LINUX.ORG.RU
решено ФорумGeneral

«Destination Host Unreachable» and ssh " No route to host"

 , , ,


0

1

При попытке пинга с Убунты локальной машины центос пишет 

ping 192.168.8.1
PING 192.168.8.1 (192.168.8.1) 56(84) bytes of data.
From 192.168.8.101 icmp_seq=1 Destination Host Unreachable
From 192.168.8.101 icmp_seq=2 Destination Host Unreachable
[58]+  Остановлено  ping 192.168.8.1

ping 192.168.100.166
PING 192.168.100.166 (192.168.100.166) 56(84) bytes of data.
From 192.168.8.101 icmp_seq=1 Destination Host Unreachable
From 192.168.8.101 icmp_seq=2 Destination Host Unreachable

При попытке подключиться по ssh 

ssh: connect to host 192.168.8.1 port 22: No route to host

ssh: connect to host 192.168.100.166 port 22: No route to host

На центосе стоит 2 сетевые карты с этими айпи. И нету подключения к интернету.

1 2 3
Ответ на: комментарий от SysError

Нужно прописать маршруты до сети 192.168.100.0 из сети 192.168.8.0 и маршрут до 192.168.8.0 из 192.168.100.0.

Для узлов в сети 192.168.100.0 прописывайте маршрут на их шлюзе, а для 192.168.8.101 прописывайте маршрут на нём.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

На убунте использую 

route add default gw 192.168.8.1
и к тому же при подключении указую шлюз 192.168.8.1 Сами маршруты прописать таким способом? 
route add -host 192.168.8.1 gw 192.168.100.0 dev enp2s1

SysError
() автор топика
Ответ на: комментарий от SysError

Обе сети должны знать как с друг другом связаться.

Т.е. на хостах 192.168.100.0 должен быть маршрут до 192.168.8.0 и на 192.168.8.0 должен быть маршрут до 192.168.100.0, если на всех хостах сети 192.168.100.0 шлюзом указан 192.168.100.254, то пропиши на нём маршрут до сети 192.168.8.0 через 192.168.100.166, а на 192.168.8.101 пропиши либо маршрут до сети 192.168.100.0 через 192.168.8.1, либо пропиши его шлюзом.

Затем выполни 

echo 1 > /proc/sys/net/ipv4/ip_forward
это разрешит продвижение пакетов между интерфейсами.

Ну и правила iptables тоже.

Затем разрешение продвижения пакетов нужно настроить через sysctl.

Удачи.

kostik87 ★★★★★
()
Ответ на: комментарий от SysError

все работает на центосе и убунта пингует центос.

Отлично, рад за Вас.

Но вот на убунте нету интернета, а на центосе все есть.

Все верно, так и должно быть. Чтобы появился интернет, нужно NAT настроить. И лучше это делать не на CentOS, а на шлюзе во внешнюю сеть (возможно, в Вашем случае это машина 192.168.100.254). Потому что, если Вы настроите на CentOS, интернет на Ubuntu, конечно, появится, но технически пакеты будут подвергаться двойному NAT - один раз на CentOS и второй - на шлюзе (т. к. CentOS не имеет публичного IP). Так что если есть доступ к шлюзу, настраивайте NAT на нем. И не забудьте прописать маршруты в сеть 192.168.8.0/24.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Я не имею доступу к машине с айпи 254. Есть только 2 полигонные машины центос и убунту. Вот как советует Константин попрописую шлюзы и как я понимаю уж препятствий для получения интернета на убунте не должно быть. Сейчас построю цепочку связи сети и буду прописывать.

SysError
() автор топика
Ответ на: комментарий от kostik87

forward на центосе прописан 1 в самих конфигах.

SysError
() автор топика
Ответ на: комментарий от kostik87

В общем я использовал это 

iptables -A FORWARD -s 192.168.8.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.8.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp1s1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp1s5 -j MASQUERADE
И указал на убунте и на центосе дефолт 
Ubuntu 
route add default gw 192.168.8.1

Centos

route add default gw 192.168.100.254
Но так интернет и не получил.

SysError
() автор топика
Ответ на: комментарий от SysError

Я не имею доступу к машине с айпи 254.

