LINUX.ORG.RU
решено ФорумAdmin

после замены сетевой карты не раздаётся инет в локальную сеть


0

1

есть локальная сеть на несколько машин. все win7 и есть ещё одна с ubuntu-server 10.10, убунту работает как шлюз и сервер печати (присоединён epson stylus photo 1410), на нём стоит две сетевухи eth0 и eth2. eth0 смотрит внутрь сети и соответственно eth2 в интернет. до этого было наоборот, та сетевуха что смотрит в локальную сеть, смотрела в инет, но начались глюки при печати из внутренней сети. при отправке документа на печать сетевуха падала, то есть внутрь не шёл даже ping. я заменил их местами, настроил /etc/network/interfaces , на шлюзе инет появился, в локальную сеть тоже пинг идёт. но из локальной сети нет доступа к инету, например делаю ping ya.ru мне в ответ:

Обмен пакетами с ya.ru [87.250.250.3] с 32 байтами данных: превышен ожидания для запроса.

на шлюзе

cat /proc/sys/net/ipv4/ip_forward
1
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.0.104       
ACCEPT     all  --  anywhere             192.168.0.53        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
cat /etc/network/interfaces
auto lo
iface lo inet loopback

iface eth2 inet dhcp
hwaddress ether 002191ff8f79
auto eht2

iface eth0 inet static
address 192.168.0.100
netmask 255.255.255.0
auto eth0

Ответ на: комментарий от anonymous
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:26:5a:7c:7a:c2 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.100/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::226:5aff:fe7c:7ac2/64 scope link 
       valid_lft forever preferred_lft forever
3: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:21:91:ff:8f:79 brd ff:ff:ff:ff:ff:ff
    inet [ip что выдал провайдер]/27 brd *.193.109.255 scope global eth2
    inet6 fe80::221:91ff:feff:8f78/64 scope link 
       valid_lft forever preferred_lft forever

опечатку с eht исправил. ребутнул. ситуация не изменилась

iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere            [ip что выдал провайдер] tcp dpt:90 to:192.168.0.104:80 
DNAT       tcp  --  anywhere             [ip что выдал провайдер] tcp dpt:3396 to:192.168.0.104:3389 
DNAT       tcp  --  anywhere            [ip что выдал провайдер] tcp dpt:2837 to:192.168.0.104:3306 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere            
SNAT       tcp  --  anywhere             192.168.0.104       tcp dpt:www to:[ip что выдал провайдер]
SNAT       tcp  --  anywhere             192.168.0.104       tcp dpt:mysql to:[ip что выдал провайдер] 
SNAT       tcp  --  anywhere             192.168.0.104       tcp dpt:3389 to:[ip что выдал провайдер]

тестовый ping ya.ru пускаю из 192.168.0.104 и снова ip яндекса определяется, но сами пакеты не идут..

lolshchto ()
Ответ на: комментарий от lolshchto

проблема была в iptables. в правилах раньше было -A POSTROUTING -o eth0 -j MASQUERADE, изменил на eth2 и всё ok

Вот поэтому я пишу правила iptables в скрипте, в котором задаю переменные:

LOCINT=eth1
EXTINT=eth2
iptables -A POSTROUTING -o $EXTINT -j MASQUERADE
...
парам-пам-пам

В твоем случае было бы достаточно поменять два значения.

Novator ★★★★★ ()
Ответ на: комментарий от Novator

Кстати, вот образец рабочего конфига:
/root/iptab.set

#!/bin/sh

LOCNET=192.168.1.0/24
VIRNET=192.168.2.0/24
USRNET=192.168.0.0/16
LOCINT0=eth0
LOCINT=eth1
EXTINT=eth1
#PPPINT=ppp0
PPPINT=eth1
VIRINT=tap0
VIRINT2=tap1
INTIP=192.168.1.2
#ROUTERMAC=e0:cb:4e:10:05:1d:1c:af:f7:19:52:74:08:00
ROUTERMAC=1c:af:f7:19:52:74
ROUTERIP=192.168.1.1
MAILRUNET=94.100.177.0/24
YARUNET1=213.180.204.0/24
YARUNET2=93.158.134.0/24
GMAILCOM1=209.85.135.0/24
GMAILCOM2=74.125.79.0/24
POSTBANKIP=212.120.162.37
ABSOLUTIP=91.199.156.22
ADMINIP=111.111.111.111
ADMINIP1=111.111.111.111
ADMINIP2=111.111.111.111
ADMINIP3=111.111.111.111
KAV1=81.177.31.0/24
KAV2=85.12.57.0/24
KAVDNL=93.191.13.0/24
GLBUH=192.168.1.15
#213.187.98.10 85.158.55.7 217.70.122.49 94.25.1.54
SBIS1=213.187.98.0/24
SBIS2=85.158.55.0/24
SBIS3=217.70.122.0/24
SBIS4=94.25.1.0/24
SBIS5=91.213.144.0/24
SBIS6=188.40.70.0/24
SIPNET=212.53.40.0/24
SIPNET2=212.53.0.0/16
SBERNET1=94.51.87.0/24
SBERNET2=94.245.71.0/24
RUMUS1=194.135.30.0/24
RUMUS2=91.197.180.0/24
RUMUS3=188.120.245.0/24
RUMUS4=91.197.180.0/24
DIRIP=192.168.0.101
ANYADDR=0/0

