раздача инета в локальную сеть.

[fisher74]

Гхм... Давайте ещё раз, если уж у Вас не сохраняется

Код: [Выделить]

sudo iptables -t nat -D POSTROUTING -o eth1 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ну и добавим

Код: [Выделить]

sudo iptables -D FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
P.S. Вопрос сохранения нового списка правил при перезагрузке мы не рассматриваем.

[Jursha]

на клиенте все также локальные сайты открываются, а при пинге инетовских адресов (имеется ввиду ya.ru и 8.8.8.8 ) пишит все тоже "Заданный порт не доступен". может не там копать нужно?

[fisher74]

сейчас можете показать правила?
Пользователь решил продолжить мысль 27 Августа 2012, 11:13:07:Кстати... А давайте-ка вот так вот ещё сделаем

Код: [Выделить]

sudo iptables -D FORWARD -i ppp0 -o ppp0 -j REJECT --reject-with icmp-port-unreachable
sudo iptables -D FORWARD -i eth1 -o ppp0 -j REJECT --reject-with icmp-port-unreachable

[Jursha]

сейчас можете показать правила?
Пользователь решил продолжить мысль 27 Августа 2012, 11:13:07:Кстати... А давайте-ка вот так вот ещё сделаем

Код: [Выделить]

sudo iptables -D FORWARD -i ppp0 -o ppp0 -j REJECT --reject-with icmp-port-unreachable
sudo iptables -D FORWARD -i eth1 -o ppp0 -j REJECT --reject-with icmp-port-unreachable

Яххууу заработало после последних строк которые  в этом посте. Вы прям шаман.

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Mon Aug 27 11:15:35 2012
*mangle
:PREROUTING ACCEPT [1686983:579025180]
:INPUT ACCEPT [1682566:577657864]
:FORWARD ACCEPT [2500:1207674]
:OUTPUT ACCEPT [2581590:2992666140]
:POSTROUTING ACCEPT [2584931:2994025036]
COMMIT
# Completed on Mon Aug 27 11:15:35 2012
# Generated by iptables-save v1.4.4 on Mon Aug 27 11:15:35 2012
*nat
:PREROUTING ACCEPT [10026:1156612]
:POSTROUTING ACCEPT [9807:862964]
:OUTPUT ACCEPT [20947:1791557]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Aug 27 11:15:35 2012
# Generated by iptables-save v1.4.4 on Mon Aug 27 11:15:35 2012
*filter
:INPUT ACCEPT [16818:1622624]
:FORWARD ACCEPT [1824:836701]
:OUTPUT ACCEPT [2581590:2992666140]
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 --name DEFAULT --rsource -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 445 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 445 -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Aug 27 11:15:35 2012

Обьясните пожалуйста в чем была проблема, т.к. iptables для меня темный лес.

[fisher74]

Вообще у Вас странные, очень странные правила. Всё раскрыто, но что-то, например ssh, закрыто.

Предлагаю удалить все текущие правила и сделать всё заново и правильно:

Код: [Выделить]

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE
Всё красивее и доступнее для понимания происходящего

[Jursha]

(Нажмите, чтобы показать/скрыть)

PATH=/usr/sbin:/sbin:/bin:/usr/bin
# delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT
# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
# Disabling SMB connections from Internet
iptables -A INPUT -i ppp0 -p tcp --dport microsoft-ds -j DROP
iptables -A INPUT -i ppp0 -p udp --dport microsoft-ds -j DROP
# SSH connect policy. Allow only 2 connections within 10 minute period.
iptables -I INPUT -p tcp --dport 22 -i ppp0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i ppp0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP
# Masquerade.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# mtu
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Don't forward from the outside to the inside.
iptables -D FORWARD -i ppp0 -o ppp0 -j REJECT --reject-with icmp-port-unreachable
iptables -D FORWARD -i eth1 -o ppp0 -j REJECT --reject-with icmp-port-unreachable
# Enable routing.
echo 1 > /proc/sys/net/ipv4/ip_forward

добавил ваши 2 строки в замен последних у себя инет появляется но перестают открываться локальные сайты.
сейчас вставлю в новый скрипт предлагаемые настройки отпишусь.
Пользователь решил продолжить мысль 27 Августа 2012, 13:03:19:

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin
# delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# write new rules
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE

В общем запустил я его, все работает на ура и локальные сайты открываются и инет работает. Все одновременно, не нарадаюсь. Так что теперь меня рвать не будут. Огромное вам спасибо за помощь.

