samba server во второй локалке

[dobriivoin]

Добрый день! Есть шлюз(ubuntu server 14.04) c 3мя сетевыми каратами. 1ая-инет, 2ая и 3я для двух локальных подсетей. Все настроено и работает! Во второй  подсети есть отдельная машина с самба сервером, куда планируется сливать бэкапы шлюза и подключать сетевые диски клиентских компов из двух подсетей. Клиенты второй подсети входят на самба сервер без проблем. А вот не могу организовать доступ клиентам первой подсети. Как разрешить можно данную проблему?
Например? чтоб клиенты 192.168.182.0/24 могли подключатся к самбе(192.168.1.17)?

[koshev]

Доброго времени! Я попробую задать вопрос за Вас, а Вы мне в этом поможете.
Итак: есть две сети 192.168/24 и 192.168.1/.... у них общий шлюз с тремя интерфейсами.
ifconfig; route -n; iptables-save

Код: (text) [Выделить]

....В сетях 192.168/24 и 192.168.1/.... работае(ю)т dhcp-server('s)
grep -Ev '^#|^$' /etc/dhcp/dhcpd.conf

Код: (text) [Выделить]

....В сети 192.168.1/.... находиться Samba-server.
ifconfig; route -n; iptables-save; testparm

Код: (text) [Выделить]

....Проблема: хосты в сети 192.168/24 не могут подключится к Samba-серверу в сети 192.168.1/....
***********************************************************************************************
Пожалуйста, замените .... на значения по смыслу. 

[AnrDaemon]

Например, исправить настройки шлюза. Всё должно работать, если вы ничего не мудрили.

[dobriivoin]

шлюз с тремя интерфейсами:
ifconfig

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr c2:9a:8b:df:82:cf
          inet addr:XX.XX.XX.XZ  Bcast:XX.XX.XX.255  Mask:255.255.255.0
          inet6 addr: fe80::c09a:8bff:fedf:82cf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:87704438 errors:0 dropped:0 overruns:0 frame:0
          TX packets:70048821 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:476023153 (476.0 MB)  TX bytes:3502310001 (3.5 GB)

eth1      Link encap:Ethernet  HWaddr fa:d4:2e:15:6f:0c
          inet addr:192.168.100.254  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::f8d4:2eff:fe15:6f0c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:69123402 errors:0 dropped:3718 overruns:0 frame:0
          TX packets:83743184 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3621128512 (3.6 GB)  TX bytes:3476110085 (3.4 GB)

eth2      Link encap:Ethernet  HWaddr 2e:01:f7:4d:70:93
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::2c01:f7ff:fe4d:7093/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4603105 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3914381 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:352807872 (352.8 MB)  TX bytes:504989035 (504.9 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:126987 errors:0 dropped:0 overruns:0 frame:0
          TX packets:126987 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15827049 (15.8 MB)  TX bytes:15827049 (15.8 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.182.1  P-t-P:192.168.182.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:67981183 errors:0 dropped:0 overruns:0 frame:0
          TX packets:85073920 errors:0 dropped:2308 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:2543868470 (2.5 GB)  TX bytes:4279290882 (4.2 GB)
Только на tun0 есть dhcp-server;
route -n

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         XX.XX.XX.XZ      0.0.0.0         UG    0      0        0 eth0
XX.XX.XX.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.182.0   0.0.0.0         255.255.255.0   U     0      0        0 tun0

iptables-save

Код: [Выделить]

