Не работает NAT, что не так делаю? (проблема со squid)

[Alexz]

у тебя в качестве dns сервером указан адрес твоего шлюза

dns 172.16.0.1

Клиенты посылают  DNS-запросы на этот адрес, а там он не работает... А по адресу выданному провайдером имеется DNS сервер, поэтому и инет у тебя работает.
маскарад- это когда файрвол сам автоматически определяет внешний интерфейс (его IP адрес) и перезаписывает адрес источника в пакете адресом внешнего интерфейса файервола.
снат (SNAT)- когда ты сам задаешь адрес источника, который ты используешь для покидающих Вашу локальную сеть пакетов.

[Userz]

Все примеры организации NAT, которые я нашел, были именно через MASQUERADE.
Чем SNAT лучше или хуже?

[AnrDaemon]

Либо плохо смотрели, либо эти "все примеры" относились к ppp с пляшущими IP на реконнекте.
Если у тебя внешний IP не меняется от смены фазы луны (i.e. от ребута до ребута), MASQUERADE будет попусту жрать ресурсы, лучше SNAT использовать.

[Userz]

eth0 (внешняя) ip:192.168.7.100/24 gw:192.168.7.1 dns:10.10.10.10
eth1 (внутренняя) ip:172.16.0.1/24
нужно посредством нат пробросить интернет на 1 ПК
ip:172.16.0.2/24 gw:172.16.0.1 dns1:172.16.0.1 dns2:10.10.10.10
если:
$iptables -A FORWARD -i eth1 -s 172.16.0.0/255.255.255.0 -j ACCEPT
$iptables -A FORWARD -i eth0 -d 172.16.0.0/255.255.255.0 -j ACCEPT
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
все работает, нашел пример через SNAT
$iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -j SNAT --to-source 192.168.7.1
$iptables -P FORWARD ACCEPT
не работает, в чем ошибка?
И еще, если через MASQUERADE iptables -L отображается правило, а через SNAT нет.

[AnrDaemon]

читать документацию до просветления.
Ошибка очевидная.

[Userz]

AnrDaemon
Спасибо за содержательный ответ.
А ошибку таки нашел
$iptables -P FORWARD ACCEPT
$iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -j SNAT --to-source 192.168.7.100
Всем спасибо.

[AnrDaemon]

Ну так... была бы не очевидная - помог бы, а так - тебе же лучше, сам разобрался, чему-то научился, в следующий раз решишь проблему быстрее.

[Userz]

Еще вопрос, если нужно пробросить через NAT только пакеты в направлении определенного IP нужно для каждого IP прописывать правило? Типа:
$iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 100.100.100.1 -j SNAT --to-source 192.168.7.100
$iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 100.100.100.2 -j SNAT --to-source 192.168.7.100
$iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 100.100.100.3 -j SNAT --to-source 192.168.7.100
и т.д.
И еще вопрос
Хотел пробросить через NAT пакеты в направлении определенных портов
$iptables -t nat -A POSTROUTING -s 172.16.0.0/24 --dports 1024-65535 -j SNAT --to-source 192.168.7.100
не заработало, пришлось прописывать для каждого IP правило.

[AnrDaemon]

Можно несколько адресов указать через запятую... вроде...
По второму вопросу ничего не могу сказать - не хочу врать, а тестировать сейчас уже лень - домой хочу.

[obsessionsys]

https://forum.ubuntu.ru/index.php?topic=54691.0   Посмотри пригодиться, хорошая весчь....без всяких юзергейтов на масдае и т.д. весть трафик vpn посчитает

[vworld]

Код: [Выделить]

iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.2 -j MASQUERADEсхема у меня такая
eth0 в провайдера смотрит
wlan0 в локалку
сейчас получается следующее
с ноута (192.168.0.2) пинги ходят до wlan0
с ноута пинги ходят до eth0
но пинги на шлюз не идут так же как и до сервера VPN
хотя с самой машинки (мой шлюз) нормально идет в инет
что подскажете?