Как настроить шлюз на ubuntu server без прокси?

[Pauk]

Помогите пожалуйста, сделал всё по шагам как написано здесь:
  https://forum.ubuntu.ru/index.php?topic=28077.0
ничего не работает. Раз 5 делал, делал, безрезультатно..

Архитектура сети простая:
eth0 -> wifi -> локалка;   
eth1 -> pppoe -> инет.

Пожалуйста, не дайте погаснуть во мне надежде на линукс. Просто в винде всё автоматически настраивается поставив 1 галочку "разрешить другим комп-м в сети исп-ть данное подкл к интернету".

Заранее спасибо всем

[loukash]

Со шлюза есть доступ в инет? Как определили что "ничего не работает"?

[Pauk]

PPPoE соединение работает, к инету подключается нормально. Однако когда на др компе в сети указываю статический ip и адрес шлюза (dhcp пока не стал настраивать), то сайты не открываются. Приходится сидеть через squid.

[loukash]

SNAT настроен? Форвардинг включен?
На шлюзе запустите: tcpdump -npi eth0 host ip_адрес_машины_А
одновременно на машине(A), которой проверяете доступ в инет запустите ping.
Вывод сюда.

[Pauk]

Результаты шлюза:

Код: [Выделить]

202091 packets captured
202133 packets received by filter
38 packets dropped by kernel
Результат пинга:

Код: [Выделить]

Обмен пакетами с 192.168.1.1 по 32 байт:

Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64
Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64
Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64
Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64

Статистика Ping для 192.168.1.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
Форвардинг должен быть включен, т.к. по инструкции выполнял всё как сказано, т.е. в /etc/sysctl.conf строка net.ipv4.ip_forward = 1 раскомментирована.
И

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward тоже выполнял.

SNAT не знаю что такое, но вот результат iptables -L :

Код: [Выделить]

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:bootps
ACCEPT     all  --  anywhere             anywhere
LOG        all  --  127.0.0.0/8          anywhere            LOG level warning
DROP       all  --  127.0.0.0/8          anywhere
ACCEPT     all  --  anywhere             255.255.255.255
ACCEPT     all  --  anywhere             255.255.255.255
ACCEPT     all  --  192.168.1.0/24       anywhere
ACCEPT     all  --  127.0.0.0/8          anywhere
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4
LOG        all  --  192.168.1.0/24       anywhere            LOG level warning
DROP       all  --  192.168.1.0/24       anywhere
LOG        all  --  127.0.0.0/8          anywhere            LOG level warning
DROP       all  --  127.0.0.0/8          anywhere
ACCEPT     all  --  anywhere             255.255.255.255
ACCEPT     all  --  anywhere             net75.78.95-161.nchel.ru
DROP       all  --  anywhere             ALL-SYSTEMS.MCAST.NET
LOG        all  --  anywhere             anywhere            LOG level warning
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             192.168.122.0/24    state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     anywhere
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable
ACCEPT     all  --  127.0.0.0/8          192.168.1.0/24
ACCEPT     all  --  192.168.1.0/24       127.0.0.0/8
ACCEPT     all  --  192.168.1.0/24       anywhere
ACCEPT     all  --  127.0.0.0/8          anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        all  --  anywhere             192.168.1.0/24      LOG level warning
DROP       all  --  anywhere             192.168.1.0/24
LOG        all  --  anywhere             127.0.0.0/8         LOG level warning
DROP       all  --  anywhere             127.0.0.0/8
DROP       all  --  anywhere             ALL-SYSTEMS.MCAST.NET
LOG        all  --  anywhere             anywhere            LOG level warning
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             255.255.255.255
ACCEPT     all  --  anywhere             255.255.255.255
ACCEPT     all  --  anywhere             192.168.1.0/24
ACCEPT     all  --  anywhere             127.0.0.0/8
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4
LOG        all  --  anywhere             192.168.1.0/24      LOG level warning
DROP       all  --  anywhere             192.168.1.0/24
LOG        all  --  anywhere             127.0.0.0/8         LOG level warning
DROP       all  --  anywhere             127.0.0.0/8
ACCEPT     all  --  anywhere             255.255.255.255
ACCEPT     all  --  net75.78.95-161.nchel.ru  anywhere
DROP       all  --  anywhere             ALL-SYSTEMS.MCAST.NET
LOG        all  --  anywhere             anywhere            LOG level warning
DROP       all  --  anywhere             anywhere


[loukash]

Результаты шлюза:

Код: [Выделить]

202091 packets captured
202133 packets received by filter
38 packets dropped by kernel

Это последние строчки не важны, важно что перед ними.

