Переход на SNAT

[YellowRaccoon]

AnrDaemon,
Я не знаю, как посмотреть интересующие вас скрипты. =( Как я понимаю, внутриядерные.

Про подъем в post-up я ответил.

[anubis_donetsk]

попробуйте сделать так

Код: [Выделить]

sudo route add default gw 212.98.187.1

[AnrDaemon]

Вы не ответили - вы отмахнулись.
Показывайте содержимое вашего скрипта.

anubis_donetsk, это костыль.

[YellowRaccoon]

AnrDaemon,
cat /etc/myroute

(Нажмите, чтобы показать/скрыть)

#! /bin/sh
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 212.98.187.70
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport -s 10.168.1.0/24 ! -d 10.168.1.0/24 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

[AnrDaemon]

Код: [Выделить]

ls -l /etc/network/if-*up.d/мя?

[ArcFi]

Нестыковки:
1) там говорите про DHCP, а тут статическая конфигурация
2) в дампе правил iptables нет таблицы filter, а в скрипте есть правило для этой таблицы

[YellowRaccoon]

AnrDaemon,
ls -l /etc/network/if-up.d (звездочка - опечатка?)

(Нажмите, чтобы показать/скрыть)

-rwxr-xr-x 1 root root  530 я│п╣пҐя┌.  8  2012 000resolvconf
-rwxr-xr-x 1 root root  431 п╦я▌пҐя▐   4  2012 avahi-daemon
-rwxrwxr-x 1 root root 1677 п╪п╟я▐    3  2013 clamav-freshclam-ifupdown
-rwxr-xr-x 1 root root 1675 п╟п©я─.  28  2012 ethtool
-rwxr-xr-x 1 root root 1298 п╬п╨я┌.  26  2011 ntpdate
-rwxr-xr-x 1 root root  740 п╟п©я─.   7  2010 openssh-server
-rwxr-xr-x 1 root root  627 я│п╣пҐя┌. 10  2012 samba
-rwxr-xr-x 1 root root 1374 я│п╣пҐя┌. 12  2012 upstart
lrwxrwxrwx 1 root root   32 я│п╣пҐя┌. 13  2012 wpasupplicant -> ../../wpa_supplicant/ifupdown.sh

Про нестыковочки:
1) ип не выдает клиентам в локалке, а интерфейс, смотрящий в интернеты с белым ип
2) в выхлопе рабочих правил есть и таблица filter, просто я как-то оч криво скопипастил, простите великодушно

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Mon Nov 18 11:44:15 2013
*filter
:INPUT ACCEPT [1564532:1177713159]
:FORWARD ACCEPT [150258:11255955]
:OUTPUT ACCEPT [1449137:1329542343]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Nov 18 11:44:15 2013
# Generated by iptables-save v1.4.12 on Mon Nov 18 11:44:15 2013
*mangle
:PREROUTING ACCEPT [2854428:1756263533]
:INPUT ACCEPT [1564533:1177713328]
:FORWARD ACCEPT [1287989:578370087]
:OUTPUT ACCEPT [1449143:1329542950]
:POSTROUTING ACCEPT [2738362:1908033424]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Nov 18 11:44:15 2013
# Generated by iptables-save v1.4.12 on Mon Nov 18 11:44:15 2013
*nat
:PREROUTING ACCEPT [118909:9102338]
:INPUT ACCEPT [32050:2135905]
:OUTPUT ACCEPT [17536:1135519]
:POSTROUTING ACCEPT [440:105788]
-A PREROUTING -s 10.168.1.0/24 ! -d 10.168.1.0/24 -i eth1 -p tcp -m multiport --                                                                             dports 80 -j REDIRECT --to-ports 3128
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -o eth0 -j SNAT --to-source 212.98.187.70
COMMIT
# Completed on Mon Nov 18 11:44:15 2013

Пользователь решил продолжить мысль 18 Ноября 2013, 12:50:07:Параллельно очень важная проблема: разводил от шлюза новую сеть с wifi точками под руководством контроллера. На ноутах все кошерно, однако на телефонах скаип работает, но страницы не грузят. На отдельно далеко стоящей точке еще любопытнее: на одном телефоне страницы прогружаются, на другом - нет.

И еще, у меня в iptables нету правила для новых пакетов, только RELATED, ESTABLISHED. Это ведь не совсем верно?

[ArcFi]

Про нестыковочки

OK, понятно.
Это может помочь при диагностике дальнейших проблем.

И еще, у меня в iptables нету правила для новых пакетов, только RELATED, ESTABLISHED. Это ведь не совсем верно?

Если правила нет, значит определяется политиками.
Насколько я вижу, они все "ACCEPT".

[YellowRaccoon]

ArcFi,
А может есть идеи насчет TCP/IP пакетов? udp от скаипа пролазят.

[AnrDaemon]

(звездочка - опечатка?)

Нет, естественно.
Там два каталога - if-pre-up.d и if-up.d.
Меня интересовало содержимое обоих.
Пользователь решил продолжить мысль 18 Ноября 2013, 15:38:06:chmod -x /etc/network/if-up.d/ntpdate
Если вам нужна синхронизация времени, настройте ntpd нормально, а не костылями пользуйтесь.

Что есть ethtool ?

