Маршрутизация. Что и как(mini-HOWTO).

[Mam(O)n]

Это значит, что пинг уходит. Точнее можно посмотреть с помощью wireshark (грубо говоря gui к tcpdump). Если mac адрес назначения совпадает с записью 192.168.1.2 в arp кэше (вывод одноименной команды arp), то у тебя точно на компе все впорядке.

[[*_*]pivo]

Тогда нужно маскардить и в локалку

Код: [Выделить]

-A POSTROUTING -i eth1 -o eth1 -j MASQUERADEи вместо интерфейса -i eth0 в правиле DNAT указать -d ип_адрес_wan

И если в цепочке forward таблицы filter пусто, советую призадуматься о ее заполнении, чтоб не быть раздатчиком халявного инета в провайдерскую сеть.

Спасибо тебе огромное, сделал по внешнему ип адресу сразу заработало, могу заходить урра!
-A POSTROUTING -i eth1 -o eth1 -j MASQUERADE   -непрокатило, ругалось непомню уже на что.
сделал
-A POSTROUTING -o eth1 -j MASQUERADE
впринципе что так что без нее работает.

Но осталась еще проблема, неработает мониторинг, сайт крутится на том же самом сервере-маршрутизаторе, в чем может быть дело?
Впринципе волшебный скрипт мониторинга должен запросить данные с серверов по домену по протоколу udp на порт 27015
но чтото его непускает (или невыпускает исходящее),
если прописать вместо домена внутренние адреса то все отлично работает,
 под денвером всегда работало,
 даже кидаешь этот скрипт на любую другую инет машину с адресами моих серверов - все показывает,
тоесть получается
прописываю в скрипт домен или внешний ип:
он работает на любом вебсервере инета
он работает на любой вебсервере внутри локалки
он НЕРАБОТАЕТ НА МОЕМ ВЕБСЕРВЕРЕ(маршрутизаторе)
прописываю в скрипт внутренние ип адреса серверов:
он работает на моем вебсервере(маршрутизаторе)

в чем может быть проблема? 
если это те же самые потры которые мы только что открыли с вами?
коннект по внешнему ип и домену к ним превосходный
может ли какойто параметр настройки запрещать исходящее соединение кудалибо?

[Tuner]

Mam(O)n, вроде совпадает:

Код: [Выделить]

tuner@ubuntu:~$ arp
Адрес HW-тип HW-адрес Флаги Маска Интерфейс
192.168.1.1              ether   00:12:02:7d:7f:13   C                     eth0
pentium4.local           ether   00:80:38:16:fa:f0   C                     eth0
А именно: на компе 192.168.1.2 имеется две сетевухи (+ ещё одна беспроводная PCI, но она выключена). Поэтому на нём прописаны и правильно работают несколько статичных маршрутов для доступа к некоторым внутренним ресурсам одного провайдера через одну сетевуху. А интернет идет через другого провайдера по другой сетевухе.
pentium4 в моей локалке - это имя компа с адресом 192.168.1.2, а 00:80:38:16:fa:f0 - мак адрес сетевухи на этом компе, через которую комп подключен к локалке (и по которой он получает интернет).

Установил wireshark, нифигасебе софтина! Чего тут надо тыкать чтоб понять почему не робят маршруты?  

[Mam(O)n]

-A POSTROUTING -i eth1 -o eth1 -j MASQUERADE   -непрокатило, ругалось непомню уже на что.

Да, я косякнул. -o нельзя делать там. Можно только -s подсеть_локалки/cidr_префикс_подсети -d подсеть_локалки/cidr_префикс_подсети делать.

впринципе что так что без нее работает.

Да, пока не попадется хитрожопная система, которой не понравится, что один ip с разных мак адресов вещает.

должен запросить данные с серверов по домену по протоколу udp на порт 27015
...
если прописать вместо домена внутренние адреса то все отлично работает

Что за сервер мониторинга, который слушает 27015/udp? Посмотри netstat -netulup, может он только на внешнем адресе ждет подключения...
Пользователь решил продолжить мысль 20 Июня 2010, 18:36:30:

Установил wireshark, нифигасебе софтина! Чего тут надо тыкать чтоб понять почему не робят маршруты?  

Ну во-первых надо запустить её от рута, т.е. gksudo wireshark. Далее в меню найди чета там типа capture options. В появившейся форме там выбираешь интерфейс eth0 и в фильтр вбиваешь icmp, нажимаешь start и идешь пинговать. Должны показаться пинг пакеты. Там далее разберешься. На пакет тыкаешь и смотришь, куда пошли пинги, на какой мак. Он должен совпадать с маком хоста 192.168.1.2.

