LINUX.ORG.RU
ФорумAdmin

Проблемы с NAT


0

0

Здравствуйте.

Есть сеть:

                          |-vlan3 (192.168.99.0/30) -- nat1 -- клиенты
dhcp inet --- vlan2 -nat0-+
                          |-eth0 (192.168.99.4/30) -- nat2 -- клиенты
Проблема возникает с nat0. На vlan2 периодически проскакивают пакеты: tcpdump -i vlan2:
tcpdump: listening on vlan2, link-type EN10MB (Ethernet), capture size 1300 bytes
15:02:33.760882 00:e0:4d:47:8b:a1 > 00:1d:71:9b:c1:c0, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 47171, offset 0, flags [DF], proto TCP (6), length 52) [b]192.168.99.6.40030[/b] > 74.125.39.189.443: F, cksum 0x05d2 (correct), 3522747505:3522747505(0) ack 1108280782 win 108 <nop,nop,timestamp 237777 234723170>
	0x0000:  4500 0034 b843 4000 3f06 ed97 c0a8 6306
	0x0010:  4a7d 27bd 9c5e 01bb d1f8 dc71 420f 05ce
	0x0020:  8011 006c 05d2 0000 0101 080a 0003 a0d1
	0x0030:  0dfd 9762
И на другие адреса тоже... Главное что с 192.168.99.6 (это железка wrt54g c прошивкой dd-wrt)

В результате чего, провайдер блокирует меня на порту коммутатора на некоторое время (так как увидел там не понятный для него адрес 192.168.99.6)

Не могу понять, почему так происходит... Видимио где-то косяк в настройках NAT, но где понять не могу... рагьше таких проблем не было.

---- cat /etc/network/interfaces ----

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.99.5 
	netmask 255.255.255.252

auto eth1
iface eth1 inet static
	address 10.100.10.211
	netmask 255.255.255.0

auto vlan2
iface vlan2 inet dhcp
	vlan_raw_device eth1
	dns-nameserver 127.0.0.1

auto vlan3
iface vlan3 inet static
	address 192.168.99.1
	network 192.168.99.0
	broadcast 192.168.99.3
	netmask 255.255.255.252
	vlan_raw_device eth1
--- cat /etc/network/if-up.d/firewall ---
#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin

INT=vlan3
EXT=vlan2
MAN=eth0
EXT_IP=11.22.33.44.55
SYN_IP=192.168.99.1
SYN_CLIENT=192.168.99.2
PAR_IP=192.168.99.5
PAR_CLIENT=192.168.99.6
SSH_PORT=31337
TRT_SPORTS="32769:65535"
TRT_DPORTS="33434:33523"


#
# Установить политику по умолчанию
#
echo "set default policy"
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT 
iptables -P FORWARD DROP
#
# удалить все действующие правила
#
echo "clear filter table"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
echo "clear nat table"
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
echo "clear mangle table"
iptables -t mangle -F PREROUTING
iptables -t mangle -F POSTROUTING
echo "drop down counters"
iptables -X
echo "delete loggin chains"
iptables -F undef_in
iptables -F undef_out
iptables -F undef_fw
iptables -X undef_in
iptables -X undef_out
iptables -X undef_fw

# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i $INT -j ACCEPT
iptables -A INPUT -i $MAN -j ACCEPT
iptables -A FORWARD -i lo -o $INT -j ACCEPT
iptables -A FORWARD -i $INT -o lo -j ACCEPT
iptables -A FORWARD -i lo -o $MAN -j ACCEPT
iptables -A FORWARD -i $MAN -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Разрешить локальный  исходящий трафик
iptables -A OUTPUT -o $INT -j ACCEPT
iptables -A OUTPUT -o $EXT -j ACCEPT
iptables -A OUTPUT -o $MAN -j ACCEPT

# Разрешить соединения, которые инициированы изнутри 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешить traceroute
iptables -A INPUT -p udp --dport $TRT_DPORTS -j ACCEPT

