LINUX.ORG.RU
решено ФорумAdmin

nat iptables на CentOS

 , , ,


0

2

Прошу помощи у знатоков iptables. Не получается поднять nat. Перечитал несколько инструкций, перелазил кучу форумов но все это у меня не работает. ЧЯДНТ? Не исключаю вариант своей криворукости. Объясните пожалуйста чайнику, как поднять nat.

Ответ на: комментарий от Stormbox
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE

наверно так если ip адрес статический на eth2, то надо SNAT

ving2
()
Ответ на: комментарий от Stormbox

10.27.0.0/16 dev eth2 proto kernel scope link src 10.27.40.6
10.27.0.0/16 dev eth1 proto kernel scope link src 10.27.3.3

У вас сети на eth1 и eth2 конфликтуют, меняйте маску или метрику.

Вставляйте в /etc/sysconfig/iptables:

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth2 -s 192.168.1.0/24 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -o eth2 -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

И перезапускайте сервис iptables.

ArcFi
()
Ответ на: комментарий от ArcFi

на eth1 не смотрите - он не используется пока, eth2 уходит на внешнюю сеть, eth0 - в локалку. И между ними нужно поднять nat, что б компы из eth0 ходили в интернет в eth2.

Stormbox
() автор топика
Ответ на: комментарий от Stormbox

он не используется пока

Но в таблице маршрутизации висит, а это уже нехорошо.

ArcFi
()
Ответ на: комментарий от Stormbox

на eth1 не смотрите - он не используется пока

видно что он в дауне. Впринципе дали рабочий вариант, не работает?

ving2
()
Ответ на: комментарий от ving2

Работает. Суть вот в чем: В данный момент я этот файрволл тестирую в офисной сети, он подключен как шлюз между одним компом и офисной сетью. Вариант рабочий, в офисную сеть я выхожу, но интернет на компе не поднялся. Если я правильно понимаю - нужно открыть 53 порт, чтоб iptables увидел наш DNS сервер и тогда должен заработать инет. Я прав?

Stormbox
() автор топика
Ответ на: комментарий от Stormbox

Всем спасибо огромное за помощь! Разобрался. Открыл порты DNS сервера и инет тоже завелся. Считаю тему закрытой.

Stormbox
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.