[Tuner]

Ну во-первых надо запустить её от рута, т.е. gksudo wireshark. Далее в меню найди чета там типа capture options. В появившейся форме там выбираешь интерфейс eth0 и в фильтр вбиваешь icmp, нажимаешь start и идешь пинговать. Должны показаться пинг пакеты. Там далее разберешься. На пакет тыкаешь и смотришь, куда пошли пинги, на какой мак. Он должен совпадать с маком хоста 192.168.1.2.

Так и сделал, тыкнул на пакет, в нижнем поле 4 раздела, мне нужен второй, по-видимому:
Ethernet II, Src: AsustekC_44:8e:40 (00:1d:60:45:8e:30), Dst: Compex_18:fa:f0 (00:80:38:16:fa:f0)
В подразделе Destination указан именно этот мак (00:80:38:16:fa:f0). Мак-адрес source тоже совпадает с реальным

[Mam(O)n]

Значит на этом компе проблем нет, пакеты ушли в правильном направлении.

[Tuner]

Это странно, на моем компе все в порядке, но пинг в терминале адресов, прописанных в стат. маршруте ничего не выдает. А вот на удаленном компе (192.168.1.2) эти адреса правильно работают и пингуются.
Значит косяк в какой то программе на удаленном компе? Я могу только сделать скромное предположение, что это может быть связано с установленными и запущенными сервисами NFS и Samba.
Кстати говоря. Просмотр удаленных рабочих столов одноименной программой с моего компа невозможен - при попытке подключения выдается ошибка:

Код: [Выделить]

Соединение закрыто
Соединение с узлом 192.168.1.2 было закрытоА вот обратный просмотр рабочего стола (при запуске этой программы с компа 192.168.1.2) работает!
Есть какие-нибудь соображения по диагностике и устранению этого глюка?

[Mam(O)n]

Ищи проблемы на 192.168.1.2, тем же wireshark можешь посмотреть, доходят ли до него те пинг пакеты и уходят ли с него в нужном направлении. Стоят ли там файрволлы и прочая нечисть... Посмотри, как там с таблицей маршрутизации дела обстоят...

[Tuner]

Пошерстил на ПК 192.168.1.2, оказалось что там пинг ведет себя точно так же  
То есть пингую маршрутизированный адрес, а терминал в ответ молчит... И в этот самый момент результаты пинга отображаются в wireshark. Причем результаты правильные, насколько я могу судить, то есть мак адрес источника (сетевухи eth1 на компе 192.168.1.2) соответствует действительности. А мак адрес назначения (некое устройство Cisco) впервые вижу, ну значит все нормально, скорей всего это мак адрес пингуемого устройства какого то узла или хоста провайдера.

Так вот, команда route -n на этом (192.168.1.2) компе правильно отображает прописанные маршруты, и эти маршруты точно работают, т.к. работает форум, DC и прочие внутренние ресурсы провайдера, адреса которых как раз и прописаны в маршрутах. Одновременно с этим через другую сетевуху (eth0) работает интернет, качается файлО. То есть маршрутизация работает, а вот пинг маршрутизированных адресов ведет себя странно. Очевидно, по этой причине пинг этих адресов на моем компе ведет себя точно так же, вот только форум, DC и прочие ресурсы недоступны.

Вот такие вот пироги, ума не приложу как это можно починить  

PS файрволов и прочей нечисти нету, все по дефолту, кроме NFS, самбы и маршрутов...

[Mam(O)n]

PS файрволов и прочей нечисти нету

Там тоже linux? Тогда мне кажется, что файрволл всеже настроен. См. sudo iptables-save на 192.168.1.2

[Tuner]

Mam(O)n, да, конечно, на всех компах U10.04.
Команда sudo iptables-save ничего не выдала, хм

[Mam(O)n]

Команда sudo iptables-save ничего не выдала, хм

sudo iptables -L -vn && sudo iptables -L -vnt nat ?

[Tuner]

Вон что выдает:

Код: [Выделить]

tuner@pentium4:~$ sudo iptables -L -vn && sudo iptables -L -vnt nat
Chain INPUT (policy ACCEPT 1109 packets, 718K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 819 packets, 830K bytes)
 pkts bytes target     prot opt in     out     source               destination         
Chain PREROUTING (policy ACCEPT 33 packets, 14052 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 32 packets, 1960 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 32 packets, 1960 bytes)
 pkts bytes target     prot opt in     out     source               destination   

[Mam(O)n]

И в этот самый момент результаты пинга отображаются в wireshark.

А результаты это значит запрос-ответ виден или только запрос?

[Tuner]

Mam(O)n, ответа (reply) нет, отображаются только запросы (request). С обоими компами такая фигня при пинге адресов маршрутов...