Поправил, но проблема теперь не в этом - при загрузке
перезагрузка шла минут пять из-за того, что не мог включиться wlan0.
И еще одна, на мой взгляд, незначительная проблема: перестал запускаться Network Manager
Так-то пофиг, но правила не применяются
Ручной перезапуск сети
/etc/init.d/networking restartвообще зависает О_о
(а до этого писал что-то про "file exists")
Пользователь решил продолжить мысль 18 Августа 2013, 14:06:37:
если зачистить /etc/network/interfaces, оставив
auto lo
iface lo inet loopbackзагрузка происходит моментально
Пользователь решил продолжить мысль 18 Августа 2013, 14:14:01:
nm-connection-editor матерится так:
** (nm-connection-editor:4011): WARNING **: Couldn't connect to system bus: Failed to connect to socket /var/run/dbus/system_bus_socket: Нет такого файла или каталога
** (nm-connection-editor:4011): WARNING **: Failed to initialize the UI, exiting...
Пользователь решил продолжить мысль 18 Августа 2013, 14:26:14:
при этом
# /etc/init.d/dnsmasq restart
* Restarting DNS forwarder and DHCP server dnsmasq
dnsmasq: failed to create listening socket for 127.0.0.1: Адрес уже используется
[fail]
Пользователь решил продолжить мысль 18 Августа 2013, 14:34:47:
В общем и целом, при таком iptables:
*nat
:PREROUTING ACCEPT [826:269569]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [619:60171]
:POSTROUTING ACCEPT [619:60171]
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
*mangle
:PREROUTING ACCEPT [8641:2352457]
:INPUT ACCEPT [8500:2324380]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7008:1376263]
:POSTROUTING ACCEPT [7316:1444387]
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7008:1376263]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j LOG --log-prefix "input.lan"
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMITничего не работает. Где я ошибся?
Пользователь решил продолжить мысль 18 Августа 2013, 15:25:23:
Блин, достало всё! С нуля прошелся по
мануалу:
1. interfaces один-в-один
# ifdown eth1
ifdown: interface eth1 not configured
# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:1b:fc:be:98:65
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
...
# sysctl -p
net.ipv4.ip_forward = 1
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
# iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu
# iptables-save >/etc/iptables.conf
итого в iptables.conf:
# Generated by iptables-save v1.4.12 on Sun Aug 18 17:14:57 2013
*nat
:PREROUTING ACCEPT [106:14537]
:INPUT ACCEPT [106:14537]
:OUTPUT ACCEPT [19:2320]
:POSTROUTING ACCEPT [19:2320]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Aug 18 17:14:57 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 17:14:57 2013
*mangle
:PREROUTING ACCEPT [1008:241501]
:INPUT ACCEPT [1008:241501]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [780:204704]
:POSTROUTING ACCEPT [785:205268]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Aug 18 17:14:57 2013
# Generated by iptables-save v1.4.12 on Sun Aug 18 17:14:57 2013
*filter
:INPUT ACCEPT [1318:310072]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1033:267522]
COMMIT
# Completed on Sun Aug 18 17:14:57 20132. Вот еще одна проблема:
# dpkg-reconfigure dnsmasq
* Starting DNS forwarder and DHCP server dnsmasq
dnsmasq: failed to create listening socket for 127.0.0.1: Адрес уже используется
[fail]
invoke-rc.d: initscript dnsmasq, action "start" failed.
Соответственно "service dnsmasq restart" то же самое.
3. /etc/dnsmasq.conf один-в-один
Выходит, проблема не в конфиге, а в том, с чем конфликтует dnsmasq:
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 3867/dnsmasq
udp 0 0 127.0.0.1:53 0.0.0.0:* 3867/dnsmasq
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1131/avahi-daemon:
udp6 0 0 :::5353 :::* 1131/avahi-daemon:
Пользователь решил продолжить мысль 18 Августа 2013, 15:50:48:
после apt-get remove dnsmasq имеем
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1255/avahi-daemon:
udp6 0 0 :::5353 :::* 1255/avahi-daemon: после apt-get install dnsmasq имеем
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 3808/dnsmasq
tcp 0 0 192.168.0.1:53 0.0.0.0:* LISTEN 3808/dnsmasq
tcp6 0 0 ::1:53 :::* LISTEN 3808/dnsmasq
udp 0 0 127.0.0.1:53 0.0.0.0:* 3808/dnsmasq
udp 0 0 192.168.0.1:53 0.0.0.0:* 3808/dnsmasq
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1255/avahi-daemon:
udp6 0 0 ::1:53 :::* 3808/dnsmasq
udp6 0 0 :::5353 :::* 1255/avahi-daemon: после контрольной перезагрузки клиенты подцепляются нормально.
Остается дело за конфигом. Начинаю потихоньку усложнять правила
Пользователь решил продолжить мысль 18 Августа 2013, 16:21:25:
блин, не хватало
-A FORWARD -i lo -j ACCEPT
Пользователь решил продолжить мысль 18 Августа 2013, 16:26:03:
В процессе появился удобный скрипт для жонглирования правилами iptables
ipt [save|load|flush|list|apply] [file]
Пользователь решил продолжить мысль 18 Августа 2013, 17:10:58:
Что-то поторопился я тему закрывать - после перезагрузки
опять не работает 
Тема: Ограничить ресурсы apache, направить внутренний HTTP-трафик в squid (Прочитано 3904 раз)