# Разрешить входящие для torrent
iptables -A INPUT -p tcp --dport 46342 -j ACCEPT
iptables -A FORWARD -p tcp --dport 46342 -j ACCEPT
iptables -A FORWARD -p tcp --sport 46342 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 46342 -j ACCEPT
iptables -A INPUT -p udp --dport 46342 -j ACCEPT
iptables -A FORWARD -p udp --dport 46342 -j ACCEPT
iptables -A FORWARD -p udp --sport 46342 -j ACCEPT
iptables -A OUTPUT -p udp --sport 46342 -j ACCEPT

# Разрешить ssh на всех внутренних интерфейсах
iptables -A INPUT -p tcp --dport $SSH_PORT -j ACCEPT

# Разрешить dhcp
iptables -A INPUT -p udp --dport 67 -i $EXT -j ACCEPT
iptables -A INPUT -p udp --dport 68 -i $EXT -j ACCEPT

# Разрешить dns только на внутренних
iptables -A INPUT -p udp --dport 53 -i $INT -j ACCEPT
iptables -A INPUT -p udp --dport 53 -i $MAN -j ACCEPT

# Разрешить доступ из LAN-сети к внешним сетям
iptables -I FORWARD -s $PAR_CLIENT -j ACCEPT
iptables -I FORWARD -s $SYN_CLIENT -j ACCEPT

# nat
iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE

# Запретить forward извне во вне
iptables -A FORWARD -i $EXT -o $EXT -j DROP
# Включить прозрачный прокси
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128 -s $SYN_CLIENT -d ! $PAR_IP -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081,3128 -s $SYN_CLIENT -d ! $PAR_IP -j REDIRECT --to-port 3128

# Здесь делаем DNAT
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 46342 -j DNAT --to-destination 192.168.99.6:46342
iptables -t nat -A PREROUTING -i $EXT -p udp --dport 46342 -j DNAT --to-destination 192.168.99.6:46342

# Спрятать NAT
iptables -t mangle -A PREROUTING -j TTL --ttl-set 64
iptables -t mangle -A PREROUTING -j RETURN
# Все что не разрешено, но ломится отправим в цепочку undef
#iptables -N undef_in
#iptables -N undef_out
iptables -N undef_fw

#iptables -A INPUT -i vlan2 -j undef_in
#iptables -A OUTPUT -j undef_out
iptables -A FORWARD -j undef_fw

# Будем логировать все из undef (для дебага)
#iptables -A undef_in -j LOG --log-level info --log-prefix "--- IN --- DROP "
#iptables -A undef_in -j DROP

#iptables -A undef_out -j LOG --log-level info --log-prefix " --- OUT --- DROP "
#iptables -A undef_out -j DROP

iptables -A undef_fw -j LOG --log-level info --log-prefix "--- FW --- DROP "
iptables -A undef_fw -j DROP



# Включить forward
echo 1 > /proc/sys/net/ipv4/ip_forward

Заранее благодарен за помощь...


Re: Проблемы с NAT

делать мне нечего твои скрипты парсить
iptables-save выводи

dimon555 ★★★★★ ()

Re: Проблемы с NAT

Возможно проблемы с роутингом, ядро не верно определяет исходящий интерфейс и пакет уходит незамаскированым. Таблицу маршрутизации покажите.

З.Ы. а без vlan2 никак не обойтись?