Ясно.

iptables -A FORWARD -s 192.168.8.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.8.0/24 -j ACCEPT

Этого мало. Надо на машине с CentOS разрешить forward всего трафика из сети 192.168.8.0/24 в обоих направлениях.

И вот это лишнее:

iptables -t nat -A POSTROUTING -o enp1s1 -j MASQUERADE

Вам надо маскарадить трафик, который идет на Ваш шлюз (192.168.100.254). Чтобы он воспринимал трафик из сети 192.168.8.0.24 (про которую он ничего не знает) как исходящий с машины с CentOS. Поэтому оставляете это правило только на интерфейсе с IP-адресом 192.168.100.166.

После этого, по идее, на машине с Ubuntu должен появиться интернет.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Это все лучше сделать через создание таблицы и что бы оно работало после ребута системы

SysError
() автор топика
Ответ на: комментарий от Serge10

Этого мало. Надо на машине с CentOS разрешить forward всего трафика из сети 192.168.8.0/24 в обоих направлениях.

Этим вы говорите о какой именно команде?

SysError
() автор топика
Ответ на: комментарий от N1ghtmare

Чем он может мешать? Я думаю просто не все правила внес, потому и нету самого доступа к интернету.

SysError
() автор топика
Ответ на: комментарий от N1ghtmare

Так как писал ранее пингуются машины между собой и 254 айпи так же с 8.8.8.8, а вот если пропинговать google.com или ya.ru и так же попытаться подключится на убунте к интернету, то глухо.

SysError
() автор топика
Ответ на: комментарий от N1ghtmare

Я потому и не могу понять, если пингуется 8.8.8.8 то по сути должен же быть доступ к интернету, так как это гугловский айпи. Но вот прописав google.com или ya.ru, к примеру, я не получаю пинга и браузер молчит.

SysError
() автор топика
Ответ на: комментарий от N1ghtmare

Centos 

cat /etc/resolv.conf
# Generated by NetworkManager
search local
Ubuntu 
 cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.100.10
nameserver 192.168.100.166

SysError
() автор топика
Ответ на: комментарий от N1ghtmare

Да и куда прописать 

iptables -A FORWARD -s 192.168.8.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.8.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp1s5 -j MASQUERADE
route add default gw 192.168.100.254
Что бы после перезагрузки сохранялись настройки.

SysError
() автор топика
Ответ на: комментарий от SysError

пропробуй 

ping 87.250.250.242

это IP ya.ru. если пинг есть, то у тебя проблема не в машрутах и форвардинге, а в настройках DNS

N1ghtmare ★★
()
Последнее исправление: N1ghtmare (всего исправлений: 1)
Ответ на: комментарий от N1ghtmare

Пинг по айпи идет на всех машинах, тогда где все таки это днс?

SysError
() автор топика
Ответ на: комментарий от N1ghtmare

А чем сеть на центосе поднимается? NetworkManager?

Да, на NetworkManager

SysError
() автор топика
Ответ на: комментарий от N1ghtmare

Дописал в конфиге на центосе днс и теперь пингуется гугл и я.ру. Но с убунты нету пинга. Хотя даже вбивал при подключении днс который добавлен на центосе.

SysError
() автор топика
Ответ на: комментарий от SysError

Да и куда прописать... ...Что бы после перезагрузки сохранялись настройки.

Я не знаю, как именно в Ubuntu это делается, но обычно существует файл /etc/rc.local или /etc/init.d/rc.local (зависит от настроек системы инициализации Вашего дистрибутива), который является исполняемым sh-скриптом, и куда можно добавлять свои команды.

Serge10 ★★★★★
()
Ответ на: комментарий от SysError

В ubuntu у Вас в качестве DNS-сервера указана машина CentOS. Там действительно DNS-сервер запущен?

Хотя даже вбивал при подключении днс который добавлен на центосе.

Если на машине с Ubuntu в файл /etc/resolv.conf добавить строку (предварительно убрав/закомментировав все остальные):

nameserver       8.8.8.8

доменные имена начинают разрешаться?