iptables -F
iptables -X
#iptables -Z

iptables -F -t nat
iptables -X -t nat
#iptables -Z -t nat

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


###########INPUT#############
iptables -N out-ssl
#iptables -A out-ssl -s $ADMINIP -j ACCEPT


iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
iptables -A INPUT -s $ADMINIP -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -i $LOCINT -s $LOCNET -m mac ! --mac-source $ROUTERMAC -j ACCEPT
iptables -A INPUT -i $LOCINT -s $LOCNET -j ACCEPT
iptables -A INPUT -i $VIRINT -s $VIRNET -j ACCEPT
iptables -A INPUT -s $INTIP -d 192.168.1.255 -p udp --dport 138 -j ACCEPT
#===Admin access
iptables -A INPUT -s $ADMINIP -p tcp -m multiport --dport 3142,3390 -j ACCEPT
iptables -A INPUT -s $ADMINIP1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s $ADMINIP2 -p tcp --dport 22 -j ACCEPT
#===User access
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,3389:3390,6000,10001:10255 -j out-ssl
iptables -A INPUT -d 224.0.0.251 -p udp --dport 5353 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#===DROP without log
iptables -A INPUT -i $EXTINT -s 0.0.0.0 -p udp --dport 67 -j DROP
iptables -A INPUT -i $PPPINT ! -s $LOCNET -p tcp -m multiport --dport 23,80,445 -j DROP
#===
iptables -A INPUT -j LOG --log-prefix "INPUT "
iptables -A INPUT -j DROP


###########OUTPUT#############
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o $VIRINT -j ACCEPT
iptables -A OUTPUT -o $LOCINT -d $LOCNET -j ACCEPT
iptables -A OUTPUT -o $VIRINT -d $VIRNET -j ACCEPT
#iptables -A OUTPUT -o $EXTINT -s $USRNET -d $ROUTERIP -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -d 224.0.0.251 -p udp --sport 5353 --dport 5353 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 21,22,53,80,443,3389:3390,8000:8100 -j ACCEPT
iptables -A OUTPUT -d $YARUNET2 -p tcp --dport 5222:5223 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type any -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT "
iptables -A OUTPUT -j DROP


###########FORWARD#############
iptables -N icq-out
iptables -A icq-out -d 64.12.0.0/16 -j ACCEPT
iptables -A icq-out -d 205.188.0.0/16 -j ACCEPT
iptables -A icq-out -j DROP

iptables -N mail-out
iptables -A mail-out -p tcp -d $MAILRUNET -j ACCEPT
iptables -A mail-out -p tcp -d $YARUNET1 -j ACCEPT
iptables -A mail-out -p tcp -d $YARUNET2 -j ACCEPT
iptables -A mail-out -p tcp -d $GMAILCOM1 -j ACCEPT
iptables -A mail-out -p tcp -d $GMAILCOM2 -j ACCEPT

iptables -N usr-out
iptables -A usr-out -p icmp --icmp-type any -j ACCEPT
iptables -A usr-out -p udp --dport 53 -j ACCEPT
iptables -A usr-out -p tcp --dport 3389:3390 -j ACCEPT
iptables -A usr-out -p tcp -d $ADMINIP2 --dport 22 -j ACCEPT
iptables -A usr-out -p tcp --dport 5190 -j icq-out
iptables -A usr-out -p tcp -d $SIPNET --dport 11024 -j ACCEPT
iptables -A usr-out -p udp -d $SIPNET --dport 1000:65534 -j ACCEPT
iptables -A usr-out -p tcp -d $SIPNET2 --dport 443 -j ACCEPT
iptables -A usr-out -p tcp -d $SBERNET1 --dport 443 -j ACCEPT
iptables -A usr-out -p tcp -d $SBERNET2 --dport 80 -j ACCEPT
#iptables -A usr-out -p tcp -d $RUMUS1 --dport 1000:2022 -j ACCEPT
iptables -A usr-out -p tcp --dport 1000:2022 -j ACCEPT
iptables -A usr-out -p tcp  -m multiport --dports 25,110,143,465,993,995 -j mail-out
iptables -A usr-out -p tcp -d $ABSOLUTIP --dport 443 -j ACCEPT
iptables -A usr-out -p tcp -d $KAV1 --dport 443 -j ACCEPT
iptables -A usr-out -p tcp -d $KAV2 --dport 443 -j ACCEPT
iptables -A usr-out -p tcp -d $KAVDNL --dport 80 -j ACCEPT
iptables -A usr-out -p tcp -d $YARUNET2 --dport 5222:5223 -j ACCEPT
iptables -A usr-out -d $SBIS1 -p tcp  -m multiport --dports 25,80,110,8585 -j ACCEPT
iptables -A usr-out -d $SBIS2 -p tcp  -m multiport --dports 25,80,110,8585 -j ACCEPT
iptables -A usr-out -d $SBIS3 -p tcp  -m multiport --dports 25,80,110,8585 -j ACCEPT
iptables -A usr-out -d $SBIS4 -p tcp  -m multiport --dports 25,80,110,8585 -j ACCEPT
iptables -A usr-out -d $SBIS5 -p tcp  -m multiport --dports 25,80,110,8585 -j ACCEPT
iptables -A usr-out -d $SBIS6 -p tcp  -m multiport --dports 25,80,110,8585 -j ACCEPT
iptables -A usr-out -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A usr-out -j LOG --log-prefix "USR-OUT "
#iptables -A usr-out -j DROP