Sharp777 ()
Ответ на: Re: Проблемы с NAT от Sharp777

Re: Проблемы с NAT

[code]
# Generated by iptables-save v1.3.8 on Fri Apr 10 19:39:15 2009
*mangle
:PREROUTING ACCEPT [1331207:802578983]
:INPUT ACCEPT [606032:374335711]
:FORWARD ACCEPT [698346:423653657]
:OUTPUT ACCEPT [624255:383579723]
:POSTROUTING ACCEPT [1319944:806941828]
-A PREROUTING -j TTL --ttl-set 64 
-A PREROUTING -j RETURN 
COMMIT
# Completed on Fri Apr 10 19:39:15 2009
# Generated by iptables-save v1.3.8 on Fri Apr 10 19:39:15 2009
*nat
:PREROUTING ACCEPT [78974:7597323]
:POSTROUTING ACCEPT [14263:1347061]
:OUTPUT ACCEPT [16162:1122537]
-A PREROUTING -s 192.168.99.2 -d ! 192.168.99.5 -p tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081,3128 -j REDIRECT --to-ports 3128 
-A PREROUTING -s 192.168.99.2 -d ! 192.168.99.5 -p udp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081,3128 -j REDIRECT --to-ports 3128 
-A PREROUTING -i vlan2 -p tcp -m tcp --dport 46342 -j DNAT --to-destination 192.168.99.6:46342 
-A PREROUTING -i vlan2 -p udp -m udp --dport 46342 -j DNAT --to-destination 192.168.99.6:46342 
-A POSTROUTING -s 192.168.99.0/255.255.255.252 -j MASQUERADE 
-A POSTROUTING -s 192.168.99.4/255.255.255.252 -j MASQUERADE 
COMMIT
# Completed on Fri Apr 10 19:39:15 2009
# Generated by iptables-save v1.3.8 on Fri Apr 10 19:39:15 2009
*filter
:INPUT DROP [1695:179117]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:undef_fw - [0:0]
-A INPUT -i vlan3 -j ACCEPT 
-A INPUT -i eth0 -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p udp -m udp --dport 33434:33523 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 46342 -j ACCEPT 
-A INPUT -p udp -m udp --dport 46342 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 31337 -j ACCEPT 
-A INPUT -i vlan2 -p udp -m udp --dport 67 -j ACCEPT 
-A INPUT -i vlan2 -p udp -m udp --dport 68 -j ACCEPT 
-A INPUT -i vlan3 -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT 
-A FORWARD -s 192.168.99.6 -j ACCEPT 
-A FORWARD -s 192.168.99.2 -j ACCEPT 
-A FORWARD -p udp -m udp --dport 68 -j DROP 
-A FORWARD -p udp -m udp --dport 67 -j DROP 
-A FORWARD -i lo -o vlan3 -j ACCEPT 
-A FORWARD -i vlan3 -o lo -j ACCEPT 
-A FORWARD -i lo -o eth0 -j ACCEPT 
-A FORWARD -i eth0 -o lo -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -p tcp -m tcp --dport 46342 -j ACCEPT 
-A FORWARD -p tcp -m tcp --sport 46342 -j ACCEPT 
-A FORWARD -p udp -m udp --dport 46342 -j ACCEPT 
-A FORWARD -p udp -m udp --sport 46342 -j ACCEPT 
-A FORWARD -j undef_fw 
-A OUTPUT -o vlan3 -j ACCEPT 
-A OUTPUT -o vlan2 -j ACCEPT 
-A OUTPUT -o eth0 -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 46342 -j ACCEPT 
-A OUTPUT -p udp -m udp --sport 46342 -j ACCEPT 
-A undef_fw -j LOG --log-prefix "--- FW --- DROP " --log-level 6 
-A undef_fw -j DROP 
COMMIT
# Completed on Fri Apr 10 19:39:15 2009
[/code]

[code]
root@gw:~# netstat -ar
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.99.0    *               255.255.255.252 U         0 0          0 vlan3
192.168.99.4    *               255.255.255.252 U         0 0          0 eth0
11.22.33.96    *               255.255.255.224 U         0 0          0 vlan2
10.100.10.0     *               255.255.255.0   U         0 0          0 eth1
default         11.22.33.97    0.0.0.0         UG        0 0          0 vlan2
[/code]

Без vlan2 увы никак не обойтись

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

>-A PREROUTING -i vlan2 -p tcp -m tcp --dport 46342 -j DNAT --to-destination 192.168.99.6:46342 
>-A PREROUTING -i vlan2 -p udp -m udp --dport 46342 -j DNAT --to-destination 192.168.99.6:46342

я так понимаю, что нужно добавить SNAT правила в обратную сторону ибо 192.168.99.6 отвечает по адресу клиента, а клиент ждёт ответа от того шлюза, где DNAT выполнился, ибо он обращался к ниму

dimon555 ★★★★★ ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

Тем более при анализе трафика на tcpdump видно, что обращения не только по этому порту... но и по 80... Например на google.com...

