Ubuntu router

[ghost07]

Всем привет.
Столкнулся с проблемами при настройке ubuntu под роутер.

Настроил /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback
#Первый интерфейс, забирает интернет
auto eth0
iface eth0 inet dhcp
hwaddress ether 00:1e:8c:xx:xx:xx


#Второй интерфейс, раздает интернет
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0


#Автоматическое подключение vpn-соединения
auto ppp0
iface ppp0 inet ppp
pre-up ip link set eth0 up
provider vpn
sleep 30

post-up /etc/nat

для vpn соединения указал все настройки указал в одном файле
/etc/ppp/peers/vpn

(Нажмите, чтобы показать/скрыть)

pty "pptp vpn_address --nolaunchpppd"
user *
password *
nodeflate
nobsdcomp
noauth
defaultroute
replacedefaultroute
mtu 1476
persist
maxfail 0

Создал скрипт /etc/nat, сделал его исполняемым, в файле /etc/sysctl.conf раскомментировал строчку net.ipv4.ip_forward = 1
И как выше описано в interfaces добавил в самый низ "POST-UP /etc/nat

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Включаем форвардинг пакетов
echo 1 >/proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

При такой конфигурации сети, перезагружая сетевые службы ругается на post-up, на эту строчку в interfaces.

Вопрос, что делаю не так?
Еще один не мало важный вопрос - как могли заметить у меня инет через vpn pptp.
Автозапуск я прописал в interfaces, но при перезагрузке системы соединение ppp не поднимается. Приходится ругами рестартовать сетевые службы.
Видимо ppp пытается подключиться еще тогда, когда eth0 не поднялся.
Я попытался указать настройку sleep 30, но она не помогает. Подскажите, что с этим можно сделать?

Заранее спасибо всем, кто откликнется

[fisher74]

Если в sysctl.conf выставили net.ipv4.ip_forward, то в скрипте строка "echo 1 >/proc/sys/net/ipv4/ip_forward" лишняя
post-up должен принадлежать какому-либо интерфейсу, а не в воздухе висеть. Обычно правила подгружают после поднятия lo-интерфейса.
А правила?... А правила дурацкие... Зачем что-то разрешать, если по умолчанию разрешено всё?

[ghost07]

Ок, ок. Первый раз это делаю и каждый в своих мануалах пишет по разному.

Оставил только эти правила
 # Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

post-up выставил сразу за eth1, заработало.

Теперь локалка доступна с дочерних компов. Интернет - нет. Видимо нужно еще правило какое-то прописать для ppp0

[fisher74]

совершенно верно. Нужно добавить тот же маскарадинг, только "-o ppp+"
А вообще я бы сделал так, как предлагается в соответсвующей прикреплённой теме про расшариг интернета, а именно

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

post-up выставил сразу за eth1, заработало.

Ну да... чё тут всякую херь советуют, куда эту команду прилепить?

[ghost07]

Спасибо большое  за помощь.

Сделал по интсрукции
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE

Последний вопрос. По DHCP провайдер выдает свой dns, он соответственно записывается в /etc/resolv.conf
Как лучше сделать, чтобы к этому списку подпихнуть еще один dns? (он присваивается когда подключаешься по vpn, но в данном случае сейчас остается только внутренний dns, который при подключении по DHCP выдается - 172.22.22.51, внешнего IP dns нет)

[AnrDaemon]

Дать в ухо провайдеру, чтобы нормально настроил внутренный DNS сервер.

[ghost07]

Спасибо dnsmasq. Через него добавляю еще один dns. Ну и заодно сделал кэширование.