LINUX.ORG.RU
ФорумAdmin

И снова NAT, iptables,route. Где то ошибка


0

0

ОС: Ubuntu Server 8.10
eth0: inet с внешним ip. далее &inet
eth1: ip 10.0.3.1 netmask 24
eth2: ip 10.0.2.1 netmask 24

Далее всё просто, дать инет локальной сети... Но вот головой бьюсь уже весь день.... где допустил ошибку, ума не приложу, что забыл?

iptables

# Generated by iptables-save v1.4.0 on Sat May 2 03:41:08 2009
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -p tcp -s 10.0.3.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p udp -s 10.0.3.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p icmp -s 10.0.3.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p tcp -s 10.0.2.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p udp -s 10.0.2.0/24 -o eth0 -j SNAT --to-source &inet
-A POSTROUTING -p icmp -s 10.0.2.0/24 -o eth0 -j SNAT --to-source &inet
COMMIT
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A FORWARD -j ACCEPT
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -j ACCEPT
COMMIT
#s


По сути простейший конфиг, а ничерта не пашет.. инет есть, сервак пингует любую машину в сетях и инет видит, но с машины в локалке пингуется только сервак, включая внешние интерфейсы, но не инет (

Re: И снова NAT, iptables,route. Где то ошибка

echo "1" > /proc/sys/net/ipv4/ip_forward естественно сделал

k4m454k ()

Re: И снова NAT, iptables,route. Где то ошибка

sudo sysctl net.ipv4.conf.all.forwarding=1

dimon555 ★★★★★ ()

Re: И снова NAT, iptables,route. Где то ошибка

route можно посмотреть?

route add default gw <что там у вас>

anton_jugatsu ★★★★ ()
Ответ на: Re: И снова NAT, iptables,route. Где то ошибка от anton_jugatsu

Re: И снова NAT, iptables,route. Где то ошибка

да, конечно
Destination Gateway Genmask Flags Metric Ref Use Iface
77.246.248.64 * 255.255.255.192 U 0 0 0 eth0
10.0.2.0 * 255.255.255.0 U 0 0 0 eth2
10.0.3.0 * 255.255.255.0 U 0 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth0
default 248-65.umostel. 0.0.0.0 UG 100 0 0 eth0

k4m454k ()

Re: И снова NAT, iptables,route. Где то ошибка

> -A POSTROUTING -p tcp -s 10.0.3.0/24 -o eth0 -j

Отмени все в iptables, выставь -P ... ACCEPT
и добавь одно правило
iptable -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Если не работает у клиента по IP (может у тебя с ДНС еще проблемы) и ip_forward так таки == 1, то внимательно смотри раутинг на клиенте и может твой провайдер еще фигней мается и "не разрешает" NAT

sdio ★★★★★ ()
Ответ на: Re: И снова NAT, iptables,route. Где то ошибка от sdio

Re: И снова NAT, iptables,route. Где то ошибка

тоесть всё, из цепочки POSTROUTING я удаляю и ставлю правило с маскарадом? о_О С ДНС всё ок.. проверено. Сервер же резолвит адерса, а клиенты к тому же ДНС обращаются...

k4m454k ()
Ответ на: Re: И снова NAT, iptables,route. Где то ошибка от k4m454k

Re: И снова NAT, iptables,route. Где то ошибка

> тоесть всё, из цепочки POSTROUTING я удаляю и ставлю правило с маскарадом?

Да и вообще все правила удали, у тебя все-равно политика по-умолчанию ACCEPT

sdio ★★★★★ ()

Re: И снова NAT, iptables,route. Где то ошибка

А сервер прописан на клиентах в качестве дефолтного шлюза?

nnz ★★★★ ()
Ответ на: Спасибо от k4m454k

Re: Спасибо

А как их нужно ограничить? Запретить? Или канал урезать?

nnz ★★★★ ()
Ответ на: Re: Спасибо от nnz

Re: Спасибо

Вообще бы запретить. А если знаете как урезать, тоже скажите, на аське отыграюсь, чтобы файлы не слишком кидали.

k4m454k ()
Ответ на: Re: Спасибо от k4m454k

Re: Спасибо

В xtables-addons есть критерий ipp2p для iptables.
apt-get install xtables-addons-source
cd /usr/src/
tar xjvf xtables-addons.tar.bz2
m-a a-i xtables-addons-source
dpkg -i xtables-addons-modules*.deb # Не помню, обязательно ли это

После этого
iptables -I FORWARD -p tcp -m ipp2p --bit -j DROP
iptables -I FORWARD -p udp -m ipp2p --bit -j DROP

Насчет резать скорость - это придется мозгами пошевелить. В двух словах это не расскажешь http://lartc.org/howto/
Хотя, конечно, можно банальный hashlimit сделать.

nnz ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.