Zur0 ()
Ответ на: Re: Проблемы с NAT от dimon555

Re: Проблемы с NAT

Если я не проглючил, то
192.168.99.0/30 --- это 192.168.99.0,1,2,3
0 -- адрес сети,
1 -- шлюз (тот маршрутизатор с которым разбираюсь, vlan3)
2 -- клиент
3 -- броадкаст адрес
Дальше пошла 192.168.99.4/30 192.168.99.4,5,6,7
4 -- сеть
5 -- шлюз (eth0)
6 -- клиент (wrt54g)
7 -- броадкаст адрес

вроде так...

+ делал 
-t nat -A POSTROUTING -s 192.168.99.2 -j SNAT --to-source 11.22.33.44
-t nat -A POSTROUTING -s 192.168.99.6 -j SNAT --to-source 11.22.33.44

ну и если бы с сетками чего-то напутал бы... тогда бы вообще думаю не работало-бы...

А так то сеть работает... просто иногда на vlan2 появляются пакеты от 192.168.99.6 куда-то в инет (точно видел на google и torrents.ru)

И вот когда такие пакеты уходят с vlan2 мой порт блокирует провайдер.

Zur0 ()
Ответ на: Re: Проблемы с NAT от dimon555

Re: Проблемы с NAT

а вот этого не понял....

мне же нужно что-бы пакеты с 192.168.99.2 и 192.168.99.6 натились...

а значит они должны пройти по цепочке FORWARD и выйти как раз на vlan2 только перед выходом им нужно сделать SNAT (т.е. подменить адрес на внешний мой адрес)

Я же специально для этого делаю: -A FORWARD -s 192.168.99.6 -j ACCEPT -A FORWARD -s 192.168.99.2 -j ACCEPT

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

Вроде заметил, что есть закономерность
TCP Timeout (in seconds)

Чем этот параметр больше, тем реже появляются такие пакеты...

Но это не решение проблемы... Все равно не могу понять почему не всегда срабатывает NAT

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

Дальше пошла 192.168.99.4/30 192.168.99.4,5,6,7
4 -- сеть
5 -- шлюз (eth0)
6 -- клиент (wrt54g)
7 -- броадкаст адрес

наверное 192.168.99.4/29

dimon555 ★★★★★ ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

>Вроде так. Или я где-то ошибаюсь?

не хочется мне думать, но мои размышления такие
6 = 00000110 и это по маску в маску 11111100 не влезает, поэтому мне кажется, что то-то не так

dimon555 ★★★★★ ()
Ответ на: Re: Проблемы с NAT от dimon555

Re: Проблемы с NAT

Хм...

Логика понятна...

>не хочется мне думать, но мои размышления такие это сарказм и я не прав или это не уверенность в своих словах?

просто сейчас специально скачал виндовую lancalculator и она расчитывает так же как я думал...

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

>просто сейчас специально скачал виндовую lancalculator и она расчитывает так же как я думал...