[YellowRaccoon]

AnrDaemon,
ls -l /etc/network/if-*up.d/
/if-pre-up.d

(Нажмите, чтобы показать/скрыть)

-rwxr-xr-x 1 root root  344 п╟п©я─.  28  2012 ethtool
-rwxr-xr-x 1 root root 3839 п╪п╟я▐    3  2012 wireless-tools
lrwxrwxrwx 1 root root   32 я│п╣пҐя┌. 13  2012 wpasupplicant -> ../../wpa_supplicant/ifupdown.sh

/if-up.d

(Нажмите, чтобы показать/скрыть)

-rwxr-xr-x 1 root root  530 я│п╣пҐя┌.  8  2012 000resolvconf
-rwxr-xr-x 1 root root  431 п╦я▌пҐя▐   4  2012 avahi-daemon
-rwxrwxr-x 1 root root 1677 п╪п╟я▐    3  2013 clamav-freshclam-ifupdown
-rwxr-xr-x 1 root root 1675 п╟п©я─.  28  2012 ethtool
-rwxr-xr-x 1 root root 1298 п╬п╨я┌.  26  2011 ntpdate
-rwxr-xr-x 1 root root  740 п╟п©я─.   7  2010 openssh-server
-rwxr-xr-x 1 root root  627 я│п╣пҐя┌. 10  2012 samba
-rwxr-xr-x 1 root root 1374 я│п╣пҐя┌. 12  2012 upstart
lrwxrwxrwx 1 root root   32 я│п╣пҐя┌. 13  2012 wpasupplicant -> ../../wpa_supplicant/ifupdown.sh

Кто такой ethtool я не знаю. команду на исполняемость ntpdate ввел, но с этой кириллицей не знаю, что он мне там написал.

Проблемы с интернетом с телефонов остались, планшеты и ноуты по-прежнему работают нормально.

[AnrDaemon]

Так отрегулируйте кодировку окна терминала уже...
И покажите содержимое скрипта ethtool.
А команду вы ввели неправильно, либо не от рута.
С /etc/netwrok/if-up.d/ntpdate должны сняться признаки выполнения.

[YellowRaccoon]

AnrDaemon,
Кодировку поправил, спасибо за пинок.

содержимое ethtool смотрел длинным путем - шел через cd в нужный каталог, и там уже cat. вот нутро:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

ETHTOOL=/sbin/ethtool

test -x $ETHTOOL || exit 0

[ "$IFACE" != "lo" ] || exit 0

# Find settings with a given prefix and print them as they appeared in
# /etc/network/interfaces, only with the prefix removed.
# This actually prints each name and value on a separate line, but that
# doesn't matter to the shell.
gather_settings () {
    set | sed -n "
/^IF_$1[A-Za-z0-9_]*=/ {
    h;                             # hold line
    s/^IF_$1//; s/=.*//; s/_/-/g;  # get name without prefix
    y/ABCDEFGHIJKLMNOPQRSTUVWXYZ/abcdefghijklmnopqrstuvwxyz/;  # lower-case
    p;
    g;                             # restore line
    s/^[^=]*=//; s/^'\(.*\)'/\1/;  # get value
    p;
}"
}

# Gather together the mixed bag of settings applied with -s/--change
SETTINGS="\
${IF_LINK_SPEED:+ speed $IF_LINK_SPEED}\
${IF_LINK_DUPLEX:+ duplex $IF_LINK_DUPLEX}\
"

# WOL has an optional pass-key
set -- $IF_ETHERNET_WOL
SETTINGS="$SETTINGS${1:+ wol $1}${2:+ sopass $2}"

# Autonegotiation can be on|off or an advertising mask
case "$IF_ETHERNET_AUTONEG" in
'')     ;;
on|off) SETTINGS="$SETTINGS autoneg $IF_ETHERNET_AUTONEG" ;;
*)      SETTINGS="$SETTINGS autoneg on $IF_ETHERNET_AUTONEG" ;;
esac

[ -z "$SETTINGS" ] || $ETHTOOL --change "$IFACE" $SETTINGS

SETTINGS="$(gather_settings ETHERNET_PAUSE_)"
[ -z "$SETTINGS" ] || $ETHTOOL --pause "$IFACE" $SETTINGS

SETTINGS="$(gather_settings HARDWARE_IRQ_COALESCE_)"
[ -z "$SETTINGS" ] || $ETHTOOL --coalesce "$IFACE" $SETTINGS

SETTINGS="$(gather_settings HARDWARE_DMA_RING_)"
[ -z "$SETTINGS" ] || $ETHTOOL --set-ring "$IFACE" $SETTINGS

SETTINGS="$(gather_settings OFFLOAD_)"
[ -z "$SETTINGS" ] || $ETHTOOL --offload "$IFACE" $SETTINGS

chmod -x /etc/network/if-up.d/ntpdate ввел рутом, все ок, ни на что не ругнулся, выполняемость снялась.

[AnrDaemon]

Мда, это начинает становиться интересным. Что же у вас шлюзы сбивает?

[YellowRaccoon]

AnrDaemon,
Моя не знать. *разводит руками* Я даже пока не понимаю, о чем именно вы говорите. Пока из видимых лично мне косяков имеется косяк в кернеле (О_о). Если нужно, то суть проблемы в том, что он ругается при загрузке на volume boot has only 0 bytes бла-бла. Гугл отсоветовал почистить linux-image-, посмотрев предварительно, какую версию пользую я, и все, что ниже - удалить. Однако и так не вышло: он ругнулся на неудовлетворенные зависимости и предложил apt-get -f install. На эту команду сначала предлагает подгрузить что-то, потом в эту же траблу выпадает.