nat на iptables

Прежде сделай на вм3 и вм6: sysctl -w net.ipv4.ip_forward=1

потом будешь возиться с iptables.

Спасибо за ответ Сделал, но все так же, host unreachable

Попытался вот так, тоже не помогло: iptables -t nat -A POSTROUTING -o enp0s8 -j SNAT --to-source 10.10.0.2 вм3 iptables -t nat -A POSTROUTING -o enp0s8 -j SNAT --to-source 10.10.0.1 вм6

iptables это пакетный фильтр, маршрутизацией он не занимается. Покажите вывод с обоих маршрутизаторов:

ip a
ip r
ip ru
sysctl net.ipv4.ip_forward
sudo iptables-save

https://cdn1.savepice.ru/uploads/2019/1/27/ab26d283aecd3eb3f678ca0319f13ffd-f... - вм3 https://cdn1.savepice.ru/uploads/2019/1/27/adbbd680bb6fa8a9c6742e15b22be2aa-f... вм6 пока вот без iptables

ip_forward на обоих = 1

вм3: # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019 *nat :PREROUTING ACCEPT [1790:381118] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT_direct - [0:0] :POSTROUTING_ZONES - [0:0] :POSTROUTING_ZONES_SOURCE - [0:0] :POSTROUTING_direct - [0:0] :POST_public - [0:0] :POST_public_allow - [0:0] :POST_public_deny - [0:0] :POST_public_log - [0:0] :PREROUTING_ZONES - [0:0] :PREROUTING_ZONES_SOURCE - [0:0] :PREROUTING_direct - [0:0] :PRE_public - [0:0] :PRE_public_allow - [0:0] :PRE_public_deny - [0:0] :PRE_public_log - [0:0] -A PREROUTING -j PREROUTING_direct -A PREROUTING -j PREROUTING_ZONES_SOURCE -A PREROUTING -j PREROUTING_ZONES -A OUTPUT -j OUTPUT_direct -A POSTROUTING -j POSTROUTING_direct -A POSTROUTING -j POSTROUTING_ZONES_SOURCE -A POSTROUTING -j POSTROUTING_ZONES -A POSTROUTING_ZONES -o enp0s8 -g POST_public -A POSTROUTING_ZONES -o enp0s3 -g POST_public -A POSTROUTING_ZONES -g POST_public -A POST_public -j POST_public_log -A POST_public -j POST_public_deny -A POST_public -j POST_public_allow -A PREROUTING_ZONES -i enp0s8 -g PRE_public -A PREROUTING_ZONES -i enp0s3 -g PRE_public -A PREROUTING_ZONES -g PRE_public -A PRE_public -j PRE_public_log -A PRE_public -j PRE_public_deny -A PRE_public -j PRE_public_allow COMMIT # Completed on Sun Jan 27 11:07:15 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019 *mangle :PREROUTING ACCEPT [1790:381118] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :FORWARD_direct - [0:0] :INPUT_direct - [0:0] :OUTPUT_direct - [0:0] :POSTROUTING_direct - [0:0] :PREROUTING_ZONES - [0:0] :PREROUTING_ZONES_SOURCE - [0:0] :PREROUTING_direct - [0:0] :PRE_public - [0:0] :PRE_public_allow - [0:0] :PRE_public_deny - [0:0] :PRE_public_log - [0:0] -A PREROUTING -j PREROUTING_direct -A PREROUTING -j PREROUTING_ZONES_SOURCE -A PREROUTING -j PREROUTING_ZONES -A INPUT -j INPUT_direct -A FORWARD -j FORWARD_direct -A OUTPUT -j OUTPUT_direct -A POSTROUTING -j POSTROUTING_direct -A PREROUTING_ZONES -i enp0s8 -g PRE_public -A PREROUTING_ZONES -i enp0s3 -g PRE_public -A PREROUTING_ZONES -g PRE_public -A PRE_public -j PRE_public_log -A PRE_public -j PRE_public_deny -A PRE_public -j PRE_public_allow