Результат пинга:

Код: [Выделить]

Обмен пакетами с 192.168.1.1 по 32 байт:

Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64
Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64
Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64
Ответ от 192.168.1.1: число байт=32 время<1мс TTL=64

Статистика Ping для 192.168.1.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Надо пинговать какой-нить белый адрес, например 213.180.204.8

Форвардинг должен быть включен, т.к. по инструкции выполнял всё как сказано, т.е. в /etc/sysctl.conf строка net.ipv4.ip_forward = 1 раскомментирована.
И

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward тоже выполнял.

тогда вывод

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forward

SNAT не знаю что такое, но вот результат iptables -L :

Это весь вывод? SNAT это подмена адреса источника на адрес шлюза. Если используется ppoe, то скорее всего адрес получается динамический, значит надо читать про действие MASQUERADE http://www.opennet.ru/docs/RUS/iptables/#MASQUERADETARGET

[Pauk]

Код: [Выделить]

...
00:13:25.720606 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551233:7551285(52) ack 43001668 win 64223
00:13:25.720651 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43002184:43002332(148) ack 7551285 win 9648
00:13:25.720729 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43002332 win 65535
00:13:25.721015 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43002332:43002768(436) ack 7551285 win 9648
00:13:25.721181 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43002768:43002916(148) ack 7551285 win 9648
00:13:25.721312 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551285:7551337(52) ack 43002332 win 65535
00:13:25.721342 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551337:7551389(52) ack 43002332 win 65535
00:13:25.721513 IP 192.168.1.1.22 > 192.168.1.10.2130: . ack 7551389 win 9648
00:13:25.721621 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43002916:43003064(148) ack 7551389 win 9648
00:13:25.721794 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43003064:43003308(244) ack 7551389 win 9648
00:13:25.721834 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43003064 win 64803
00:13:25.722022 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43003308:43003536(228) ack 7551389 win 9648
00:13:25.722072 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551389:7551441(52) ack 43003064 win 64803
00:13:25.722111 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551441:7551493(52) ack 43003064 win 64803
00:13:25.722168 IP 192.168.1.1.22 > 192.168.1.10.2130: . ack 7551493 win 9648
00:13:25.722208 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43003536:43003764(228) ack 7551493 win 9648
00:13:25.722254 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551493:7551545(52) ack 43003064 win 64803
00:13:25.722273 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43003536 win 64331
00:13:25.722691 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43003764:43004472(708) ack 7551545 win 9648
00:13:25.722860 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43004472 win 65535
00:13:25.722901 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43004472:43004620(148) ack 7551545 win 9648
00:13:25.722920 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551545:7551597(52) ack 43004472 win 65535
00:13:25.722986 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551597:7551649(52) ack 43004472 win 65535
00:13:25.723059 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551649:7551701(52) ack 43004472 win 65535
00:13:25.723269 IP 192.168.1.1.22 > 192.168.1.10.2130: . ack 7551701 win 9648
00:13:25.723300 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551701:7551753(52) ack 43004472 win 65535
00:13:25.723538 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43004620:43005152(532) ack 7551753 win 9648
00:13:25.723711 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43005152:43005380(228) ack 7551753 win 9648
00:13:25.723765 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43005152 win 64855
00:13:25.723921 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551753:7551805(52) ack 43005380 win 64627
00:13:25.723969 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43005380:43005528(148) ack 7551753 win 9648
00:13:25.724038 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551805:7551857(52) ack 43005380 win 64627
00:13:25.724092 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551857:7551909(52) ack 43005380 win 64627
00:13:25.724289 IP 192.168.1.1.22 > 192.168.1.10.2130: . ack 7551909 win 9648
00:13:25.724342 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43005528:43005756(228) ack 7551909 win 9648
00:13:25.724460 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43005756:43006208(452) ack 7551909 win 9648
00:13:25.724599 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43006208 win 65535
00:13:25.724717 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551909:7551961(52) ack 43006208 win 65535
00:13:25.724773 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7551961:7552013(52) ack 43006208 win 65535
00:13:25.724870 IP 192.168.1.1.22 > 192.168.1.10.2130: . ack 7552013 win 9648
00:13:25.724902 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552013:7552065(52) ack 43006208 win 65535
00:13:25.724932 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43006208:43006612(404) ack 7552013 win 9648
00:13:25.725296 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43006612:43007144(532) ack 7552065 win 9648
00:13:25.725462 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43007144:43007292(148) ack 7552065 win 9648
00:13:25.725512 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552065:7552117(52) ack 43006612 win 65131
00:13:25.725566 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43007292 win 64451
00:13:25.725779 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43007292:43007616(324) ack 7552117 win 9648
00:13:25.725948 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43007616:43007764(148) ack 7552117 win 9648
00:13:25.726102 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43007764 win 65535
00:13:25.726223 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43007764:43007912(148) ack 7552117 win 9648
00:13:25.726290 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552117:7552169(52) ack 43007764 win 65535
00:13:25.726333 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552169:7552221(52) ack 43007764 win 65535
00:13:25.726409 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552221:7552273(52) ack 43007764 win 65535
00:13:25.726448 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552273:7552325(52) ack 43007764 win 65535
00:13:25.726604 IP 192.168.1.1.22 > 192.168.1.10.2130: . ack 7552325 win 9648
00:13:25.726755 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43007912:43008540(628) ack 7552325 win 9648
00:13:25.726962 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43008540:43008768(228) ack 7552325 win 9648
00:13:25.727086 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552325:7552377(52) ack 43007912 win 65387
00:13:25.727197 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43008768:43008916(148) ack 7552377 win 9648
00:13:25.727422 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43008916:43009160(244) ack 7552377 win 9648
00:13:25.727462 IP 192.168.1.10.2130 > 192.168.1.1.22: . ack 43008916 win 64383
00:13:25.727658 IP 192.168.1.1.22 > 192.168.1.10.2130: P 43009160:43009388(228) ack 7552377 win 9648
00:13:25.727696 IP 192.168.1.10.2130 > 192.168.1.1.22: P 7552377:7552429(52) ack 43008916 win 64383


