Ubuntu в качестве роутера и сервера одновременно.

[Sergeyka]

Добрый день, уважаемые. Попинайте пожалуйста нуба.

Висит на виртуалбоксе ubuntu 16.04 с 2мя сетевыми мостами в качестве роутера и сервака домашнего.
Один eth0 по pppoe смотрит в сеть, второй eth1 - в локалку.
Настроил роутинг с eth1 на eth0.
Настроил iptables чтобы были открыты порты ssh, apache2 и mysql.

Проблема в том, что иногда доступ с внешней сети до того же апача и ssh пропадает - и я не могу понять в чем причина, с домашней сети по внутреннему айпишнику - работает. Айпишник - белый, динамический. Уже все конфиги перековырял, вот последний рабочий(наполовину):

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Sun Jun  3 17:29:21 2018
*nat
:PREROUTING ACCEPT [667019:49258931]
:INPUT ACCEPT [2229:176503]
:OUTPUT ACCEPT [1582807:96234164]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Sun Jun  3 17:29:21 2018
# Generated by iptables-save v1.6.0 on Sun Jun  3 17:29:21 2018
*filter
:INPUT DROP [447285:37327980]
:FORWARD DROP [156:6240]
:OUTPUT ACCEPT [30989588:1917655900]
-A INPUT -p tcp -m tcp --dport 3666 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2666 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3666 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2666 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3006 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3006 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.66.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 192.168.66.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -s 192.168.66.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Jun  3 17:29:21 2018
# Generated by iptables-save v1.6.0 on Sun Jun  3 17:29:21 2018
*mangle
:PREROUTING ACCEPT [276251799:28389507162]
:INPUT ACCEPT [273215473:27045515128]
:FORWARD ACCEPT [3036227:1343987930]
:OUTPUT ACCEPT [392450600:24780192759]
:POSTROUTING ACCEPT [395486671:26124174449]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sun Jun  3 17:29:21 2018

Подскажите плиз, в чем косяк. Ну уверен что скажете что бред в правилах написан, но не обижусь. Во первых - сам нуб, да еще и конфиг  после многочисленных бубнов

p.s. строка

Код: [Выделить]

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu почему-то дублируется с каждым перезапуском сервака

Спасибо.
ТС не появлялся на Форуме более полугода по состоянию на 22/07/2019 (последняя явка: 21/06/2018). Модератором раздела принято решение закрыть тему.
--zg_nico

[johnyx]

как клиенты с локалки подключаются? тут много вопросов... такая же конфигурация, только вифи еще мостом с проводным для локалки. ну и все работает, а да и айпи постоянный
поможет может. только на свои значения поправьте

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
# Включаем форвардинг (перенаправление) пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем трафик на enp0s3 -интерфейсе
iptables -A INPUT -i enp1s0 -j ACCEPT
iptables -A INPUT -i enp2s0 -j ACCEPT
iptables -A INPUT -i wlp3s0b1 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
#iptables -A FORWARD -i enp2s0 -o enp1s0 -j ACCEPT
#iptables -A FORWARD -i br0 -o enp1s0 -j ACCEPT
#iptables -A FORWARD -i enp2s0 -o ppp0 -j ACCEPT
#iptables -A FORWARD -i wlp3s0b1 -o ppp0 -j ACCEPT
#iptables -A FORWARD -i wlp3s0b1 -o enp1s0 -j ACCEPT
iptables -A FORWARD -i br0 -o ppp0 -j ACCEPT
# Включаем NAT
#iptables -t nat -A POSTROUTING -o enp1s0 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24  -j MASQUERADE
#iptables -t nat -A POSTROUTING -o wlp3s0b1 -s 192.168.0.0/24 -j MASQUERADE
# Разрешаем ответы из внешней сети
iptables -A FORWARD -i enp1s0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
#iptables -A FORWARD -i ppp0 -o enp2s0 -j REJECT
#iptables -A FORWARD -i ppp0 -o wlp3s0b1 -j REJECT
#iptables -A FORWARD -i ppp0 -o br0 -j REJECT
#iptables -A FORWARD -i enp1s0 -o enp2s0 -j REJECT

[Sergeyka]

Ну дело не в клиентах. Сам роутинг то пашет. Подключаются через хаб, роутинг прекрасно работает - тьфу тьфу тьфу.
А вот iptables начинает гнать иногда для внешней сети.
То есть ко мне со внешки подцепиться не могут на тот же апач. Или я сам же не могу подцепиться по внешнему айпи по ssh. А по внутреннему айпи ( 192.168.66.1 ) все прекрасно цепляется.
То есть сервисы пашут, и netstat показывает что порт слушается, а иногда вдруг заглючит IPTABLES и никого не пускает из внешки(после каких либо манипуляций типа перезагрузки или networking restart).

[johnyx]

предположение что reject срабатывает автоматом через какое-то время от какого-то сервиса...я дал вам рабочий конфиг, попробуйте что-то из него