да правильно, это я ошибаюсь

dimon555 ★★★★★ ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

>Пока поменял сеть 192.168.99.4/30 на 192.168.98.0/30

лучше запусти tcpdump на vlan3 и на eth0 зайди на 192.168.99.6 и попингуй что-нибудь, telnet google.com 80 сделай или ещё что-нибудь в этом духе

и попробуй из инета достучаться

всё-таки 192.168.99.6 входит в сеть 192.168.99.4/30
если 192.168.99.6 & 255.255.255.252 = 192.168.99.4

dimon555 ★★★★★ ()
Ответ на: Re: Проблемы с NAT от dimon555

Re: Проблемы с NAT

>всё-таки 192.168.99.6 входит в сеть 192.168.99.4/30 >если 192.168.99.6 & 255.255.255.252 = 192.168.99.4

Значит здесь все правильно...

>лучше запусти tcpdump на vlan3 и на eth0 зайди на 192.168.99.6 и >попингуй что-нибудь, telnet google.com 80 сделай или ещё что-нибудь в >этом духе

Буду пробовать...

Спасибо...

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

Посмотрте, нет ли ругани в dmesg по поводу переполнения contrack. Когда поймаете "плохой" пакет на vlan2 посмотрите содержимое /proc/net/ip_conntrack, может будте что интересное на предмет этого соединения.

Ещё попробуйте заменить MASQUERADE на SNAT, прописав для каждого интерфейса свой ip-адрес, надеюсь что у вас на vlan2 ip-адрес меняется не часто.

mky ★★★★★ ()
Ответ на: Re: Проблемы с NAT от mky

Re: Проблемы с NAT

>Ещё попробуйте заменить MASQUERADE на SNAT, прописав для каждого >интерфейса свой ip-адрес, надеюсь что у вас на vlan2 ip-адрес меняется >не часто.

Уже заменил. Это не помоголо. По идее на vlan2 адрес не меняется.

>Посмотрте, нет ли ругани в dmesg по поводу переполнения contrack. >Когда поймаете "плохой" пакет на vlan2 посмотрите содержимое /proc/net/ip_conntrack, может будте что интересное на предмет этого соединения.

В dmesg заглядываю регулярно, когда такое происходит. Никакой ругани нет вообще.

В ip_conntrack попробую отследить...

Я уже думаю, что это глюк железа... Никогда с таким не сталкивался...

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

Посмотрел в ip_connrtract в момент проскакивания пакета... Там вообще про него ничего нет.

Может стоит как то увеличить количество записей в ip_conntract?

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

Еще нашел вот такое:

root@gw:~# cat cont_dump.20090411-14\:43\:40.log | grep UNR | grep 192.168.98.2
udp      17 13 src=82.168.145.36 dst=94.251.20.105 sport=51515 dport=46342 packets=1 bytes=69 [UNREPLIED] src=192.168.98.2 dst=82.168.145.36 sport=46342 dport=51515 packets=0 bytes=0 mark=0 secmark=0 use=1
udp      17 1 src=192.168.98.2 dst=89.131.195.89 sport=46342 dport=15785 packets=1 bytes=70 [UNREPLIED] src=89.131.195.89 dst=94.251.20.105 sport=15785 dport=46342 packets=0 bytes=0 mark=0 secmark=0 use=1
udp      17 3 src=192.168.98.2 dst=80.13.148.58 sport=46342 dport=56747 packets=1 bytes=70 [UNREPLIED] src=80.13.148.58 dst=94.251.20.105 sport=56747 dport=46342 packets=0 bytes=0 mark=0 secmark=0 use=1
udp      17 21 src=192.168.98.2 dst=83.205.147.184 sport=46342 dport=59936 packets=1 bytes=70 [UNREPLIED] src=83.205.147.184 dst=94.251.20.105 sport=59936 dport=46342 packets=0 bytes=0 mark=0 secmark=0 use=1
udp      17 5 src=91.132.215.119 dst=94.251.20.105 sport=6881 dport=46342 packets=1 bytes=90 [UNREPLIED] src=192.168.98.2 dst=91.132.215.119 sport=46342 dport=6881 packets=0 bytes=0 mark=0 secmark=0 use=1
tcp      6 387396 ESTABLISHED src=192.168.98.2 dst=95.52.190.57 sport=47706 dport=14722 packets=1 bytes=1400 [UNREPLIED] src=95.52.190.57 dst=94.251.20.105 sport=14722 dport=47706 packets=0 bytes=0 mark=0 secmark=0 use=1
tcp      6 372800 ESTABLISHED src=192.168.98.2 dst=95.52.190.97 sport=50912 dport=14722 packets=1 bytes=1400 [UNREPLIED] src=95.52.190.97 dst=94.251.20.105 sport=14722 dport=50912 packets=0 bytes=0 mark=0 secmark=0 use=1
udp      17 1 src=89.131.195.89 dst=94.251.20.105 sport=15782 dport=46342 packets=1 bytes=108 [UNREPLIED] src=192.168.98.2 dst=89.131.195.89 sport=46342 dport=15782 packets=0 bytes=0 mark=0 secmark=0 use=1

