Не работает nat Ubuntu 16.04 Server

[AndreyCH]

Делаю шлюз из локальной сети в интернет. Что-то идет не так и интернета в локальной сети нет.

Помогите пожалуйста разобраться, что я делаю не так!

интерфейс локальной сети enx8416f91e7ac3 (USB сетевая карта) ip 192.168.2.1
интерфейс локальной сети enp2s0                              ip 192.168.1.100       

Далее привожу свои настройки:
/etc/network/interfaces:

Код: [Выделить]

auto lo
iface lo inet loopback

auto enp2s0
iface enp2s0 inet dhcp

auto enx8416f91e7ac3
iface enx8416f91e7ac3 inet static
address 192.168.2.1
netmask 255.255.255.0
up route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.1

мой скрипт для iptebles (пока запускаю руками, потом перенесу в init.d)

Код: [Выделить]

#!/bin/sh
LOCIF=enx8416f91e7ac3
INTIF=enp2s0
sudo iptables -P INPUT ACCEPT
sudo iptables -F INPUT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -F OUTPUT
sudo iptables -P FORWARD DROP
sudo iptables -F FORWARD

sudo iptables -A FORWARD -i $LOCIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -i $LOCIF -o $INTIF -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o LOCIF -s 192.168.2.0/24 -j MASQUERADE
echo -e "DONE\n"

dnamasq.conf

Код: [Выделить]

interface=enx8416f91e7ac3
listen-address=192.168.2.1

Во такой вывод:
ifconfig -a

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

enp2s0    Link encap:Ethernet  HWaddr 64:31:50:8e:cb:89 
          inet addr:192.168.1.100  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::6631:50ff:fe8e:cb89/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:282 errors:0 dropped:0 overruns:0 frame:0
          TX packets:332 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:65700 (65.7 KB)  TX bytes:30492 (30.4 KB)

enx8416f91e7ac3 Link encap:Ethernet  HWaddr 84:16:f9:1e:7a:c3 
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::8616:f9ff:fe1e:7ac3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:89 errors:0 dropped:0 overruns:0 frame:0
          TX packets:49 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4881 (4.8 KB)  TX bytes:6254 (6.2 KB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:311 errors:0 dropped:0 overruns:0 frame:0
          TX packets:311 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:67445 (67.4 KB)  TX bytes:67445 (67.4 KB)


ip route

Код: [Выделить]

default via 192.168.1.1 dev enp2s0
192.168.1.0/24 dev enp2s0  proto kernel  scope link  src 192.168.1.100
192.168.2.0/24 dev enx8416f91e7ac3  proto kernel  scope link  src 192.168.2.1 linkdown

iptables -L -n nat

Код: [Выделить]

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.2.0/24       anywhere           


[fisher74]

auto enx8416f91e7ac3
iface enx8416f91e7ac3 inet static
address 192.168.2.1
netmask 255.255.255.0
up route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.1

Сами придумали или подсказал кто?

мой скрипт для iptebles

в ж..пу Ваш скрипт, как и

iptables -L -n nat

показывайте полный комплект правил и ещё кое что

Код: [Выделить]

sudo iptables-save
sysctl net.ipv4.ip_forward

В этой теме были?

[AndreyCH]

up route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.1

Родилось от безысходности, на просторах инетрента много можно накопать, каюсь...

sysctl net.ipv4.ip_forward

Код: [Выделить]

net.ipv4.ip_forward=1

sudo iptables-save

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Tue Feb 21 18:16:44 2017
*filter
:INPUT ACCEPT [6:1059]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3:567]
-A FORWARD -i enx8416f91e7ac3 -o enp2s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enx8416f91e7ac3 -o enp2s0 -j ACCEPT
COMMIT
# Completed on Tue Feb 21 18:16:44 2017
# Generated by iptables-save v1.6.0 on Tue Feb 21 18:16:44 2017
*nat
:PREROUTING ACCEPT [2:262]
:INPUT ACCEPT [2:262]
:OUTPUT ACCEPT [2:333]
:POSTROUTING ACCEPT [2:333]
-A POSTROUTING -s 192.168.2.0/24 -o LOCIF -j MASQUERADE
COMMIT
# Completed on Tue Feb 21 18:16:44 2017


[fisher74]

-A POSTROUTING -s 192.168.2.0/24 -o LOCIF -j MASQUERADE

исправляйте Ваш скрипт.

[AndreyCH]

Спасибо большое за ответ! Ошибка конечно получилась механическая.
Поправил, перегрузил, не работает:

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Tue Feb 21 18:16:44 2017
*filter
:INPUT ACCEPT [6:1059]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3:567]
-A FORWARD -i enx8416f91e7ac3 -o enp2s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enx8416f91e7ac3 -o enp2s0 -j ACCEPT
COMMIT
# Completed on Tue Feb 21 18:16:44 2017
# Generated by iptables-save v1.6.0 on Tue Feb 21 18:16:44 2017
*nat
:PREROUTING ACCEPT [2:262]
:INPUT ACCEPT [2:262]
:OUTPUT ACCEPT [2:333]
:POSTROUTING ACCEPT [2:333]
-A POSTROUTING -s 192.168.2.0/24 -o enx8416f91e7ac3 -j MASQUERADE
COMMIT
# Completed on Tue Feb 21 18:16:44 2017


[fisher74]

man-им, что указывает фильтр -o

[AnrDaemon]

Похоже, нам кто-то что-то недоговаривает…

[fisher74]

Прочь все сомнения, ошибку видно наяву, без каких-либо дополнительных уточнений.

[AndreyCH]

Спасибо БОЛЬШОЕ за ответ!!!
Ошибка у меня была именно в "-o"
Переписал с учетом статьи (ссылка во втором ответе)

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -j MASQUERADE
все работает.

думаю вариант

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -o $INETIF -j MASQUERADE
тоже сработает, но проверить смогу позже (о чем отпишусь)

[AnrDaemon]

Я имел в виду, что это виртуалка…

[fisher74]

а то так важно знать для озвученной проблемы?

[AnrDaemon]

Да. Взаимодействие виртуальных интерфейсов с реальной сетью не всегда однозначно.

[fisher74]

В любом случае были явные фундаментальные ошибки настроек. Если бы после их устранения... хотя чего уж теперь говорить...