Не получается раздать интернет с сети шлюза А на сеть Шлюза B

[Ataraxia]

Есть рабочий шлюз на Ubuntu 9.10, назовем его Ш1, он раздает инет в сетку.

Его Настройки:

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# интернет
auto eth0
iface eth0 inet dhcp

# сеть
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

(Нажмите, чтобы показать/скрыть)

echo 1 > /proc/sys/net/ipv4/ip_forward

#Настройка файрволла

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Пропускаем пакеты уже установленных соединений
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Пропускаем обратную петлю
iptables -A INPUT -i lo -j ACCEPT

# Пускаем локалку
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

# Поднимаем nat
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 188.000.000.0
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Почтовые клиенты
iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 000,00,000,000 -j ACCEPT

# Wi-Fi (хот-спот) откуда собственно по витой паре и идет инет на Шлюз2
iptables -I INPUT -s 192.168.1.101 -p tcp --dport 22 -j DROP

в /etc/resolv.conf

Код: [Выделить]

nameserver 192.168.100.10
nameserver 188.113.128.99
установлен сквид.

настраиваю 2ой шлюз Ш2 на Ubuntu 11.10, к инету подцепил его через Ш1
сделано это было через роутер (хот-спот), т.е. при подключении физически шнура от роутера к Ш2 на последним появился инет без всяких ограничений\паролей на вход.

Сеть настроил на Ш2 так:

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# интернет
auto eth0
iface eth0 inet dhcp

# сеть
auto eth1
iface eth1 inet static
address 192.168.2.1
netmask 255.255.255.0

Поставил SSH.

Код: [Выделить]

sudo apt-get install openssh-server
sudo service ssh start

Поставил isc-dhcp-server

В /etc/default/isc-dhcp-server выставил 

Код: [Выделить]

INTERFACES="eth1"
В /etc/dhcp/dhcpd.conf внес:

(Нажмите, чтобы показать/скрыть)

# Определение глобальных настроек
 option domain-name "example.org";
 option domain-name-servers 192.168.2.1;
 option routers 192.168.2.1;
 default-lease-time 600;
 max-lease-time 259200;
 authoritative;
#
 # Здесь указана подсеть адресов для выдачи клиентам,
 # маска подсети, и диапазон выдаваемых адресов.
 subnet 192.168.2.0 netmask 255.255.255.0 {
         range 192.168.2.200 192.168.2.250;

Далее

Код: [Выделить]

sudo service isc-dhcp-server start
SSH работает, dhcp тоже. Т.е. компы в сети Ш2 получают адреса типа: 192.168.2.200 шлюз 192.168.2.1 dns 192.168.2.1

Приступаю к настройке НАТ и тут чего-то не получается.
Может это из за противоречии настроек 1го и 2го шлюза?

Делаю так:

1) в /etc/sysctl.conf раскомментирую строчку:

Код: [Выделить]

net.ipv4.ip_forward=1
2) /etc/rc.local

(Нажмите, чтобы показать/скрыть)

#Настройка файрволла

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Пропускаем пакеты уже установленных соединений
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Пропускаем обратную петлю
iptables -A INPUT -i lo -j ACCEPT

# Пускаем локалку
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT

# Masquerade.
 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

В итоге Интернет на сеть 192.168.2.0/24 не раздается (
Сеть есть, я даже захожу на sams Ш1 по 192.168.1.1/sams/

Что должно быть в /etc/resolv.conf ? У меня стоит 192.168.1.1

Что не так? bind9 я не ставил, из за этого инета нет? Или в iptables я где ошибся.

[fisher74]

Ну так разрешите локалке ходить через цепочку FORWARD.

И не кормите нас своими волшебными скриптами. Показывайте результирующие правила

[Ataraxia]

И не кормите нас своими волшебными скриптами. Показывайте результирующие правила

Что есть "волшебные скрипты" ?
Какие такие правила вам показать?

Ну так разрешите локалке ходить через цепочку FORWARD.

Так?
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

Код: [Выделить]

apple@server7:~$ sudo iptables -L
[sudo] password for apple:
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  192.168.2.0/24       anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.2.0/24       anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[fisher74]

Читали?

[Ataraxia]

Читал, первых постов 5ть точно и что конкретно я там должен был почерпнуть?
настройку интерфейса? так вроде настроен он.

а про iptables как я понял из написанного + комента ниже:
вот эта запись в /etc/rc.local должна раздавать инет.:

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
что мы видим:
эта запись в любом подгружаемом файле при старте

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forwardравно вот этому вбитому руками в /etc/sysctl.conf -

Код: [Выделить]

net.ipv4.ip_forward = 1 что у меня и вбито.

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE присутствует.

про цепочку FORWARD там вообще пусто.

единственное что пишут про dns. так я и спрашивал надо bind ставить или чего делать ...
накой нужен dnsmasq который вроде как и DNS-прокси и DHCP-сервер в одном лице если у меня уже стоит ISC или я чего то не понимаю.

[fisher74]

Да, про FORWARD там действительно дефолтный ACCEPT, извините.

Так?
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

Можно и так.

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE присутствует.

Этого не видно было.
Правила нужно показывать так:

Код: [Выделить]

sudo iptables-saveТогда и наводящих вопросов по ним не будет.

Должно по идее работать.
Пробуйте с клиента в сети 192.168.2.0/24

Код: [Выделить]

ping -c2 192.168.1.1
ping -c2 8.8.8.8

[Гарри Кашпировский]

Собсно показывайте ip r c Ш1 и Ш2