Вопрос по настройке шлюза (IPtables)

[Alex_SS]

Всем доброго времени суток.
Настраивая ubuntu в роли шлюза делал так:
две сетевухи eth0-интернет eth1-локалка
ifconfig eth1 10.10.0.9 netmask 255.255.255.0

sysctl net.ipv4.ip_forwarding=1 (раскоментировал аналогичную строку в /etc/sysctl.conf)
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 10.10.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -t filter -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

Насколько понимаю строка net.ipv4.ip_forwarding=1 включает перенаправление пакетов на цепочку FORWARD. Счетчик показывает что пакеты приходят на INPUT а не на FORWARD.

Если не затуднит, ткните пальцем на что обратить внимание.

PS:В Linuxах совсем зеленый, буду особо признателен за развернутое пояснение и/или линки по теме.

PSS: net.ipv4.ip_forwarding=1 включает ту самую маршрутизацию которая которая на схеме:
http://www.frozentux.net/iptables-tutorial/chunkyhtml/images/tables_traverse.jpg
Верно ли понимаю?

Заранее спасибо.

[xeon_greg]

на схеме - строение iptables. ip_forward=1 разрешает прохождение пакетов по цепочке форвард.

Если не затуднит, ткните пальцем на что обратить внимание.

в каком плане? все в той или иной степени важно.

[Alex_SS]

на схеме - строение iptables. ip_forward=1 разрешает прохождение пакетов по цепочке форвард.

Если не затуднит, ткните пальцем на что обратить внимание.

в каком плане? все в той или иной степени важно.

Имел ввиду: подскажите что делаю не так, что переделать/доделать.

[aSmile]

iptables -t nat -A POSTROUTING -j MASQUERADE

Допиши -o eth0, иначе он пакеты из интернета тоже маскирует под локальный адрес.

[xeon_greg]

sysctl net.ipv4.ip_forwarding=1 (раскоментировал аналогичную строку в /etc/sysctl.conf)

такого ключа нет
писал из головы ?. давай сюда то, что есть на самом деле

Код: [Выделить]

sysctl net.ipv4.ip_forward
sudo iptables-save -c


[Alex_SS]

(Нажмите, чтобы показать/скрыть)

alexs@ubuntu:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

alexs@ubuntu:~$ sudo iptables-save -c
# Generated by iptables-save v1.4.12 on Fri Jun 15 05:28:39 2012
*filter
:INPUT ACCEPT [48:3504]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [28:2424]
[0:0] -A FORWARD -s 10.10.0.0/24 -i eth1 -o eth0 -m conntrack --ctstate NEW -j ACCEPT
[0:0] -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Fri Jun 15 05:28:39 2012
# Generated by iptables-save v1.4.12 on Fri Jun 15 05:28:39 2012
*nat
:PREROUTING ACCEPT [13:2333]
:INPUT ACCEPT [10:1541]
:OUTPUT ACCEPT [22:1756]
:POSTROUTING ACCEPT [9:612]
[13:1144] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 15 05:28:39 2012

[fisher74]

Код: [Выделить]

sudo iptables -P FORWARD DROPИ всё будет тип-топ.
Хотя без этого тоже будет работать, но через шлюз может просматриваться голый зад.

[Alex_SS]

как это поможет?)
Пользователь решил продолжить мысль 15 Июня 2012, 17:49:56:Вся сеть делается в VMware(в т.ч. клиентские машины).

[fisher74]

Повторюсь

Хотя без этого тоже будет работать

[Alex_SS]

Быть может проблема с маршрутизацией? 

[fisher74]

Может и в мршрутизации, а может и в способах тестирования работоспособности шлюза. Показывайте интерфейсы, таблицу маршрутизации и как проверяете