. Сервер же резолвит адерса, а клиенты к тому же ДНС обращаются...

k4m454k
(07.08.09 20:56:12 MSD) автор топика

Ответ на: комментарий от k4m454k 07.08.09 20:56:12 MSD

> тоесть всё, из цепочки POSTROUTING я удаляю и ставлю правило с маскарадом?

Да и вообще все правила удали, у тебя все-равно политика по-умолчанию ACCEPT

~~sdio~~ ★★★★★
(07.08.09 21:01:38 MSD)

Ответ на: комментарий от sdio 07.08.09 21:01:38 MSD

Спасибо, завтра на работе проверю. Если что, снова напишу )

k4m454k
(07.08.09 21:31:27 MSD) автор топика

Ссылка

А сервер прописан на клиентах в качестве дефолтного шлюза?

nnz ★★★★
(08.08.09 04:52:15 MSD)

Ответ на: комментарий от nnz 08.08.09 04:52:15 MSD

да. по dhcp раздаётся)

k4m454k
(08.08.09 12:56:06 MSD) автор топика

Ссылка

Ответ на: комментарий от sdio 07.08.09 21:01:38 MSD

Спасибо

Всё заработало. Спасибо, теперь буду уж нормальные правила писать... Кстати, как ограничить торренты?

k4m454k
(08.08.09 15:52:49 MSD) автор топика

Ответ на: Спасибо от k4m454k 08.08.09 15:52:49 MSD

А как их нужно ограничить? Запретить? Или канал урезать?

nnz ★★★★
(08.08.09 16:01:36 MSD)

Ответ на: комментарий от nnz 08.08.09 16:01:36 MSD

Вообще бы запретить. А если знаете как урезать, тоже скажите, на аське отыграюсь, чтобы файлы не слишком кидали.

k4m454k
(08.08.09 19:31:17 MSD) автор топика

Ответ на: комментарий от k4m454k 08.08.09 19:31:17 MSD

В xtables-addons есть критерий ipp2p для iptables.
apt-get install xtables-addons-source
cd /usr/src/
tar xjvf xtables-addons.tar.bz2
m-a a-i xtables-addons-source
dpkg -i xtables-addons-modules*.deb # Не помню, обязательно ли это

После этого
iptables -I FORWARD -p tcp -m ipp2p --bit -j DROP
iptables -I FORWARD -p udp -m ipp2p --bit -j DROP

Насчет резать скорость - это придется мозгами пошевелить. В двух словах это не расскажешь http://lartc.org/howto/
Хотя, конечно, можно банальный hashlimit сделать.

nnz ★★★★
(09.08.09 00:01:25 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	2 провайдера, на одном не работает нат

Admin

[archlinux] версии пакетов

→

Спасибо

Похожие темы