nat iptables на CentOS

0

2

Прошу помощи у знатоков iptables. Не получается поднять nat. Перечитал несколько инструкций, перелазил кучу форумов но все это у меня не работает. ЧЯДНТ? Не исключаю вариант своей криворукости. Объясните пожалуйста чайнику, как поднять nat.

Ссылка

←	OpenLdap не проходит авторизацию.

От openwrt нужно направить пакеты к шлюзу по умолчанию которым является не сам роутер

→

Скидывайте на https://paste.fedoraproject.org/:

# ip a; ip r; sysctl net.ipv4.ip_forward; iptables-save

ArcFi ★
(27.10.16 11:04:56 MSK)

Ответ на: комментарий от ArcFi 27.10.16 11:04:56 MSK

https://paste.fedoraproject.org/461690/56961147/

А правил нет. Т.к. ничего не работает, я их подчистил, что б попробовать еще раз.

Stormbox
(27.10.16 11:30:40 MSK) автор топика

Ответ на: комментарий от Stormbox 27.10.16 11:30:40 MSK

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE

наверно так если ip адрес статический на eth2, то надо SNAT

ving2 ★
(27.10.16 12:06:26 MSK)

Ссылка

Ответ на: комментарий от Stormbox 27.10.16 11:30:40 MSK

10.27.0.0/16 dev eth2 proto kernel scope link src 10.27.40.6
10.27.0.0/16 dev eth1 proto kernel scope link src 10.27.3.3

У вас сети на eth1 и eth2 конфликтуют, меняйте маску или метрику.

Вставляйте в /etc/sysconfig/iptables:

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth2 -s 192.168.1.0/24 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -o eth2 -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

И перезапускайте сервис iptables.

ArcFi ★
(27.10.16 12:20:50 MSK)

Ответ на: комментарий от ArcFi 27.10.16 12:20:50 MSK

на eth1 не смотрите - он не используется пока, eth2 уходит на внешнюю сеть, eth0 - в локалку. И между ними нужно поднять nat, что б компы из eth0 ходили в интернет в eth2.

Stormbox
(27.10.16 12:27:23 MSK) автор топика

Ответ на: комментарий от Stormbox 27.10.16 12:27:23 MSK

он не используется пока

Но в таблице маршрутизации висит, а это уже нехорошо.

ArcFi ★
(27.10.16 12:33:16 MSK)

Ссылка

Ответ на: комментарий от Stormbox 27.10.16 12:27:23 MSK

на eth1 не смотрите - он не используется пока

видно что он в дауне. Впринципе дали рабочий вариант, не работает?

ving2 ★
(27.10.16 12:33:36 MSK)

Ответ на: комментарий от ving2 27.10.16 12:33:36 MSK

Работает. Суть вот в чем: В данный момент я этот файрволл тестирую в офисной сети, он подключен как шлюз между одним компом и офисной сетью. Вариант рабочий, в офисную сеть я выхожу, но интернет на компе не поднялся. Если я правильно понимаю - нужно открыть 53 порт, чтоб iptables увидел наш DNS сервер и тогда должен заработать инет. Я прав?

Stormbox
(27.10.16 12:50:56 MSK) автор топика

Ответ на: комментарий от Stormbox 27.10.16 12:50:56 MSK

Всем спасибо огромное за помощь! Разобрался. Открыл порты DNS сервера и инет тоже завелся. Считаю тему закрытой.

Stormbox
(27.10.16 12:55:28 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenLdap не проходит авторизацию.

Admin

От openwrt нужно направить пакеты к шлюзу по умолчанию которым является не сам роутер

→

Похожие темы