iptables DNAT

[komex]

user@host:~$ traceroute 10.0.0.1
traceroute to 10.0.0.1 (10.0.0.1), 30 hops max, 60 byte packets
 1  router.domain.ru (192.168.1.1)  3.767 ms  3.718 ms  3.681 ms
 2  10.0.0.1 (10.0.0.1)  6.562 ms  6.907 ms  7.133 ms
user@host:~$ netstat -rn
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0     0.0.0.0         255.255.255.224 U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth1

Не совсем понял, что вы хотели этим сказать. traceroute 10.0.0.1 работает, а traceroute 178.130.0.1 нет.

Куда ты в -t nat -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT подевал? Должно быть первой строчкой, как и в -t filter -A FORWARD.

Хм. Забыл добавить. Когда эксперементировал с настройками убрал, а потом, когда заработало, забыл добавить? Это очень важно?

Это не столько важно, сколько полезно.
Простой пример:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

$ iptables -vL
Chain INPUT (policy DROP 207K packets, 40M bytes)
 pkts bytes target     prot opt in     out     source               destination
  18M 6187M ACCEPT     all  --  any    any     anywhere             anywhere            ctstate RELATED,ESTABLISHED
 205K   16M ACCEPT     all  --  lo     any     anywhere             anywhere            ctstate NEW
    4   228 ACCEPT     gre  --  any    any     anywhere             anywhere
 1079 65390 ACCEPT     icmp --  any    any     anywhere             anywhere
 404K   56M ACCEPT     all  --  !eth1  any     192.168.35.0/24      anywhere            ctstate NEW
46527 2329K SSH_CHECK  tcp  --  any    any     anywhere             anywhere            multiport dports discard,ssh,smtp,pop3 ctstate NEW
38322 1839K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:discard ctstate NEW
  652 36848 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh ctstate NEW
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:smtp ctstate NEW reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:www ctstate NEW reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            tcp dpt:pop3 ctstate NEW reject-with icmp-port-unreachable
   12   584 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:1723 ctstate NEW
 207K   40M LOG        all  --  !eth1  any     anywhere             anywhere            LOG level warning

Chain FORWARD (policy DROP 46734 packets, 1931K bytes)
 pkts bytes target     prot opt in     out     source               destination
  19M   14G ACCEPT     all  --  any    any     anywhere             anywhere            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere            ctstate DNAT
 416K   25M ACCEPT     all  --  !eth1  any     192.168.35.0/24      anywhere            ctstate NEW
46734 1931K LOG        all  --  !eth1  any     anywhere             anywhere            LOG level warning

Chain OUTPUT (policy ACCEPT 26M packets, 26G bytes)
 pkts bytes target     prot opt in     out     source               destination
  462 27720 ACCEPT     tcp  --  any    lo      anywhere             anywhere            tcp dpt:smtp ctstate NEW

Chain SSH_CHECK (1 references)
 pkts bytes target     prot opt in     out     source               destination
46527 2329K            all  --  any    any     anywhere             anywhere            ctstate NEW recent: SET name: SSH side: source
 7553  452K REJECT     all  --  any    any     anywhere             anywhere            ctstate NEW recent: UPDATE seconds: 90 hit_count: 4 name: SSH side: source reject-with icmp-port-unreachable

Посмотри на количество пакетов, прошедших через каждое правило.

Но в некоторых ситуациях настройки это бывает и важно тоже. Портфорвард - одна из них.

Хм. Надо наверное поглубже изучить маршрутизацию. А эти правила для какой сети? Домашней? Сколько компов? =)

[AnrDaemon]

Небольшой офис. Около 16 компов стационарных, 4 ноута подключаются по VPN.

[komex]

Здравствуйте. Долгое время все работал инет по настройкам в этой теме. Т.е. приложения типа talk, icq и прочее нормально работают, а в браузере стоит настройка прокси.
Если прокси отключить, то на 80 порт запросы идут немного медленнее, но идут. Но подключиться на 443 порт совсем никак не получается без прокси (timeout).
В чем может быть проблема? И как ее можно решить?

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Sat Mar 12 00:01:52 2011
*filter
:INPUT ACCEPT [63:4050]
:FORWARD ACCEPT [22:1144]
:OUTPUT ACCEPT [47:26789]
COMMIT
# Completed on Sat Mar 12 00:01:52 2011
# Generated by iptables-save v1.4.4 on Sat Mar 12 00:01:52 2011
*nat
:PREROUTING ACCEPT [3375162:371860492]
:OUTPUT ACCEPT [2285132:201418106]
:POSTROUTING ACCEPT [884335:88828544]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 49160 -j DNAT --to-destination 192.168.0.1
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 58559 -j DNAT --to-destination 192.168.0.2
-A PREROUTING ! -i eth1 -p tcp -m tcp --dport 9177:9778 -j DNAT --to-destination 192.168.0.2
-A PREROUTING ! -i eth1 -p udp -m udp --dport 9179 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8333 -j DNAT --to-destination 192.168.0.1
-A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/8 -o eth0 -j SNAT --to-source 10.2.5.24
-A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source IP
COMMIT
# Completed on Sat Mar 12 00:01:52 2011

[AnrDaemon]

В MTU. Решить снижением.

[komex]

В MTU. Решить снижением.

О! Спасибо большое! Помогло! =))

P.S. Правда не просто снизил MTU, а выставил правило

Код: [Выделить]

iptables -I FORWARD -p tcp -o ppp0 --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[AnrDaemon]

-o внешний интерфейс
забыл. При условии, что MTU на внешнем интерфейсе стоит правильно.

[komex]

-o внешний интерфейс
забыл. При условии, что MTU на внешнем интерфейсе стоит правильно.

Точно. Добавил. =)