раздача инета только на 1 компьютер в сети

[AnrDaemon]

iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
лучше заменить на модуль conntrack

conntrack - алиас state начиная с Ubuntu 8.04 что ли. Раньше это было не так.

[censor]

да просто что б не ходили по сети анахронизмы.
хотя да, работает.

[AnrDaemon]

Сложно сказать, что есть анахронизм сейчас. state писать короче.

[thomas1234]

eth0 - локалка
eth1 - внешка
ppp0 создаётся при подключении интернета

Код: [Выделить]

tom@mail:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 20:cf:30:8c:bf:c5
          inet6 addr: fe80::22cf:30ff:fe8c:bfc5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:33508 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29343 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:8069387 (8.0 MB)  TX bytes:4845277 (4.8 MB)
          Interrupt:26 Base address:0xa000

eth1      Link encap:Ethernet  HWaddr 00:1e:58:a7:c3:54
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:58ff:fea7:c354/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:111912 errors:0 dropped:0 overruns:0 frame:0
          TX packets:49736 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:11909791 (11.9 MB)  TX bytes:9240406 (9.2 MB)
          Interrupt:20

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:17196 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17196 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3111281 (3.1 MB)  TX bytes:3111281 (3.1 MB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.22.133.198  P-t-P:192.22.133.7  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:30648 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26508 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:7223182 (7.2 MB)  TX bytes:4071550 (4.0 MB)


[censor]

выполнить 1 раз

Код: [Выделить]

echo "net.ipv4.conf.all.forwarding=1" |sudo tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.forwarding=1" |sudo tee -a /etc/sysctl.conf
sudo sysctl -p
убрать

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward


Код: [Выделить]

iptables -t filter -P FORWARD DROP
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
iptables -t filter -A FORWARD -i ppp0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o ppp0 -m mac --mac-source E0:CB:4E:C0:BD:9D -j ACCEPT


[thomas1234]

чета нифига не получается. делаю как посоветовал мне censor - пропадает напрочь инет через нат у всех, хотя я много маков вписал, ниукого не работает.Ерунда какая-то короче выходит.

[censor]

вывод
ifconfig
iptables-save -c
под спойлер

[thomas1234]

ifconfig

(Нажмите, чтобы показать/скрыть)

root@mail:/# ifconfig
eth0      Link encap:Ethernet  HWaddr 20:cf:30:8c:bf:c5
          inet6 addr: fe80::22cf:30ff:fe8c:bfc5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:701622 errors:0 dropped:0 overruns:0 frame:0
          TX packets:716280 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:388611607 (388.6 MB)  TX bytes:694292667 (694.2 MB)
          Interrupt:26

eth1      Link encap:Ethernet  HWaddr 00:1e:58:a7:c3:54
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:58ff:fea7:c354/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:488240 errors:0 dropped:0 overruns:0 frame:0
          TX packets:474537 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:185267762 (185.2 MB)  TX bytes:390082359 (390.0 MB)
          Interrupt:20

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:300067 errors:0 dropped:0 overruns:0 frame:0
          TX packets:300067 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1118329269 (1.1 GB)  TX bytes:1118329269 (1.1 GB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:193.33.144.197  P-t-P:193.33.144.7  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:698142 errors:0 dropped:0 overruns:0 frame:0
          TX packets:712505 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:373022768 (373.0 MB)  TX bytes:678370864 (678.3 MB)

iptables-save -c

(Нажмите, чтобы показать/скрыть)