Это нормально?

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

Относительно увеличения кол-ва записей. Если в dmesg нет ругательств наподобие "kernel: ip_conntrack: table full, dropping packet.", то не надо ничего менять, а так писать число в "/proc/sys/net/ipv4/ip_conntrack_max".

Если SNAT правила не помогли, то это странно, больше похоже на глюк ядра. Ешё более странно, что в момент появления пакета в ip_conntrack нет о нем записи.

По поводу приведённого вами фрагмента. Не знаю, нормально ли это, но первая и пятая записи, ИМХО, могли возникнуть, только если у вас в iptables есть правило вида:
"-A PREROUTING -i vlan2 -p udp -m udp --dport 46342 -j DNAT --to-destination 192.168.99.2:46342",
но в вашем листинге подобного правила для 192.168.99.2 нет.

tcp-запись в состоянии UNREPLIED, но без "SYN_SENT" возникает в случае если прошёл tcp-пакет без SYN-флага, если пакеты идут "кольцом" то это нормально. В вашем случае, вроде, все пакеты идут через ваш роутер, поэтому подобных записей не должно быть, но в принципе нечего страшного (пока их немного).

mky ★★★★★ ()
Ответ на: Re: Проблемы с NAT от mky

Re: Проблемы с NAT

Относительно увеличения кол-ва записей. Если в dmesg нет ругательств наподобие "kernel: ip_conntrack: table full, dropping packet.", то не надо ничего менять, а так писать число в "/proc/sys/net/ipv4/ip_conntrack_max".

С этим уже разобрался. Спасибо.

По поводу приведённого вами фрагмента. Не знаю, нормально ли это, но первая и пятая записи, ИМХО, могли возникнуть, только если у вас в iptables есть правило вида: "-A PREROUTING -i vlan2 -p udp -m udp --dport 46342 -j DNAT --to-destination 192.168.99.2:46342", но в вашем листинге подобного правила для 192.168.99.2 нет.

Правило есть. -A PREROUTING -i vlan2 -p udp -m udp --dport 46342 -j DNAT --to-destination 192.168.9_8_.2:46342

Пока не уверен, но вроде проблема решилась. Около 12 часов без сбоя. Решением было (если действительно помогло) замена правил: -A FORWARD -s 192.168.99.2 -j ACCEPT -A FORWARD -s 192.168.98.2 -j ACCEPT на: -A FORWARD -s 192.168.99.2 -m state --state NEW -j ACCEPT -A FORWARD -s 192.168.98.2 -m state --state NEW -j ACCEPT

И сейчес в лог падают такие пакеты: IN=eth0 OUT=vlan2 SRC=192.168.98.2 DST=95.28.18.71 LEN=112 TOS=0x00 PREC=0x00 TTL=63 ID=3493 DF PROTO=TCP SPT=46342 DPT=26008 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0

Судя по всему они и были причиной проблем.

Спасибо за советы и помощь.

Zur0 ()
Ответ на: Re: Проблемы с NAT от Zur0

Re: Проблемы с NAT

все правильно, не слушай их. остальное не читал

val-amart ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.