COMMIT # Completed on Sun Jan 27 11:07:15 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019 *security :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :FORWARD_direct - [0:0] :INPUT_direct - [0:0] :OUTPUT_direct - [0:0] -A INPUT -j INPUT_direct -A FORWARD -j FORWARD_direct -A OUTPUT -j OUTPUT_direct COMMIT # Completed on Sun Jan 27 11:07:15 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019 *raw :PREROUTING ACCEPT [1790:381118] :OUTPUT ACCEPT [0:0] :OUTPUT_direct - [0:0] :PREROUTING_ZONES - [0:0] :PREROUTING_ZONES_SOURCE - [0:0] :PREROUTING_direct - [0:0] :PRE_public - [0:0] :PRE_public_allow - [0:0] :PRE_public_deny - [0:0] :PRE_public_log - [0:0] -A PREROUTING -j PREROUTING_direct -A PREROUTING -j PREROUTING_ZONES_SOURCE -A PREROUTING -j PREROUTING_ZONES -A OUTPUT -j OUTPUT_direct -A PREROUTING_ZONES -i enp0s8 -g PRE_public -A PREROUTING_ZONES -i enp0s3 -g PRE_public -A PREROUTING_ZONES -g PRE_public -A PRE_public -j PRE_public_log -A PRE_public -j PRE_public_deny -A PRE_public -j PRE_public_allow COMMIT # Completed on Sun Jan 27 11:07:15 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :FORWARD_IN_ZONES - [0:0] :FORWARD_IN_ZONES_SOURCE - [0:0] :FORWARD_OUT_ZONES - [0:0] :FORWARD_OUT_ZONES_SOURCE - [0:0] :FORWARD_direct - [0:0] :FWDI_public - [0:0] :FWDI_public_allow - [0:0] :FWDI_public_deny - [0:0] :FWDI_public_log - [0:0] :FWDO_public - [0:0] :FWDO_public_allow - [0:0] :FWDO_public_deny - [0:0] :FWDO_public_log - [0:0] :INPUT_ZONES - [0:0] :INPUT_ZONES_SOURCE - [0:0] :INPUT_direct - [0:0] :IN_public - [0:0] :IN_public_allow - [0:0] :IN_public_deny - [0:0] :IN_public_log - [0:0] :OUTPUT_direct - [0:0] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j INPUT_direct -A INPUT -j INPUT_ZONES_SOURCE -A INPUT -j INPUT_ZONES -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -j FORWARD_direct -A FORWARD -j FORWARD_IN_ZONES_SOURCE -A FORWARD -j FORWARD_IN_ZONES -A FORWARD -j FORWARD_OUT_ZONES_SOURCE -A FORWARD -j FORWARD_OUT_ZONES -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A OUTPUT -j OUTPUT_direct -A FORWARD_IN_ZONES -i enp0s8 -g FWDI_public -A FORWARD_IN_ZONES -i enp0s3 -g FWDI_public -A FORWARD_IN_ZONES -g FWDI_public -A FORWARD_OUT_ZONES -o enp0s8 -g FWDO_public -A FORWARD_OUT_ZONES -o enp0s3 -g FWDO_public -A FORWARD_OUT_ZONES -g FWDO_public -A FWDI_public -j FWDI_public_log -A FWDI_public -j FWDI_public_deny -A FWDI_public -j FWDI_public_allow -A FWDI_public -p icmp -j ACCEPT -A FWDO_public -j FWDO_public_log -A FWDO_public -j FWDO_public_deny -A FWDO_public -j FWDO_public_allow -A INPUT_ZONES -i enp0s8 -g IN_public -A INPUT_ZONES -i enp0s3 -g IN_public -A INPUT_ZONES -g IN_public -A IN_public -j IN_public_log -A IN_public -j IN_public_deny -A IN_public -j IN_public_allow -A IN_public -p icmp -j ACCEPT -A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT COMMIT # Completed on Sun Jan 27 11:07:15 2019

