почему не работает nat iptables vlan

[renat906]

Задача отправить пользователей в инет через нат
ip провайдера 10,10,0,15 ( это vlan1)
ip локалки 192,168,0,0/24 ( это vlan2)

сделано
в /etc/sysctl.conf

Код: [Выделить]

net.ipv4.ip_forward=1
iptables

Код: [Выделить]

*nat
:PREROUTING ACCEPT [4735:465309]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 10.10.0.15
COMMIT
*filter
:INPUT DROP [4172:399276]
:FORWARD DROP [12:624]
:OUTPUT ACCEPT [84:13248]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Подскажите, почему не работает.
Вторую сетевую карту вставить к сожалению нет возможности

[Michail1_1]

а если попробовать так:

-A FORWARD -i vlan2 -o vlan1 -j ACCEPT
-A FORWARD -i vlan1 -o vlan2 -m state --state RELATED,ESTABLISHED -j ACCEPT

[renat906]

сейчас
-A FORWARD -i vlan2 -o vlan2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan1 -o vlan2 -m state --state RELATED,ESTABLISHED -j ACCEPT

Бессполезно

[Michail1_1]

из локалки пропускать все пакеты, без проверки признака. в локалку - установленные и присоединённые

[renat906]

попробовал, не помогло

[Michail1_1]

вот с теми правилами, которые ты выше изложил?

[renat906]

нет
вот что сейчас

Код: [Выделить]

*nat
:PREROUTING ACCEPT [4735:465309]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 10.10.0.15
COMMIT
*filter
:INPUT DROP [4172:399276]
:FORWARD DROP [12:624]
:OUTPUT ACCEPT [84:13248]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -o vlan1 -j ACCEPT
-A FORWARD -i vlan1 -o vlan2 -m state --state RELATED,ESTABLISHED -j ACCEPT


[AnrDaemon]

А можно полюбоваться на ifconfig с сервера и tracepath ya.ru с  клиента?

[MooSE]

вот тут я описывал как настроить нат сразу для пятнадцати сетей. вобщем основные правила такие:

Код: [Выделить]

        iptables -A FORWARD -i vlan2 -o vlan3 -s 192.168.1.0/255.255.255 -j ACCEPT
        iptables -A FORWARD -i vlan3 -o vlan2 -d 192.168.1.0/255.255.255 -m state --state RELATED,ESTABLISHED -j ACCEPT
        iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255 -j MASQUERADE -o vlan3

И да, vlan1 не бывает. То есть бывает, но под ним подразумевается "нетэгированый" трафик. Так что попробуй поменять номера у себя. Например использовуй vlan2 и vlan3.

[renat906]

Спасибо, а насчет vlan1 это можно настроить как душе угодно, по крайней мере на моем железе

[MooSE]

Спасибо, а насчет vlan1 это можно настроить как душе угодно, по крайней мере на моем железе

Тогда отпиши чем закончилось:)

[renat906]

после

Код: [Выделить]

iptables -A FORWARD -i vlan2 -o vlan3 -s 192.168.1.0/24 -j ACCEPT
        iptables -A FORWARD -i vlan3 -o vlan2 -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT начинают ходить пинги наружу, которые пропадают сразу после прописывания

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE -o vlan3

[Frank]

Смени FORWARD DROP на ACCEPT и всё заработает. Маскарад не нужен.

[renat906]

Всем огромное спасибо! Проблема оказалась проста, как её решить правда пока не знаю, ip провайдера 10,10,0,15
сети 192,168,х,х и 172,16,х,х натятся нормально а вот с сетями 10,х,х,х на которых я это все дело проверял проблема
видимо у ядра из-за этого крыша съезжает

[MooSE]

Всем огромное спасибо! Проблема оказалась проста, как её решить правда пока не знаю, ip провайдера 10,10,0,15
сети 192,168,х,х и 172,16,х,х натятся нормально а вот с сетями 10,х,х,х на которых я это все дело проверял проблема
видимо у ядра из-за этого крыша съезжает

Реквестирую вывод:

Код: [Выделить]

sudo ip route
Пользователь решил продолжить мысль 04 Февраля 2010, 01:04:16:

Смени FORWARD DROP на ACCEPT и всё заработает. Маскарад не нужен.

не-не-не дэвид блейн. не надо ставить для FORWARD политику ACCEPT. чревато сюрпризами.

MASQUERADE нужен. либо SNAT.