root@mail:/# iptables-save -c
# Generated by iptables-save v1.4.4 on Mon Aug 27 21:42:56 2012
*nat
:PREROUTING ACCEPT [19509:1587941]
:POSTROUTING ACCEPT [31241:1988699]
:OUTPUT ACCEPT [31241:1988699]
[0:0] -A PREROUTING -d 193.33.144.197/32 -p tcp -m tcp --dport 60124 -j DNAT --t                               o-destination 192.168.1.6:3389
[0:0] -A PREROUTING -d 193.33.144.197/32 -p tcp -m tcp --dport 60123 -j DNAT --t                               o-destination 192.168.1.10:3389
[29:1492] -A PREROUTING -d 193.33.144.197/32 -p tcp -m tcp --dport 4899 -j DNAT                                --to-destination 192.168.1.51:4899
[2:88] -A PREROUTING -d 193.33.144.197/32 -p tcp -m tcp --dport 1723 -j DNAT --t                               o-destination 192.168.1.8
[0:0] -A POSTROUTING -d 192.168.1.6/32 -p tcp -m tcp --dport 3389 -j SNAT --to-s                               ource 192.168.1.1
[0:0] -A POSTROUTING -d 192.168.1.10/32 -p tcp -m tcp --dport 3389 -j SNAT --to-                               source 192.168.1.1
[29:1492] -A POSTROUTING -d 192.168.1.51/32 -p tcp -m tcp --dport 4899 -j SNAT -                               -to-source 192.168.1.1
[4322:280667] -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
[2:88] -A POSTROUTING -d 192.168.1.8/32 -p tcp -m tcp --dport 1723 -j SNAT --to-                               source 192.168.1.1
[0:0] -A OUTPUT -d 193.33.144.197/32 -p tcp -m tcp --dport 60124 -j DNAT --to-de                               stination 192.168.1.6:3389
[0:0] -A OUTPUT -d 193.33.144.197/32 -p tcp -m tcp --dport 60123 -j DNAT --to-de                               stination 192.168.1.10:3389
[0:0] -A OUTPUT -d 193.33.144.197/32 -p tcp -m tcp --dport 4899 -j DNAT --to-des                               tination 192.168.1.51:4899
[0:0] -A OUTPUT -d 193.33.144.197/32 -p tcp -m tcp --dport 1723 -j DNAT --to-des                               tination 192.168.1.8
COMMIT
# Completed on Mon Aug 27 21:42:56 2012
# Generated by iptables-save v1.4.4 on Mon Aug 27 21:42:56 2012
*mangle
:PREROUTING ACCEPT [1432814:1663378941]
:INPUT ACCEPT [897058:1308844648]
:FORWARD ACCEPT [534839:354485977]
:OUTPUT ACCEPT [890213:1820231630]
:POSTROUTING ACCEPT [1425054:2174718263]
[7965:389752] -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss                                --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Aug 27 21:42:56 2012
# Generated by iptables-save v1.4.4 on Mon Aug 27 21:42:56 2012
*filter
:INPUT ACCEPT [604983:194497663]
:FORWARD ACCEPT [534900:354488483]
:OUTPUT ACCEPT [891652:1820802305]
:fail2ban-apache - [0:0]
:fail2ban-apache-multiport - [0:0]
:fail2ban-courierauth - [0:0]
:fail2ban-dovecot - [0:0]
:fail2ban-postfix - [0:0]
:fail2ban-roundcube - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
[77808:67129312] -A INPUT -p tcp -m multiport --dports 25,465,143,220,993,110,99                               5 -j fail2ban-courierauth
[1748:394796] -A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache
[49973:65912173] -A INPUT -p tcp -m multiport --dports 25,465 -j fail2ban-postfi                               x
[561:48908] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
[79491:67501176] -A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143                               ,993,2000 -j fail2ban-postfix
[1748:394796] -A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-mu                               ltiport
[509:44812] -A INPUT -p tcp -m tcp --dport 22 -j fail2ban-ssh
[509:44812] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh-ddos
[79491:67501176] -A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143                               ,993,2000 -j fail2ban-dovecot
[79491:67501176] -A INPUT -p tcp -m multiport --dports 80,443,25,587,110,995,143                               ,993,2000 -j fail2ban-roundcube
[293443:1115082750] -A INPUT -i lo -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.6/32 -i 192.168.1.1 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.10/32 -i 192.168.1.1 -j ACCEPT
[0:0] -A FORWARD -d 192.168.1.51/32 -i 192.168.1.1 -j ACCEPT
[231:11712] -A FORWARD -d 192.168.1.8/32 -i ppp0 -o eth1 -p tcp -m tcp --dport 1                               723 -j ACCEPT
[0:0] -A FORWARD -i eth1 -o eth0 -j ACCEPT
[0:0] -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[1748:394796] -A fail2ban-apache -j RETURN
[1748:394796] -A fail2ban-apache-multiport -j RETURN
[77808:67129312] -A fail2ban-courierauth -j RETURN
[79491:67501176] -A fail2ban-dovecot -j RETURN
[9:432] -A fail2ban-postfix -s 2.185.159.18/32 -j DROP
[129334:133385256] -A fail2ban-postfix -j RETURN
[0:0] -A fail2ban-postfix -j RETURN
[79491:67501176] -A fail2ban-roundcube -j RETURN
[1018:89624] -A fail2ban-ssh -j RETURN
[0:0] -A fail2ban-ssh -j RETURN
[509:44812] -A fail2ban-ssh-ddos -j RETURN
COMMIT
# Completed on Mon Aug 27 21:42:56 2012