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Нет, доменные имена не разрешаются. Все так же. Возможно нужно вбить дополнительную команду? Так как вы выше писали что данных команд мало.

SysError
() автор топика
Ответ на: комментарий от SysError

Нет, доменные имена не разрешаются. Все так же. Возможно нужно вбить дополнительную команду?

Погодите, Вы утверждаете, что машина 8.8.8.8 пингуется с Ubuntu? И при этом использовать ее в качестве DNS-сервера не получается?

Я правильно Вас понял? Тогда надо разбираться, что происходит с пакетами, отсылаемыми на 53 порт. Возможно, у Вас на шлюзе заблокированы DNS-запросы к внешним DNS-серверам.

Как проверить - запустить сниффер (например, tcpdump) и посмотреть, какие пакеты и куда идут при DNS-запросах. DNS-запросы можно генерировать командами host, nslookup или dig (см. соответствующие man'ы с описанием синтаксиса и ключей команд). Если запросы уходят, а ответов нет, Ваш шлюз блокирует DNS-запросы. В этом случае должен существовать собственный DNS-сервер в Вашей сети, стоит узнать его адрес у администратора и прописать в /etc/resolv.conf.

Serge10 ★★★★★
()
Последнее исправление: Serge10 (всего исправлений: 1)
Ответ на: комментарий от Serge10

Да пинг идет. Вот что мы имеем. 

С Ubuntu
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=47 time=33.0 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=47 time=32.9 ms

Так же

cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 8.8.8.8
nameserver 192.168.100.10
nameserver 192.168.100.166

И вот еще с Ubuntu

nslookup google.com
;; connection timed out; no servers could be reached

И вот что мы имеем с Centos 

nslookup google.com
Server:		192.168.100.10
Address:	192.168.100.10#53

Non-authoritative answer:
Name:	google.com
Address: 172.217.16.14

SysError
() автор топика
Ответ на: комментарий от Serge10

И вот такая картина c Ubuntu 

sudo tcpdump -nn -v udp port 53
tcpdump: listening on enp2s5, link-type EN10MB (Ethernet), capture size 262144 bytes
10:28:04.501068 IP (tos 0x0, ttl 64, id 1306, offset 0, flags [DF], proto UDP (17), length 60)
    192.168.8.101.53317 > 8.8.8.8.53: 59669+ A? www.google.com. (32)
10:28:04.501169 IP (tos 0x0, ttl 64, id 1307, offset 0, flags [DF], proto UDP (17), length 71)
    192.168.8.101.41141 > 8.8.8.8.53: 50145+ A? push.services.mozilla.com. (43)
10:28:04.501987 IP (tos 0x0, ttl 64, id 5437, offset 0, flags [DF], proto UDP (17), length 71)
    192.168.8.101.41152 > 192.168.100.10.53: 50145+ A? push.services.mozilla.com. (43)
10:28:04.502777 IP (tos 0x0, ttl 64, id 5438, offset 0, flags [DF], proto UDP (17), length 60)
    192.168.8.101.34553 > 192.168.100.10.53: 59669+ A? www.google.com. (32)
10:28:04.503166 IP (tos 0x0, ttl 64, id 825, offset 0, flags [DF], proto UDP (17), length 71)
    192.168.8.101.43026 > 192.168.100.166.53: 50145+ A? push.services.mozilla.com. (43)
10:28:04.977030 IP (tos 0x0, ttl 64, id 1308, offset 0, flags [DF], proto UDP (17), length 63)
    192.168.8.101.47969 > 8.8.8.8.53: 40201+ A? api.mcr.skype.com. (35)
10:28:05.157014 IP (tos 0x0, ttl 64, id 896, offset 0, flags [DF], proto UDP (17), length 70)

SysError
() автор топика
Ответ на: комментарий от Serge10 
 dig 8.8.8.8

; <<>> DiG 9.10.3-P4-Ubuntu <<>> 8.8.8.8
;; global options: +cmd
;; connection timed out; no servers could be reached



 dig google.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> google.com
;; global options: +cmd
;; connection timed out; no servers could be reached



dig google.com

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8836
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;google.com.			IN	A

