dnsmasq нужна помощ специалиста

[MercilessMir]

AnrDaemon,
Давай не выхлёстывать это в мир, есть косяк, пиши мне.
Да и по делу, зачем столько правил делающих одно и тоже, процессорное время девать некуда? отдай его мне. Я найду куда его деть:)

[vacheslav]

Как я понимаю как это работает (iptables):
Я создаю правило
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Оно помещается в iptables-save (временно, до ребута ситемы)
В этом правиле -t указывает имя таблицы (nat), -A POSTROUTING (добавить в цепочку POSTROUTING), -o eth0 указывает имя выходного интерфейса (только не пойму - это куда пакеты выходят, т. е. выходят в интернет или от какого интерфейса они приходят т. е. из локалки), -j MASQUERADE (что такое -j не пойму, а MASQUERADE это типа замена ip адреса пакетов из одной подсети на ip из другой).
iptables-save > /etc/iptables.up.rules
Сохраняю все правила из iptables-save в файл /etc/iptables.up.rules
echo "pre-up iptables-restore < /etc/iptables.up.rules">>/etc/network/interfaces
Создаю строчку в /etc/network/interfaces, которая будет при старте системы прописывать в iptables-restore правила хранящиеся в /etc/iptables.up.rules
И как я понимаю все должно работать, если конечно я имя выходного интерфейса правильно указал.
iptables.up.rules

(Нажмите, чтобы показать/скрыть)

Generated by iptables-save v1.4.21 on Thu Feb 13 06:12:07 2003
*nat
:PREROUTING ACCEPT [38:18407]
:INPUT ACCEPT [2:149]
:OUTPUT ACCEPT [3:360]
:POSTROUTING ACCEPT [3:360]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Feb 13 06:12:07 2003
# Generated by iptables-save v1.4.21 on Thu Feb 13 06:12:07 2003
*filter
:INPUT ACCEPT [2995:259178]
:FORWARD ACCEPT [9:456]
:OUTPUT ACCEPT [2135:268624]
COMMIT
# Completed on Thu Feb 13 06:12:07 2003

1) Я правильно механику понимаю?

2) На счет строчки no-dhcp-interface=eth0, я так понимаю она указывает на то, чтобы dnsmasq не лез на интерфейс eth0 (пробовал закоментировать, эффекта не заметил).

3) Не смотря на настройки /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# интернет
auto eth0
iface eth0 inet dhcp

# сеть1
auto eth1
iface eth1 inet static
        address 192.168.10.1
        netmask 255.255.255.0

# сеть2
auto eth2
iface eth2 inet static
        address 192.168.11.1
        netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.up.rules

eth0 получает ip после ребута системы, только после команды dhclient да и то через какое то время.

4) и еще
на интерфейсе eth2 dhcp так и не хочет работать. Что на него может еще влиять?
/etc/dnsmasq.conf

(Нажмите, чтобы показать/скрыть)

#no-dhcp-interface=eth0

interface=eth1
dhcp-range=eth1,192.168.10.100,192.168.10.200,7d
dhcp-option=eth1,2,255,255,255,0
dhcp-option=eth1,3,192.168.10.1

interface=eth2
dhcp-range=eth2,192.168.11.100,192.168.11.200,7d
dhcp-option=eth2,2,255.255.255.0
dhcp-option=eth2,3,192.168.11.1

Сетевая карта рабочая.

Вопросов конечно уйма, надеюсь подскажите.

[AnrDaemon]

Как я понимаю как это работает (iptables):
Я создаю правило
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Оно помещается в iptables-save (временно, до ребута ситемы)

Оно помещается в цепочку POSTROUTING таблицы nat нетфильтра.

В этом правиле -t указывает имя таблицы (nat), -A POSTROUTING (добавить в цепочку POSTROUTING), -o eth0 указывает имя выходного интерфейса

Да.

(только не пойму - это куда пакеты выходят, т. е. выходят в интернет или от какого интерфейса они приходят т. е. из локалки),

Всё неправильно.
-o указывает, что с этого интерфейса пакеты собрались систему покинуть.
Локалка это, интернет - нетфильтр об этом не то что не знает, ему на это глубоко наплевать. Хоть локальная петля - всё едино.