вм6: # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:32 2019 *nat :PREROUTING ACCEPT [1158:247118] :INPUT ACCEPT [1:84] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT_direct - [0:0] :POSTROUTING_ZONES - [0:0] :POSTROUTING_ZONES_SOURCE - [0:0] :POSTROUTING_direct - [0:0] :POST_public - [0:0] :POST_public_allow - [0:0] :POST_public_deny - [0:0] :POST_public_log - [0:0] :PREROUTING_ZONES - [0:0] :PREROUTING_ZONES_SOURCE - [0:0] :PREROUTING_direct - [0:0] :PRE_public - [0:0] :PRE_public_allow - [0:0] :PRE_public_deny - [0:0] :PRE_public_log - [0:0] -A PREROUTING -j PREROUTING_direct -A PREROUTING -j PREROUTING_ZONES_SOURCE -A PREROUTING -j PREROUTING_ZONES -A OUTPUT -j OUTPUT_direct -A POSTROUTING -j POSTROUTING_direct -A POSTROUTING -j POSTROUTING_ZONES_SOURCE -A POSTROUTING -j POSTROUTING_ZONES -A POSTROUTING_ZONES -o enp0s8 -g POST_public -A POSTROUTING_ZONES -o enp0s3 -g POST_public -A POSTROUTING_ZONES -g POST_public -A POST_public -j POST_public_log -A POST_public -j POST_public_deny -A POST_public -j POST_public_allow -A PREROUTING_ZONES -i enp0s8 -g PRE_public -A PREROUTING_ZONES -i enp0s3 -g PRE_public -A PREROUTING_ZONES -g PRE_public -A PRE_public -j PRE_public_log -A PRE_public -j PRE_public_deny -A PRE_public -j PRE_public_allow COMMIT # Completed on Sun Jan 27 11:07:32 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:32 2019 *mangle :PREROUTING ACCEPT [1159:247202] :INPUT ACCEPT [2:168] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5:504] :POSTROUTING ACCEPT [5:504] :FORWARD_direct - [0:0] :INPUT_direct - [0:0] :OUTPUT_direct - [0:0] :POSTROUTING_direct - [0:0] :PREROUTING_ZONES - [0:0] :PREROUTING_ZONES_SOURCE - [0:0] :PREROUTING_direct - [0:0] :PRE_public - [0:0] :PRE_public_allow - [0:0] :PRE_public_deny - [0:0] :PRE_public_log - [0:0] -A PREROUTING -j PREROUTING_direct -A PREROUTING -j PREROUTING_ZONES_SOURCE -A PREROUTING -j PREROUTING_ZONES -A INPUT -j INPUT_direct -A FORWARD -j FORWARD_direct -A OUTPUT -j OUTPUT_direct -A POSTROUTING -j POSTROUTING_direct -A PREROUTING_ZONES -i enp0s8 -g PRE_public -A PREROUTING_ZONES -i enp0s3 -g PRE_public -A PREROUTING_ZONES -g PRE_public -A PRE_public -j PRE_public_log -A PRE_public -j PRE_public_deny -A PRE_public -j PRE_public_allow COMMIT # Completed on Sun Jan 27 11:07:32 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:32 2019 *security :INPUT ACCEPT [2:168] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5:504] :FORWARD_direct - [0:0] :INPUT_direct - [0:0] :OUTPUT_direct - [0:0] -A INPUT -j INPUT_direct -A FORWARD -j FORWARD_direct -A OUTPUT -j OUTPUT_direct COMMIT # Completed on Sun Jan 27 