;; ANSWER SECTION:
google.com.		221	IN	A	172.217.16.14

;; Query time: 1 msec
;; SERVER: 192.168.100.10#53(192.168.100.10)
;; WHEN: Срд Май 23 10:49:39 EEST 2018
;; MSG SIZE  rcvd: 55

И аналогично с 8.8.8.8
SysError
() автор топика
Ответ на: комментарий от SysError

Очевидно, кто-то рубит пакеты, идущие на 53 порт с машины с Ubuntu. И скорее всего, это происходит на машине с CentOS. Если на ней tcpdump запустить в момент DNS-запросов с Ubuntu, что будет? Последовательно на двух интерфейсах - сначала на том, который в одной сети с Ubuntu, потом на внешнем.

Ну и еще раз призываю разрешить форвардинг всех пакетов на CentOS (сделать политику по умолчанию в цепи FORWARD ACCEPT).

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Centos ip - 8.1 

tcpdump -i enp1s1 host 192.168.8.101
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s1, link-type EN10MB (Ethernet), capture size 262144 bytes
10:45:41.329729 IP host.local.ssh > 192.168.8.101.52748: Flags [P.], seq 2854572514:2854572702, ack 1197628826, win 291, options [nop,nop,TS val 82608647 ecr 1407348033], length 188
10:45:41.329937 IP 192.168.8.101.52748 > host.local.ssh: Flags [.], ack 188, win 2913, options [nop,nop,TS val 1407348070 ecr 82608647], length 0
10:45:41.398269 IP host.local.ssh > 192.168.8.101.52748: Flags [P.], seq 188:408, ack 1, win 291, options [nop,nop,TS val 82608715 ecr 1407348070], length 220
10:45:41.398405 IP host.local.ssh > 192.168.8.101.52748: Flags [P.], seq 408:596, ack 1, win 291, options [nop,nop,TS val 82608716 ecr 1407348070], length 188
10:45:41.398519 IP 192.168.8.101.52748 > host.local.ssh: Flags [.], ack 408, win 2913, options [nop,nop,TS val 1407348139 ecr 82608715], length 0
10:45:41.398576 IP 192.168.8.101.52748 > host.local.ssh: Flags [.], ack 596, win 2913, options [nop,nop,TS val 1407348139 ecr 82608716], length 0
10:45:41.398636 IP host.local.ssh > 192.168.8.101.52748: Flags [P.], seq 596:792, ack 1, win 291, options [nop,nop,TS val 82608716 ecr 1407348139], length 196
10:45:41.398725 IP host.local.ssh > 192.168.8.101.52748: Flags [P.], seq 792:1140, ack 1, win 291, options [nop,nop,TS val 82608716 ecr 1407348139], length 348

Centos ip - 100.166 

 tcpdump -i enp1s5 host 192.168.8.101 -vv
tcpdump: listening on enp1s5, link-type EN10MB (Ethernet), capture size 262144 bytes
10:41:55.055707 IP (tos 0x0, ttl 255, id 17366, offset 0, flags [DF], proto UDP (17), length 73)
    192.168.8.101.mdns > 224.0.0.251.mdns: [udp sum ok] 0 [2q] PTR (QM)? _ipps._tcp.local. PTR (QM)? _ipp._tcp.local. (45)

На 8.1 просто летят логи, а на 100.166 только это.

SysError
() автор топика
Ответ на: комментарий от fbiagent

Вот что получилось. 

dig @8.8.8.8 google.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @8.8.8.8 google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

SysError
() автор топика
Ответ на: комментарий от SysError

Я так и не понял из треда, тебе нужны фаерволы на обоих ПК? Если нет, то отключи их. 

service iptables stop
service firewalld stop

fbiagent ★★★
()
Ответ на: комментарий от fbiagent

Мне нужно настроить сеть в которой моя машина на убунте будет получать интернет от центоса на которой 2 сетевухи и в дальнейшем при запросе 192.168.100.166:10022 выполнялся запрос как 192.168.8.101:22 (ssh)