iptables -N ext-vir
iptables -A ext-vir -p tcp --dport 3389 -j out-ssl

#iptables -N ext-loc
#iptables -A ext-loc -s $ADMINIP -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT

#==Local forward
iptables -A FORWARD -i $LOCINT -o $VIRINT -s $LOCNET -d $VIRNET -m mac ! --mac-source $ROUTERMAC -j ACCEPT
#iptables -A FORWARD -i $LOCINT -o $VIRINT -s $LOCNET -j ACCEPT
iptables -A FORWARD -i $VIRINT -o $LOCINT -s $VIRNET -d $LOCNET -j ACCEPT
#iptables -A FORWARD -i $LOCINT -o $VIRINT2 -j ACCEPT
#iptables -A FORWARD -i $VIRINT2 -o $LOCINT -j ACCEPT
#==Outgoing forward
#iptables -A FORWARD ! -i $EXTINT -o $EXTINT -s $USRNET -j usr-out
#iptables -A FORWARD ! -i $PPPINT -o $PPPINT -s $USRNET -j usr-out
#iptables -A FORWARD -i $PPPINT -o $PPPINT -s $LOCNET ! -d $USRNET -j usr-out
#iptables -A FORWARD -i $VIRINT -o $PPPINT -s $VIRNET ! -d $USRNET -j usr-out
#iptables -A FORWARD -o $PPPINT -s $USRNET ! -d $USRNET -m mac ! --mac-source $ROUTERMAC -j usr-out
iptables -A FORWARD -i $VIRINT -s $VIRNET ! -d $USRNET -p tcp --dport 3389:3390 -j ACCEPT
iptables -A FORWARD -s $USRNET ! -d $USRNET -m mac ! --mac-source $ROUTERMAC -j usr-out
#==Incoming forward
iptables -A FORWARD -p tcp -s $ADMINIP -j ACCEPT
iptables -A FORWARD -i $PPPINT -o $VIRINT ! -s $LOCNET -j ext-vir
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FORWARD "
iptables -A FORWARD -j DROP


###########EXCHANGE#############
iptables -t nat -A POSTROUTING -o $EXTINT -s $USRNET ! -d $USRNET -j MASQUERADE
#iptables -t nat -A POSTROUTING -o $PPPINT -s $USRNET ! -d $USRNET -j MASQUERADE
#iptables -t nat -A POSTROUTING -o $LOCINT -s $ADMINIP -d $ROUTERIP -j SNAT --to-source 192.168.1.2
#iptables -t nat -A POSTROUTING -o $LOCINT -d $ROUTERIP -j SNAT --to-source 192.168.1.2

#iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to-destination 192.168.1.1:80
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.2.2:3389
#iptables -t nat -A PREROUTING -p tcp --dport 10001 -j DNAT --to-destination 192.168.0.1:4899
#iptables -t nat -A PREROUTING -p tcp --dport 10014 -j DNAT --to-destination 192.168.0.14:4899
#iptables -t nat -A PREROUTING -p tcp --dport 10015 -j DNAT --to-destination 192.168.0.15:4899
#iptables -t nat -A PREROUTING -p tcp --dport 10017 -j DNAT --to-destination 192.168.0.17:4899
#iptables -t nat -A PREROUTING -p tcp --dport 10020 -j DNAT --to-destination 192.168.0.20:4899
#iptables -t nat -A PREROUTING -p tcp --dport 10021 -j DNAT --to-destination 192.168.0.21:4899
#iptables -t nat -A PREROUTING -p tcp --dport 10101 -j DNAT --to-destination 192.168.0.101:4899

Может кому пригодится )

Novator ★★★★★ ()
Ответ на: комментарий от Pinkbyte

это я в первую очередь пытался сделать, но скорее всего я не там это делал или что то делал не так. редактировал файл /etc/udev/rules.d/70-persistent-net.rules но все мои старания были просто проигнорированы системой, и снова таки создавались новые записи об установленных сетевухах. с прежними именами.

lolshchto ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.