11:07:32 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:32 2019 *raw :PREROUTING ACCEPT [1159:247202] :OUTPUT ACCEPT [5:504] :OUTPUT_direct - [0:0] :PREROUTING_ZONES - [0:0] :PREROUTING_ZONES_SOURCE - [0:0] :PREROUTING_direct - [0:0] :PRE_public - [0:0] :PRE_public_allow - [0:0] :PRE_public_deny - [0:0] :PRE_public_log - [0:0] -A PREROUTING -j PREROUTING_direct -A PREROUTING -j PREROUTING_ZONES_SOURCE -A PREROUTING -j PREROUTING_ZONES -A OUTPUT -j OUTPUT_direct -A PREROUTING_ZONES -i enp0s8 -g PRE_public -A PREROUTING_ZONES -i enp0s3 -g PRE_public -A PREROUTING_ZONES -g PRE_public -A PRE_public -j PRE_public_log -A PRE_public -j PRE_public_deny -A PRE_public -j PRE_public_allow COMMIT # Completed on Sun Jan 27 11:07:32 2019 # Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:32 2019 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [5:504] :FORWARD_IN_ZONES - [0:0] :FORWARD_IN_ZONES_SOURCE - [0:0] :FORWARD_OUT_ZONES - [0:0] :FORWARD_OUT_ZONES_SOURCE - [0:0] :FORWARD_direct - [0:0] :FWDI_public - [0:0] :FWDI_public_allow - [0:0] :FWDI_public_deny - [0:0] :FWDI_public_log - [0:0] :FWDO_public - [0:0] :FWDO_public_allow - [0:0] :FWDO_public_deny - [0:0] :FWDO_public_log - [0:0] :INPUT_ZONES - [0:0] :INPUT_ZONES_SOURCE - [0:0] :INPUT_direct - [0:0] :IN_public - [0:0] :IN_public_allow - [0:0] :IN_public_deny - [0:0] :IN_public_log - [0:0] :OUTPUT_direct - [0:0] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j INPUT_direct -A INPUT -j INPUT_ZONES_SOURCE -A INPUT -j INPUT_ZONES -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -j FORWARD_direct -A FORWARD -j FORWARD_IN_ZONES_SOURCE -A FORWARD -j FORWARD_IN_ZONES -A FORWARD -j FORWARD_OUT_ZONES_SOURCE -A FORWARD -j FORWARD_OUT_ZONES -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A OUTPUT -j OUTPUT_direct -A FORWARD_IN_ZONES -i enp0s8 -g FWDI_public -A FORWARD_IN_ZONES -i enp0s3 -g FWDI_public -A FORWARD_IN_ZONES -g FWDI_public -A FORWARD_OUT_ZONES -o enp0s8 -g FWDO_public -A FORWARD_OUT_ZONES -o enp0s3 -g FWDO_public -A FORWARD_OUT_ZONES -g FWDO_public -A FWDI_public -j FWDI_public_log -A FWDI_public -j FWDI_public_deny -A FWDI_public -j FWDI_public_allow -A FWDI_public -p icmp -j ACCEPT -A FWDO_public -j FWDO_public_log -A FWDO_public -j FWDO_public_deny -A FWDO_public -j FWDO_public_allow -A INPUT_ZONES -i enp0s8 -g IN_public -A INPUT_ZONES -i enp0s3 -g IN_public -A INPUT_ZONES -g IN_public -A IN_public -j IN_public_log -A IN_public -j IN_public_deny -A IN_public -j IN_public_allow -A IN_public -p icmp -j ACCEPT -A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT COMMIT # Completed on Sun Jan 27 11:07:32 2019