Вообще у Вас странные, очень странные правила. Всё раскрыто, но что-то, например ssh, закрыто.

Правила может от первого скрипта которым пользовался? А так система можно сказать чистая недавно поставленная, так как предыдущая рухнула.

[AnrDaemon]

Всё! Полное описание структуры сети.

[Jursha]

Всё! Полное описание структуры сети.

Не понял...?

[AnrDaemon]

Чего именно вы не поняли? Что вывихи и переломы по фотографии мы не лечим?
Давайте полное описание сетевых подключений сервера, с указанием адресации, шлюзов, маршрутов.

[Jursha]

eth0: локальная сеть провайдера
eth1: моя локальная сеть
ppp0: vpn соединение с инетом

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr bc:ae:c5:8d:e5:94 
          inet addr:10.58.194.141  Bcast:10.58.199.255  Mask:255.255.248.0
          inet6 addr: fe80::beae:c5ff:fe8d:e594/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3126609 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6885715 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:664872984 (664.8 MB)  TX bytes:1294465113 (1.2 GB)
          Interrupt:26 Base address:0xc000

eth1      Link encap:Ethernet  HWaddr bc:ae:c5:a6:9a:bd 
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::beae:c5ff:fea6:9abd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1159 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:97519 (97.5 KB)
          Interrupt:22 Base address:0xe480

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:133936 errors:0 dropped:0 overruns:0 frame:0
          TX packets:133936 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:11971940 (11.9 MB)  TX bytes:11971940 (11.9 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:2.94.237.184  P-t-P:89.179.17.202  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1460  Metric:1
          RX packets:721460 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1611176 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:41617677 (41.6 MB)  TX bytes:2302224234 (2.3 GB)

на клиенте прописано:
ip: 10.0.0.2
маска: 255.255.255.0
шлюз: 10.0.0.1
днс: 10.0.0.1 и 2 днс провайдера

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
89.179.17.202   10.58.192.1     255.255.255.255 UGH   0      0        0 eth0
89.179.17.202   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
78.107.38.219   10.58.192.1     255.255.255.255 UGH   0      0        0 eth0
78.107.38.211   10.58.192.1     255.255.255.255 UGH   0      0        0 eth0
78.107.38.213   10.58.192.1     255.255.255.255 UGH   0      0        0 eth0
78.107.122.0    10.58.192.1     255.255.255.240 UG    0      0        0 eth0
85.21.72.80     10.58.192.1     255.255.255.240 UG    0      0        0 eth0
217.118.84.0    10.58.192.1     255.255.255.0   UG    0      0        0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
233.33.210.0    10.58.194.141   255.255.255.0   UG    0      0        0 eth0
78.107.52.0     10.58.192.1     255.255.255.0   UG    0      0        0 eth0
10.58.192.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth1
10.0.0.0        10.58.192.1     255.0.0.0       UG    0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

[AnrDaemon]

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE

[Jursha]

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE

После такого исправления работает только инет, на локальные ресурсы провайдера перестает идти пинг.
Может лучше оставить как было зачем перенастраивать, то что все таки заработало?

[AnrDaemon]

Добавьте
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[Jursha]

Добавьте
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

С этой строкой на оборот локальные ресурсы работают, а инет пропадает.

[AnrDaemon]

ДОБАВЬТЕ а не ЗАМЕНИТЕ...
Вроде по-русски же пишу.