:FORWARD ACCEPT [2086732:1587199293]
:OUTPUT ACCEPT [53446:25713740]
:POSTROUTING ACCEPT [2140178:1612913033]
COMMIT
# Completed on Wed May 20 13:10:28 2015
# Generated by iptables-save v1.4.21 on Wed May 20 13:10:28 2015
*nat
:PREROUTING ACCEPT [271930:21809363]
:INPUT ACCEPT [13245:897839]
:OUTPUT ACCEPT [328:33685]
:POSTROUTING ACCEPT [196:19932]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8086 -j DNAT --to-destination 192.168.1.17:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.1.9:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8084 -j DNAT --to-destination 192.168.1.9:8081
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8082 -j DNAT --to-destination 192.168.1.15:8006
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8083 -j DNAT --to-destination 192.168.1.8:8080
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.1.8:8081
-A POSTROUTING -d 192.168.182.0/24 -j SNAT --to-source 192.168.1.2
-A POSTROUTING -d 192.168.1.0/24 -j SNAT --to-source 192.168.182.1
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth2 -j SNAT --to-source XX.XX.XX.XZ
COMMIT
# Completed on Wed May 20 13:10:28 2015
# Generated by iptables-save v1.4.21 on Wed May 20 13:10:28 2015
*filter
:INPUT DROP [1803:264658]
:FORWARD ACCEPT [1118743:847362162]
:OUTPUT ACCEPT [25967:11578505]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.137.0/24 -i tun0 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-upto 1/hour --hashlimit-burst 2 --$
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 3799 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3799 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j DROP
-A INPUT -s 192.168.182.0/24 -p tcp -m tcp --dport 135 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.182.0/24 -p tcp -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.182.0/24 -p tcp -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.182.0/24 -p udp -m udp --dport 135 -j ACCEPT
-A INPUT -s 192.168.182.0/24 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -s 192.168.182.0/24 -p udp -m udp --dport 1024 -j ACCEPT
-A INPUT -s 192.168.182.0/24 -p udp -m udp --dport 445 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 135 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 135 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 1024 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 445 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3990 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -d 192.168.100.0/24 -i eth0 -p tcp -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth0 -p tcp -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -i eth1 -p tcp -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -d 192.168.182.0/24 -i eth1 -p tcp -j ACCEPT
-A FORWARD -s 192.168.182.0/24 -d 192.168.100.254/32 -i tun0 -j ACCEPT
-A FORWARD -s 192.168.182.0/24 -d 192.168.100.0/24 -i tun0 -j ACCEPT
-A FORWARD -d 192.168.100.0/24 -i eth0 -p tcp -j ACCEPT
-A FORWARD -i tun0 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o tun0 -j ACCEPT
-A FORWARD -i eth1 -j DROP
-A FORWARD -o eth1 -j DROP
-A fail2ban-ssh -s 202.83.16.236/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Wed May 20 13:10:28 2015


Samba-server.

ifconfig

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr ae:03:27:d3:1e:56
          inet addr:192.168.1.17  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::ac03:27ff:fed3:1e56/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2265 errors:0 dropped:0 overruns:0 frame:0
          TX packets:374 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:173225 (173.2 KB)  TX bytes:57793 (57.7 KB)

lo .........
iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.21 on Wed May 20 13:11:57 2015
*filter
:INPUT ACCEPT [70:5280]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [54:11104]
COMMIT
# Completed on Wed May 20 13:11:57 2015
 testparm

Код: [Выделить]

Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[printers]"
Processing section "[print$]"
Processing section "[files]"
Processing section "[director]"
Processing section "[doina]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

Проблема: Да именно это, что хосты в сети 192.168.182./24 не могут подключится к Samba-серверу в сети 192.168.1/
Понимаю, что проблема в настройках шлюза.

[AnrDaemon]

-A POSTROUTING -d 192.168.182.0/24 -j SNAT --to-source 192.168.1.2
-A POSTROUTING -d 192.168.1.0/24 -j SNAT --to-source 192.168.182.1
-A POSTROUTING -o eth2 -j SNAT --to-source XX.XX.XX.XZ

Убрать нахрен.

[dobriivoin]

Убрал, но результата нет!
Пользователь решил продолжить мысль [time]21 Май 2015, 15:40:57[/time]:Решил пока таким способом: но хочу узнать другие варианты.

Код: [Выделить]

$IPTABLES -t nat -I PREROUTING -p tcp -i tun0  --dport 135 -j DNAT --to-destination 192.168.1.17:135
$IPTABLES -t nat -I PREROUTING -p tcp -i tun0  --dport 139 -j DNAT --to-destination 192.168.1.17:139
$IPTABLES -t nat -I PREROUTING -p tcp -i tun0 --dport 445 -j DNAT --to-destination 192.168.1.17:445
###udp
$IPTABLES -t nat -I PREROUTING -p udp -i tun0  --dport 135 -j DNAT --to-destination 192.168.1.17:135
$IPTABLES -t nat -I PREROUTING -p udp -i tun0  --dport 137 -j DNAT --to-destination 192.168.1.17:137
$IPTABLES -t nat -I PREROUTING -p udp -i tun0  --dport 138 -j DNAT --to-destination 192.168.1.17:138
$IPTABLES -t nat -I PREROUTING -p udp -i tun0  --dport 139 -j DNAT --to-destination 192.168.1.17:139
$IPTABLES -t nat -I PREROUTING -p udp -i tun0  --dport 1024 -j DNAT --to-destination 192.168.1.17:1024
$IPTABLES -t nat -I PREROUTING -p udp -i tun0  --dport 445 -j DNAT --to-destination 192.168.1.17:445





[AnrDaemon]

А при чём тут tun0 ?

[dobriivoin]

модуль  TUN-драйвера активирован в моей системе для корректной работы  контроллера  доступа  Chillispot. Он у меня указан в описании  интерфейсов.