Оформите с тегом code пожалуйста. Так невозможно читать. И ссылки на картинки у меня umatrix все почикал, можно на другой хостинг выложить?

Откройте пожалуйста форму добавления комментария на форум и прочтите:
Пустая строка (два раза Enter) начинает новый абзац. Знак '>' в начале абзаца выделяет абзац курсивом цитирования.
Внимание: прочитайте описание разметки LORCODE

Вот откройте эту ссылку и прочтите, там расписано как оформлять текст на форуме, для этого применяются теги [[]][[/]] в квадратных скобках.

И пожалуйста, прежде чем нажать кнопку «Поместить» нажмите кнопку «Предпросмотр» и удостоверьтесь, что ваше сообщение будет правильно выглядеть и читаться.

Подскажу, вам не нужен тег [br], есть другой парный тег, который позволит правильно разместить вывод, что бы он не разъезжался, таких тега даже два.

У меня открывается, отключи свой umatrix.

Как видишь, там ссылка прямо на PNG файл, никакой рекламы там нет, так что настраивай.

вм3

# Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019
*nat
:PREROUTING ACCEPT [1790:381118]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o enp0s8 -g POST_public
-A POSTROUTING_ZONES -o enp0s3 -g POST_public
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -i enp0s8 -g PRE_public
-A PREROUTING_ZONES -i enp0s3 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sun Jan 27 11:07:15 2019
# Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019
*mangle
:PREROUTING ACCEPT [1790:381118]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i enp0s8 -g PRE_public
-A PREROUTING_ZONES -i enp0s3 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sun Jan 27 11:07:15 2019
# Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019
*security
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Sun Jan 27 11:07:15 2019
# Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019
*raw
:PREROUTING ACCEPT [1790:381118]
:OUTPUT ACCEPT [0:0]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i enp0s8 -g PRE_public
-A PREROUTING_ZONES -i enp0s3 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sun Jan 27 11:07:15 2019
# Generated by iptables-save v1.4.21 on Sun Jan 27 11:07:15 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j OUTPUT_direct
-A FORWARD_IN_ZONES -i enp0s8 -g FWDI_public
-A FORWARD_IN_ZONES -i enp0s3 -g FWDI_public
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -o enp0s8 -g FWDO_public
-A FORWARD_OUT_ZONES -o enp0s3 -g FWDO_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDI_public -p icmp -j ACCEPT
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -i enp0s8 -g IN_public
-A INPUT_ZONES -i enp0s3 -g IN_public
-A INPUT_ZONES -g IN_public
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public -p icmp -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Sun Jan 27 11:07:15 2019

вм6

Вот через другой хостинг: https://i.ibb.co/H7ThQ12/ip.png вм6 https://i.ibb.co/s5Ytjs1/ip.png вм3

Объясни зачем ты так много всего сюда написал?

Для NAT достаточно всего вот таких правил:

# Generated by iptables-save v1.4.21 on Sun Jan 27 19:48:16 2019
*nat
:PREROUTING ACCEPT [60031:3499309]
:INPUT ACCEPT [560:162916]
:OUTPUT ACCEPT [477:50907]
:POSTROUTING ACCEPT [432:43726]
-A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Jan 27 19:48:16 2019

Как видите я попросил вывод консольных команд, который можно поместить в стандартное сообщение на форуме. Непонятные файлы с левого хостинга окрывать нет никакого желания. Раз у вас открываются - вы и разбирайтесь с проблемой топикстартера.

А как правильно прописать? Еще бы чтобы можно было увидеть маршруты через traceroute Подскажите, как, пожалуйста Пытался настроить по похожим темам в форуме ctrl+c, crtl+v..

ладно вам, это я косячник, не ругайтесь(

Ну понятно, что по проблеме ничего, сразу как страус голову в песок.

По поводу непонятных фалов, повторяю, у ТС указана ссылка сразу на файл изображения, а не на HTML страницу, в которую может быть встроена реклама.

Маршруты прописываются с помощью утилиты route или ip route, route устаревшая, в случае утилиты ip примерно ват такие команды:

echo 1 > /proc/sys/net/ipv4/ip_forward
ip route add 192.168.x.x/24 via 192.168.x.x

echo 1 > /proc/sys/net/ipv4/ip_forward
ip route add 192.168.y.y/24 via 192.168.y.y

Вот так должно работать даже без NAT, если других блокирующих правил в iptables нет.

Для роутера в 11 подсети:

sudo ip route add 192.168.10.0/24 dev enp0s8

sudo ip route add 192.168.11.0/24 dev enp0s8

Спасибо большое за помощь. Но доступа все равно нет(

Вывод с вм3:

ip route list
192.168.11.0/24 dev enp0s8 scope link

Вывод с вм6:

ip route list
192.168.10.0/24 dev enp0s8 scope link

Как организована сеть, как на схеме?

Или все системы подключены к одному физическому каналу?