-j MASQUERADE (что такое -j не пойму,

-j - "jump"…

а MASQUERADE это типа замена ip адреса пакетов из одной подсети на ip из другой).

Нет. Цель MASQUERADE - это замена адреса отправителя пакета на адрес интерфейса, с которого пакет уходит.
Процесс долгий (сначала надо определить, какой там адрес), поэтому, если адрес статический лучше использовать цель SNAT, указав адрес явно.

iptables-save > /etc/iptables.up.rules
Сохраняю все правила из iptables-save в файл /etc/iptables.up.rules

Нет. Сохраняете все активные правила netfilter… iptables-save это просто инстумент, как и iptables.

echo "pre-up iptables-restore < /etc/iptables.up.rules">>/etc/network/interfaces
Создаю строчку в /etc/network/interfaces, которая будет при старте системы прописывать

Да. Кстати, "<" лишнее.

в iptables-restore

iptables-restore это просто инструмент. Всё равно что сказать "прописал в молоток гвозди".

И как я понимаю все должно работать, если конечно я имя выходного интерфейса правильно указал.

Прежде чем говорить "всё должно работать", надо пойти и проверить, что именно наворотили твои команды в системе.

iptables.up.rules

(Нажмите, чтобы показать/скрыть)

Generated by iptables-save v1.4.21 on Thu Feb 13 06:12:07 2003
*nat
:PREROUTING ACCEPT [38:18407]
:INPUT ACCEPT [2:149]
:OUTPUT ACCEPT [3:360]
:POSTROUTING ACCEPT [3:360]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Feb 13 06:12:07 2003
# Generated by iptables-save v1.4.21 on Thu Feb 13 06:12:07 2003
*filter
:INPUT ACCEPT [2995:259178]
:FORWARD ACCEPT [9:456]
:OUTPUT ACCEPT [2135:268624]
COMMIT
# Completed on Thu Feb 13 06:12:07 2003

Тебе уже указали на проблему с этим набором. Проверь ещё раз.

1) Я правильно механику понимаю?

Почти.

2) На счет строчки no-dhcp-interface=eth0, я так понимаю она указывает на то, чтобы dnsmasq не лез на интерфейс eth0 (пробовал закоментировать, эффекта не заметил).

Я не мастер в dnsmasq, в ISC-DHCP такая команда бы означала, что надо игнорировать запросы DHCP на этом интерфейсе.

3) Не смотря на настройки /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# интернет
auto eth0
iface eth0 inet dhcp

# сеть1
auto eth1
iface eth1 inet static
        address 192.168.10.1
        netmask 255.255.255.0

# сеть2
auto eth2
iface eth2 inet static
        address 192.168.11.1
        netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.up.rules

А почему у вас настройки сменились с начала топика?…

eth0 получает ip после ребута системы, только после команды dhclient да и то через какое то время.

Надо смотреть, что там происходит.
Повесте монитор на eth0/dhcp и смотрите после загрузки системы.

[vacheslav]

Спасибо большое за разъяснения по iptablees.

Правило исправлю или его вообще стоит переделать через SNAT.
А записывается оно аналогично?
iptables -t nat -A POSTROUTING -o eth1 -j SNAT
или вообще указать статический адрес, а не eth1

[AnrDaemon]

Прежде чем что-то исправлять, поймите, что именно вы делаете.
А то конфиги туда-сюда раскачиваете, а потом "ойнеработает".

[vacheslav]

А почему у вас настройки сменились с начала топика?…

переустанавливал систему, решил привести к более стандартному виду, чтобы легче ориентироваться.

[AnrDaemon]

А с чего вы взяли, что тут есть какие-то стандарты?…
Для меня вот нормально, что eth0 - LAN.

[vacheslav]

А с чего вы взяли, что тут есть какие-то стандарты?…
Для меня вот нормально, что eth0 - LAN.

Да это понятно, что кому как удобнее, то так и делает, вот и я решил сделать удобнее для себя