SysError
() автор топика
Ответ на: комментарий от SysError

Не, это неинформативно. В первом случае все забито пакетами ssh - я так понимаю, что Вы не за консолью сидите на CentOS, а по ssh туда заходите. Ограничьте tcpdump по протоколу (udp) и порту (53) - нас сейчас именно dns-пакеты интересуют. Нужен трафик, снятый в момент dns-запросов с Ubuntu. С обоих интерфейсов CentOS.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

100.166 

/usr/sbin/tcpdump -i enp1s5 -n -nn -ttt 'host 192.168.8.101 and ip proto \udp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s5, link-type EN10MB (Ethernet), capture size 262144 bytes
 00:00:00.000000 IP 192.168.8.101.5353 > 224.0.0.251.5353: 0 [9q] PTR (QM)? _ipps._tcp.local. PTR (QM)? _ftp._tcp.local. PTR (QM)? _webdav._tcp.local. PTR (QM)? _webdavs._tcp.local. PTR (QM)? _sftp-ssh._tcp.local. PTR (QM)? _smb._tcp.local. PTR (QM)? _afpovertcp._tcp.local. PTR (QM)? _nfs._tcp.local. PTR (QM)? _ipp._tcp.local. (141)


 /usr/sbin/tcpdump -i enp1s5 -n -nn -ttt 'host 192.168.8.101 and port 53'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s5, link-type EN10MB (Ethernet), capture size 262144 bytes
 00:00:00.861234 IP 192.168.8.101.54151 > 8.8.8.8.53: 52084+ A? google.com. (28)
00:00:00.000265 IP 192.168.8.101.38334 > 192.168.100.10.53: 52084+ A? google.com. (28)
 00:00:00.282039 IP 192.168.8.101.46041 > 8.8.8.8.53: 41447+ A? www.google.com. (32)
00:00:00.594561 IP 192.168.8.101.41798 > 192.168.100.166.53: 52084+ A? google.com. (28)
 00:00:00.000294 IP 192.168.8.101.32851 > 8.8.8.8.53: 52084+ A? google.com. (28)

8.1 

/usr/sbin/tcpdump -i enp1s1 -n -nn -ttt 'host 192.168.8.101 and ip proto \udp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s1, link-type EN10MB (Ethernet), capture size 262144 bytes
 00:00:00.215562 IP 192.168.8.101.58695 > 8.8.8.8.53: 871+ A? google.com. (28)
 00:00:00.021487 IP 192.168.8.101.39165 > 192.168.100.10.53: 37181+ A? www.google.com. (32)
 00:00:00.037410 IP 192.168.8.101.48457 > 8.8.8.8.53: 48695+ A? 0.client-channel.google.com. (45)
 00:00:00.000699 IP 192.168.8.101.43397 > 192.168.100.10.53: 48695+ A? 0.client-channel.google.com. (45)
00:00:00.021418 IP 192.168.8.101.35240 > 192.168.100.166.53: 37181+ A? www.google.com. (32)
00:00:00.057747 IP 192.168.8.101.55450 > 8.8.8.8.53: 16914+ A? google.com. (28)
 00:00:00.019528 IP 192.168.8.101.40411 > 8.8.8.8.53: 47102+ A? www.google.com. (32)
 00:00:00.345963 IP 192.168.8.101.43436 > 192.168.100.10.53: 16914+ A? google.com. (28)
 00:00:00.000294 IP 192.168.8.101.52155 > 192.168.100.166.53: 16914+ A? google.com. (28)

/usr/sbin/tcpdump -i enp1s1 -n -nn -ttt 'host 192.168.8.101 and port 53'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s1, link-type EN10MB (Ethernet), capture size 262144 bytes
00:00:00.223914 IP 192.168.8.101.60162 > 192.168.100.10.53: 29072+ A? www.google.com. (32)
00:00:00.003890 IP 192.168.8.101.52802 > 8.8.8.8.53: 23272+ A? 0.client-channel.google.com. (45)
00:00:00.043260 IP 192.168.8.101.55179 > 8.8.8.8.53: 15524+ A? google.com. (28)
 00:00:00.332130 IP 192.168.8.101.60506 > 192.168.100.166.53: 63479+ A? clients6.google.com. (37)
 00:00:00.221443 IP 192.168.8.101.53458 > 192.168.100.166.53: 29072+ A? www.google.com. (32)
 00:00:00.046663 IP 192.168.8.101.41683 > 192.168.100.166.53: 15524+ A? google.com. (28)

Вот когда я пытаюсь пингонуть google.com

SysError
() автор топика
Ответ на: комментарий от SysError

В общем, все подтверждается - машина с centOS блокирует DNS-запросы.

