Доброго времени.

Суть проблемы - есть две машины в сети С. 1 машина с одним интерфейсом (eth0:5.5.5.5), просто висит в инете. 2 машина имеет два интерфейса, одним (vmbr0) смотрит в инет (IP:20.20.20.20), вторым (vmbr2) в локалку (192.168.0.0/24).

Нужно из локалки второй машины (192.168.0.0/24) пускать все пакеты через GRE-туннель между первой и второй машиной в интернет, чтобы 1 машина выступала в качестве шлюза.

Собственно туннель:

1 машина:

ip tunnel add tunnel0 mode gre local 5.5.5.5 remote 20.20.20.20 ttl 255 key 0xffafdfdf
ip link set tunnel0 up
ip addr add 10.0.0.1/24 peer 10.0.0.2/24 dev tunnel0
ip route add 192.168.0.0/24 via 10.0.0.2 dev tunnel0

2 машина:

ip tunnel add tunnel0 mode gre local 20.20.20.20 remote 5.5.5.5 ttl 255 key 0xffafdfdf
ip link set tunnel0 up
ip addr add 10.0.0.2/24 peer 10.0.0.1/24 dev tunnel0

Пытаюсь использовать TPROXY, но что-то подсказывает что можно без него:

1 машина:

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

2 машина

iptables -t mangle -I PREROUTING -p tcp -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j TPROXY --on-ip 10.0.0.1 --on-port 0

tcpdump -I tunnel0 #молчит на обоих машинах

Так же выключен rp_filter на второй машине:

cat /proc/sys/net/ipv4/conf/all/rp_filter
0

Прошу помощи, что не хватает данной конфигурации? Если «tcpdump -I tunnel0» молчит даже на второй машине, то что-то именно на ней настроено не так?

Доброго времени.

Мучаюсь с попытками связать шлюз локальной сети с прокси-сервером за пределами локальной сети при помощи iptables.

Отправляю все пакеты приходящие на 80 порт с локальной машины на внешний IP командой:

iptables -t mangle -A PREROUTING -s 192.168.222.7 -p tcp --dport 80 -j TPROXY --on-ip 123.123.123.123 --on-port 777

На 123.123.123.123 ищу данные пакеты, но все глухо...

iptables -t mangle -A PREROUTING -p tcp --sport 777 -j LOG --log-prefix "KUKU: "

Собственно вопрос: возможна ли в принципе такая конструкция, когда прокси находится за пределами локальной сети и можно ли на него перебрасывать пакеты таким образом? Может на прокси какую-либо директиву изменить надо чтобы пакеты доходили хотябы до mangle если в получателе указан другой IP?

ШЛЮЗ# uname -a Linux 4.2.6-1-xxx #x86_64 GNU/Linux iptables v1.4.21

PROXY# uname -a Linux 3.14.32-xxxx-grs-ipv6-64 #x86_64 GNU/Linux iptables v1.4.21

На обоих устройствах включено: echo 1 > /proc/sys/net/ipv4/ip_forward

Добрый день.

Третий день ищу в манах ответ на вопрос: почему не работает данная конструкция?

(смысл: правила 1, 2 и 3 по трем стукам в ping добавляют в таблицу LETMEIN записи, правило 5 дропает коннекты по tcp на порт 111 если в таблице LETMEIN нет 3 попаданий по ping)

1 iptables -A INPUT -p icmp --icmp-type echo-request -m recent --name LETMEIN --set
2 iptables -A INPUT -p icmp --icmp-type echo-request -m recent --name LETMEIN --update --seconds 10 --hitcount 1
3 iptables -A INPUT -p icmp --icmp-type echo-request -m recent --name LETMEIN --update --seconds 10 --hitcount 2

4 iptables -A INPUT -p icmp --icmp-type echo-request -m recent --name LETMEIN --rcheck --seconds 10 --hitcount 3 -j LOG --log-prefix "LETMEIN: "

5 iptables -A INPUT -p tcp -m multiport --dports 111 -m recent --name LETMEIN ! --rcheck --hitcount 3 -j DROP

Лог пишет что попадание правил 1,2,3 было, но правило 5 все равно срабатывает...

Терзают смутные сомнения что таблицы recent для TCP и ICMP разные, но нигде не смог найти тому подтверждение. Подскажите можно ли это как-то проверить и как выйти из ситуации?