Не работает NAT, что не так делаю? (проблема со squid)

[kostix]

В общем ситуация. В компе 2 сетевые карточки.

одной 10.8.3.18 смотрит в локалку провайдера, и-нет по VPN (на Ubuntu уже настроен.)

ещё один интерфейс 192.168.0.1 для соединения с другим компом 192.168.0.2

Задача с помощью NAT раздавать интернет на 192.168.0.2

получается
eth0 10.8.3.18
eth1 192.168.0.1
ppp0

На Windows то у меня всё через Usergate работает. Как прокси, нат не получается сделать полноценно из-за соединения по vpn. Железки (маршрутизатора) нет.

Расскажите каким способом всё это настроить и как.
Знаю, что вроде через iptables можно, но можно ли как-нить ещё?

[Alan]

тему поднимал: https://forum.ubuntu.ru/index.php?topic=15448.0  и проблему решил но сто процентов гарантировать не могу

[kostix]

тему поднимал: https://forum.ubuntu.ru/index.php?topic=15448.0  и проблему решил но сто процентов гарантировать не могу

Спасибо почитал, но у меня немного другая ситуация. У меня vpn. Это что мне вместо

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.26.4 -j MASQUERADE

Получается в моём случае всё настраивается так чтоли? :

iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.2 -j MASQUERADE

Разве так можно?
Я вообще плохо в это разбираюсь, по-этому и создал тему чтобы по шагам объяснили.

[Alsvartr]

У меня vpn. Это что мне вместо

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.26.4 -j MASQUERADE

Получается в моём случае всё настраивается так чтоли? :

iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.2 -j MASQUERADE

Для начала достаточно просто вот этого:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

По шагам:
1. Ставите dnsmasq
2. Ставите ipmasq
3. Разрешаете форвардинг
4. Настраиваете iptables.

Более конкретно есть в прикрепленных топиках в этом же разделе. Читать внимательнее надо.

[kostix]

Для начала достаточно просто вот этого:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Что значит достаточно - если я это пропишу что-то будет работать? Что именно?

По шагам:
1. Ставите dnsmasq
2. Ставите ipmasq
3. Разрешаете форвардинг
4. Настраиваете iptables.

1. Просто установить пакет? Или что-то настроить. Если настроить то что?
2. Просто установить пакет? Или что-то настроить. Если настроить то что?
3. Подробнее можно?
4. Как именно, можно подробнее?

Более конкретно есть в прикрепленных топиках в этом же разделе. Читать внимательнее надо.

Читал, перед тем как создать тему:
В том то и дело, что там так же "подробно": настройте  dnsmasq,  ipmasq и всё нормально.
Если вы про это:
https://forum.ubuntu.ru/index.php?topic=3244.0
Тут тоже нет:
https://forum.ubuntu.ru/index.php?topic=12454.0

Просто если это так легко и все знают, то напишите, пожалуйста.

[Alsvartr]

Вы пытаетесь понять что-то, даже не зная в теории как оно работает. Этим вы ничего не добьетесь - в итоге каждый раз у вас будут возникать вопросы по любому поводу, пока вы не прочитаете мануалы. Только тогда всё встанет на места и вы уже будете знать направление, в котором действовать. А писать на форум не понимая, что конкретно нужно - это пустая трата времени. Задача форума - предоставить какие-то ссылки на материалы или помочь в решении нетривиальной проблемы или просто что-то посоветовать. Это же простая диалектика.

Вот здесь всё прекрасно расписано. Несмотря на то, что мануал для Генту, он подойдет и для любого другого дистрибутива. Мне самому он помог на некотором этапе. Конкретно там читайте "настройка DHCP-сервера" и "NAT (или IP-маскарадинг)". Этого должно хватить для решения вашего вопроса.

[kostix]

Вы пытаетесь понять что-то, даже не зная в теории как оно работает.

Ну почему, это не совсем так. Просто задал вопрос, на который можно было бы ответить одним сообщением расписав подробно (я так понимаю там писать то несколько строчек). Просто мне сейчас надо так настроить, а iptables я и так параллельно начинаю изучать. Ну не хотите писать и не надо, буду по мануалам сам всё делать. Спасибо за ссылку.

P.S:
Просто я так понимаю форум и создан чтобы решать всякие вопросы. Тогда и форум не нужен, пусть каждый сидит и разбирается с faq и man'ами. Просто сколько времени потрачено на переписку.

[Alsvartr]

Да просто зачем переписывать то, что уже написано тысячу раз?