В виртуальных машинах выставлены сетевые адаптеры мосты. Если делать пинг внутри сети, то узлы доступны, например с 192.168.10.2 пинг до 192.168.10.3 проходит (но до 192.168.11.2 уже нет). Вот пример настройки одной из клиентских вм (enp0s3):

IPADDR=192.168.10.2
NETMASK=255.255.255.128
GATEWAY=192.168.10.1

А вот вм из другой сети:

IPADDR=192.168.11.2
NETMASK=255.255.255.192
GATEWAY=192.168.11.1

Сеть организована как на схеме - 6 ВМ, 2 из них - МЭ (шлюзы)

При такой схеме

-----------------                   ------------------
  Сеть 1                                     Сеть 2
ВМ1 --- |                                   | --- ВМ5
        |                                   |
        |--- ВМ3 ----- Сеть 3 ----- ВМ4 --- |
        |                                   |
ВМ1 --- |                                   | --- ВМ6

Далее, если IP адреса шлюзов в сети 3 имеют IP адрес 1 и 2, то на шлюзе ВМ3 нужно прописать маршрут:

ip r a Сеть2/16 via сеть3.2

ip r a Сеть1/16 via сеть3.1

echo 1 > /proc/sys/net/ipv4/ip_forward

Спасибо вам большое за детальное пояснение и углубление в проблему! Да все верно, для вм3 и вм4 как у вас на схеме я добавил по два сетевых адаптера.

Почему у вас в команде маска 16?

Должна быть 24, неправильно написал.

По вашей схеме: вм3: enp0s3

IPADDR=192.168.10.1
NETMASK=255.255.255.128

enp0s8

IPADDR=10.10.0.1
NETMASK=255.255.255.128

вм4:

enp0s3

IPADDR=192.168.11.1
NETMASK=255.255.255.192

enp0s8

IPADDR=10.10.0.2
NETMASK=255.255.255.192

Правильно ли будет настройка вот такой командой:

вм3:

ip route add 10.10.0.2/16 via 10.10.0.1

вм4:

ip route add 10.10.0.1/16 via 10.10.0.2

?

Анонимус, как с вами можно связаться и поблагодарить вас за потраченное время?

вм3:

ip route add 192.168.11.0/26 via 10.10.0.2

ip route add 192.168.10.0/25 via 10.10.0.1

Блин( На эти команды выводит:

network is unreachable

10.0.0.1 и 10.0.0.2 пингуют сами себя?

Выстави маски 24 и 255.255.255 и в командах тоже.

Интерфейсы из сети 10.10.0.0 подняты когда ты добавляешь маршруты?

Да,через ip addr показывает их

Маски выставить для шлюзов обоих только? для клиентов не менять?

Из 10.10.0.1 пинг до 10.10.0.2 не доходит Соответственно наоборот тоже (

Они подняты или нет?

С 10.10.0.1 пингуется 10.10.0.2 и обратно или нет?

В ip addr показывается что назначены IP адреса и состояние интерфейса.

Сделай что б доходило, удостоверься что они подключены к одному физическому каналу.

И подними интерфейсы, если они опущены:

ip l s up dev имя_интерфейса

Оба интерфейса подняты, но пинг так и не проходит( шлюзы не видят друг, друга(

с 10.10.0.1 до 10.10.0.2 не проходит

Значит они подключены к разным каналам передачи данных, удостоверься что ты сделал bridge, если они в bridge режиме к правильным адаптерам.

В общем, если они подняты и не пингуются, то либо ты намудрил с правилами iptables, либо сейчас нет прямой связи по проводам, пусть и виртуальным между интерфейсами на которых назначены IP адреса из сети 10.10.0.0.

Разбирайся что бы видели.

Спасибо за помощь, приятно встретить таких людей как вы! Да, буду разбираться дальше сам

Сделайте на роутерах так:

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 nat FORWARD 0 -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
sudo systemctl restart firewalld.service

ping -I enp0s8 10.10.0.1

Простите, но я уже полностью отключал firewalld(

systemctl disable firewalld
systemctl stop firewalld

Ну как бы обратно тоже две строчки включают. Без него пинги ходят?

И правильно, перезагрузись что бы очистились созданные ими правила.

И покажи после перезагрузки вывод

iptables-save

Зачем его включать?

А так, обмен пакетами пойдёт с интерфейса, где есть connected сеть, т.е. таже самая сеть, в которую пойдёт пакет.

iptables пустой, вычищал командами

iptables -F
iptables -X
iptables -t nat -F

После выключения firewalld так же нет пинга(