Щас нат работает - но на всех компах.

[censor]

ппц

eth0 - локалка
eth1 - внешка
ppp0 создаётся при подключении интернета

судя по выводу ifconfig на локальном интерфейсе вообще нет адреса, про правила iptables вообще молчу (жесть полная). пока осознаете какое правило и что делает, эта каша не заработает.
разбираемся с интерфейсами, прописываем предложенные правила потом по одному добавляем новые правила.

[thomas1234]

Опечатался я тогда походу =) eth1 - локалка (192.168.1.1) eth0 - внешка, там все пров даёт... И походу я нашёл где косяк сидит ...
iptables -t filter -P FORWARD DROP
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
iptables -t filter -A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -o ppp0 -m mac --mac-source E0:CB:4E:C0:BD:9D -j ACCEPT
так должно быть. я то сижу со своим маком за eth1. а роутер пытается фильтрануть на eth0 - судя по правилам которые Вы мне до этого давали... и в итоге ни у кого нет инета.... Эх ненадо было в воскресенье сервак в эксплуатацию пускать, алкоголь с пятницы не выветрился тогда наверное.
А то что правил много - так у меня 3 порта на разные тачки пробрасываются + ВПН на другой сервак прокидывается. И вроде как даже все работает, тьфу*3 ...

[censor]

касаемо проброса pptp - https://forum.ubuntu.ru/index.php?topic=192140.0

[thomas1234]

VPN у меня пробрасывается отдельным скриптом 

(Нажмите, чтобы показать/скрыть)

#! /bin/sh

modprobe ip_nat_pptp
modprobe ip_gre
modprobe ip_conntrack_pptp
modprobe ip_conntrack_ftp

iptables -t nat -A PREROUTING --dst 193.33.144.197 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.8
iptables -t nat -A POSTROUTING --dst 192.168.1.8 -p tcp --dport 1723 -j SNAT --to-source 192.168.1.1
iptables -t nat -A OUTPUT --dst 193.33.144.197 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.8
iptables -I FORWARD 1 -i ppp0 -o eth1 -d 192.168.1.8 -p tcp -m tcp --dport 1723 -j ACCEPT

[censor]

iptables -t nat -A POSTROUTING --dst 192.168.1.8 -p tcp --dport 1723 -j SNAT --to-source 192.168.1.1
iptables -t nat -A OUTPUT --dst 193.33.144.197 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.8
вот это нафиг не надо

modprobe ip_nat_pptp
modprobe ip_gre
modprobe ip_conntrack_pptp
modprobe ip_conntrack_ftp
как я писал в приведенной выше теме, один модуль nf_nat_pptp тянет за собой по зависимостям все остальные, так что их указывать не обязательно. ну и лучше все таки прописать в /etc/modules
Пользователь решил продолжить мысль 28 Августа 2012, 14:16:41:пересмотрел остальные модули, и нафига там ip_conntrack_ftp и остальные?..

[thomas1234]

я пока в модулях не ковырялся, сделал по какому - то мануалу. моя проблемка щас нат на 1 локальную машину.... попозже правила тестить буду, как нат заработает как надо, буду доводить до идеала все остальное

[thomas1234]

Сегодня тестировал правила. Нат работает как мне надо. Буду теперь разбираться с пробросом портов и со всем остальным. Спасибо censor, помог очень сильно