[kostix]

Да просто зачем переписывать то, что уже написано тысячу раз?

Мда.. пасибо очень хорошая и подробная документация для gentoo. Кстати для gentoo гораздо больше более подробной и хорошей документации в целом, чем для Ubuntu почему то

Я так понимаю
эти пункты вообще не обязательны?
1. Ставите dnsmasq
2. Ставите ipmasq


Кстати почему вы написали:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Разве не надо вставлять ip или подсетку?

И других правил для NAT в iptables получается больше не надо что-ли?
i

[Alsvartr]

Мда.. пасибо очень хорошая и подробная документация для gentoo. Кстати для gentoo гораздо больше более подробной и хорошей документации в целом, чем для Ubuntu почему то

Ну не знаю, не замечал. Я далеко не фанат Генту, если честно

Я так понимаю
эти пункты вообще не обязательны?
1. Ставите dnsmasq
2. Ставите ipmasq

Ну впринципе да. Но это легче и быстрее по началу. Да и для простого расшаривания интернета на другой компьютер этого вполне достаточно.

Кстати почему вы написали:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Разве не надо вставлять ip или подсетку?

И других правил для NAT в iptables получается больше не надо что-ли?

По началу этого должно хватить для появления интернета на другой машине. Я только что таким же способом объяснил человеку по аське (кстати, тоже с форума) и у него всё заработало без проблем. А проблема оказалась весьма тривиальной, описанной в мануале.
Если будут нужны другие, более тонкие настройки - почитайте инструкции по iptables и настройте под ваши конкретные нужды. Это линукс: если нужно что-то - бери и делай

[kostix]

Так попробовал всё это осуществить:
как я уже говорил -
eth0 10.8.3.18  смотрит в сетку провайдера
eth1 192.168.0.1 соединяется с компом, которому нужен и-нет
ppp0 собственно говоря и-нет (ip адрес статический).

Попробовал как мне сказали:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Ничего не работает с 192.168.0.2 ничего не пингуется (кроме разумеется 192.168.0.1)

Попробовал по документации gentoo, которую тут советовали:

http://www.gentoo.org/doc/ru/home-router-howto.xml

Вот что делал по шагам:


# iptables -F
# iptables -t nat -F


# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD DROP


# iptables -I INPUT 1 -i 192.168.0.1 -j ACCEPT
# iptables -I INPUT 1 -i lo -j ACCEPT
# iptables -A INPUT -p UDP --dport bootps -i ! 192.168.0.1 -j REJECT
# iptables -A INPUT -p UDP --dport domain -i ! 192.168.0.1 -j REJECT


# iptables -I FORWARD -i 192.168.0.1 -d 192.168.0.0/255.255.255.0 -j DROP
# iptables -A FORWARD -i 192.168.0.1 -s 192.168.0.0/255.255.255.0 -j ACCEPT
# iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# echo 1 > /proc/sys/net/ipv4/ip_forward


Почему ничего не работает?

[Alan]

Имхо:
iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Помоему достаточно для любого соединения. Ты попробуй. Да, кстати, днс не забудь прописать у клиента

[kostix]

Имхо:
iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Помоему достаточно для любого соединения. Ты попробуй. Да, кстати, днс не забудь прописать у клиента

Гм... так 192.168.0.2 - это адрес компа КОТОРОМУ НУЖЕН ИНЕТ, я так понял по документации, что пишут
адрес второго интерфейса (у меня 192.168.0.1)? Или я чего то не так понял?

Хотя нет... получается по документации, что для всей подсетки : 192.168.0.0 я разрешил FORWARD,
а строкой iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE разрешил маскарадинг для всех???

Или я что-то не понимаю?

[Alan]

iptables -A FORWARD -d 192.168.0.2 -j ACCEPT - разрешаешь входящие пакеты для машины которой нужен инет
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT - разрешаешь исходящие пакеты для машины кторой нужен инет
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.2 -j MASQUERADE - разрешаешь использовать маскарадинг для машине которой нужен инет через интерфейс ppp0.
если тебе нужно именно всем сделать в локалке вместо адреса машины пишешь адрес подсети/маска т.е. 192.168.0.0/24

[kostix]

Имхо:
iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Помоему достаточно для любого соединения. Ты попробуй. Да, кстати, днс не забудь прописать у клиента

Всмысле днс? Какой, тот кот. у провайдера? А то на Ubuntu днс я не поднимал.
(кстати то, что не пинговалось до этого точно не из-за днс. я пробовал и pin ya.ru и ping 213.180.204.8 с той машины, результат один).