не работает NAT

то есть в тексте правила iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o enp2s2 -j SNAT --to-source внешний_провайдерский_ip вместо SNAT --to-source внешний_провайдерский_ip я вписываю MASQUERADE и оно должно заработать?

то есть можно просто указать имя интерфейса смотрящего в инет и не указывать его IP, если его нет?

Да, можно даже не указывать имя внешнего интерфейса.

Ну интерфейс все-таки лучше указывать, а то так можно много чего «намаскарадить».

Если интерфейсов всего два, то можно не указывать.

Тоже не верно, а вдруг dnat, а вдруг из локалки прова чего-то прилетело... много можно «вдруг» придумать.

В таком случае в локалке прова должна быть такая же адресация как и на внутренней сети за шлюзом, а а внешний интерфейс шлюза добавлена маршрутизация для это сети.

Ибо правило NAT`а пишется с указанием адреса внутренней сети:

iptables -t nat -A POSTROUTING -s local_nat/mask -j MASQUERADE

Либо с указанием интерфейсов:

iptables -t nat -i INPUT_IF -o OUTPUT_IF -j MASQUERADE

корочеща проблема не настроить сеть, а установить Debian Net-Install, который не понимает что за него всё делает радиомодем и твёрдо требует себе IP-адрес, без которого отказывается видеть сеть.

Что за радиомодем? Если это USB устройство и на нём не должно быть IP адреса, то посмотри какие параметры в таблице маршрутизации выставляются после подключения через него на другой Linux системе, затем запусти установщик Debian, настрой сеть в ручную на локальном интерфейса с указанием IP, шлюза и DNS, затем подключи модем, сделай необходимые настройки для его работы, после чего в ручную измени таблицу маршрутизации, что бы всё работало через модем.

Но можно и

iptables -t nat -A POSTROUTING  -j MASQUERADE

Это модем а-ля WiMAX-роутер, который и DHCP-сервер, и DNS-сервер и пр... Только Дебиан-нет-инсталл, не может получить с него настройки сети, а без зеркала сетевого - инсталлиться не желает... Хотя машина под виндой, подключенная к этому роутеру - махом цепляет все сетевые настройки и норм работает... Винда - это карма моя :-(

а так ли уж нужен транзит? Не обойдётся разве простым разрешением всего трафика lo и сетевухи, что в локалку смотрит?

не увидел этого сообщения. Не путайте транзитный траф. с остальным. А как тогда пакеты из локалки через шлюз пройдут. С учетом того что политика по умолчанию в цепочке Forward дроп.

У вас вот есть правила:

iptables -A INPUT -i enp2s1 -j ACCEPT
iptables -A OUTPUT -o enp2s1 -j ACCEPT

что по вашему они разрешают? NAT то заработал или нет?

с NATом ещё не получилось проверить... комп-шлюз пришлось менять. Новую машину сейчас собираю, потестю часок-другой и буду заново инсталлить, вбивать список правил... Напрягает малость что Дебиан нет-инсталловский не хочет есть настройки по DHCP. Ещё и с этим ковыряться...

Что хоть за устройство-то? Скорее всего, что бы он работал в Linux нужно выполнить некоторые действия, а в netinstall нет нужных для этого компонентов.

Напиши что за устройство, подумаем что для него нужно сделать.

А так, Debian можно ставить посредством Debootstrap: https://wiki.debian.org/ru/Debootstrap из любого дистрибутива, где есть apt и deb и где работает твой модем.

Ну либо ставь не с Netinstall.

Huawei B593s-601 WLAN+LTE modem

Так, если это роутер и Linux не получает IP по DHCP, когда подключение по Ethernet, т.е. по проводу, то это странно, но можно параметры сети и руками выставить, IP шлюза и IP адрес можно и так вбить, да и DNS, в чём проблема-то?

по DHCP Линукс не получает настройки от роутера. На роутере и DHCP и DNS подняты. Вбиваю руками параметры - вроде инсталлер их принимает, но зеркало пакетов не видит.

Проверь пинг с консоли до шлюза, до 8.8.8.8.

Что выводится в dmesg?

Ну и можно всё же ставить не с нетинсталл, а полноценного LiveCD или установочного диска с пакетами для базовой системы.

с роутером разобрался уже. Ставится система.

итак, пришли к тому же, с чего начинали: NAT не работает. Шлюз видит интернет, видит локальную сеть. Пинги хотя туда-сюда. Локальная сеть не видит ничего. Только друг-друга. Пинги до шлюза не идут. Инета, есессно, тоже нет. Поскольку шлюз получает настройки интернета от DHCP поднятого на роутере, команда SNAT была заменена на MASQUERADE, при этом получилось: # NAT iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o enp2s2 -j MASQUERADE

Сетевой интерфейс смотрящий со шлюза в локалку, имеет настройки: ip-адрес: 192.168.1.9 и маску 255.255.255.0

Сетевой интерфейс в локальной сети, смотрящий на шлюз, имеет настройки: ip-адрес: 192.168.1.4, маску 255.255.255.0, и DNS 192.168.1.1

пробовал убирать в начале списка правила на всеобщий DROP - не помогло. Поскольку локалка не может даже пинговать шлюз, подозреваю что где-то что-то заблочено. Но не могу понять что и где...

Разрешил вообще всё - не работает... Значит таки NAT.

Плохо, что на двух интерфейсах смотрящих физически в разные сети IP адреса реально из одной сети. Меняй адресацию либо там либо там.

ЗАРАБОТАЛО!!!

пишу уже из-под NATа :-)

Большое спасибо за помощь :-)

Не за что. Сменил IP адрес?

да

https://ru.wikipedia.org/wiki/Shorewall