Смотрите настройки файрвола на CentOS.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Еще был вариант что сторонние программы мешали. Но я стопнул и перепроверил. Не дало результата. На счет настройки файрвола, что именно может блокировать?

SysError
() автор топика
Ответ на: комментарий от SysError

На счет настройки файрвола, что именно может блокировать?

Я Вам несколько раз уже про это писал - проверьте параметры цепочки forward. Для начала установите политику по умолчанию для этой цепи на пропуск всех пакетов (iptables -P FORWARD ACCEPT). Если поможет, значит, Вы нашли виновника, надо детально разбираться в настройках iptables на машине с CentOS.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Да я прописывал и данную команду, но видимо что то могу упускать. Пересмотрел доки и все команды которые могли бы помочь были использованы и опробованы. Я вижу что вы пишите и ценю ваши порывы помочь мне. Просто я хочу до конца разобраться в этом и доделать. Просто из-за моего «опыта», которого нет в этом направлении, мне сложнее быстрее адаптироваться и направиться в нужном направлении.

SysError
() автор топика
Ответ на: комментарий от Serge10

Пробовал так прописывать. 

iptables -A FORWARD -s 192.168.8.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.8.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp1s5 -j MASQUERADE
route add default gw 192.168.100.254
iptables -A FORWARD -i enp1s1 -o enp1s5 -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i enp1s5 -o enp1s1 -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -j SNAT --to-source 192.168.100.254
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o enp1s1 -j SNAT --to-source 192.168.100.166
iptables -t nat -A PREROUTING -i enp1s1 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.8.101
iptables -t nat -A PREROUTING -i enp1s5 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.8.101
iptables -P FORWARD ACCEPT
или
iptables -P FORWARD DROP

SysError
() автор топика
Ответ на: комментарий от Serge10

Получилось. 

systemctl stop nagios
systemctl stop nagiosxi
systemctl stop postfix
systemctl stop dovecot

iptables -A FORWARD -s 192.168.8.0/24 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.8.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp1s5 -j MASQUERADE
route add default gw 192.168.100.254
iptables -A FORWARD -i enp1s1 -o enp1s5 -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i enp1s5 -o enp1s1 -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -j SNAT --to-source 192.168.100.254
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o enp1s1 -j SNAT --to-source 192.168.100.166
iptables -t nat -A PREROUTING -i enp1s1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.8.101
iptables -t nat -A PREROUTING -i enp1s5 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.8.101
iptables -t nat -A PREROUTING -d 192.168.0.0/24 -i enp1s1 -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 3128
iptables -P FORWARD ACCEPT

SysError
() автор топика
Ответ на: комментарий от SysError

Получилось.

Рад за Вас. Правда, не понял, зачем Вы сервисы поостанавливали.

По поводу настроек iptables. Все Ваши записи с модификациями цепочки FORWARD (iptables -A FORWARD...) в данном контексте бессмысленны, т. к. политика по умолчанию задана на пропуск пакетов.

Тут есть два варианта. Если Вы полностью доверяете машинам в сети 192.168.8.0, то можете так и оставить настройки. При этом все правила модификации цепи FORWARD можно убрать, оставить только задание политики (iptables -P FORWARD ACCEPT).

Ну и второй вариант - разрешить форвардинг только тех портов и протоколов, которые необходимы. Например, полезно закрыть соединения на 25 порт tcp-протокола, исходящие с машин сети 192.168.8.0/24 - этим Вы нейтрализуете активность спамовых бот-сетей, которые могут завестись на машинах сети 192.168.8.0/24.

Если Вы пойдете по этому варианту, то нужно будет вернуть политику по умолчанию для цепи FORWARD в состояние DROP и тщательно настроить саму цепь с помощью iptables.

Serge10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
General