Код: [Выделить]

Обмен пакетами с 213.180.204.8 по 32 байт:

Ответ от 213.180.204.8: число байт=32 время=23мс TTL=50
Ответ от 213.180.204.8: число байт=32 время=25мс TTL=50
Ответ от 213.180.204.8: число байт=32 время=24мс TTL=50
Ответ от 213.180.204.8: число байт=32 время=24мс TTL=50

Статистика Ping для 213.180.204.8:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 23мсек, Максимальное = 25 мсек, Среднее = 24 мсек
Результат

Код: [Выделить]

cat /proc/sys/net/ipv4/ip_forward 1

[loukash]

С этой машины по ssh сидите? Ничего не видно
Используйте такую команду: tcpdump -npi eth1 proto 1
Если не будет никакого вывода, тогда заменить на eth0
Еще раз: в предыдущем посте был полный вывод iptables -L

[Pauk]

Да, через ssh, иначе то никак не показать результаты вывода.
iptables -L весь результат был

tcpdump и на eth0, и на eth1 идет долгое ожидание выполнения, после прерывания следующий результат:

Код: [Выделить]

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel


[Гарри Кашпировский]

Эмм собсна вывод
iptables -t nat -L ф студею   
Руководство ИМХО говно
Попробуйте
iptables -t nat -A POSTROUTING -s диапазон_вашей_локальной_сети -j MASQUERADE
Соответственно
cat /proc/sys/net/ipv4/ip_forward должен быть "1"

[Pauk]

iptables -t nat -L, вот такая вот шняга:

Код: [Выделить]

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24
SNAT       all  --  192.168.1.0/24       anywhere            to:95.78.73.206
MASQUERADE  all  --  192.168.1.0/24       anywhere
MASQUERADE  all  --  127.0.0.0/8          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Попробуйте
iptables -t nat -A POSTROUTING -s диапазон_вашей_локальной_сети -j MASQUERADE

А диапазон как указывать? Просто 192.168.1.0?

[Pauk]

Кстати, вот это я прописал в конце /etc/ppp/ip-up:

Код: [Выделить]

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o $PPP_IFACE -j SNAT --to-sou$
И вот это в конце /etc/ppp/ip-down:

Код: [Выделить]

iptables -t nat -D POSTROUTING -s 192.168.1.0/24 -o $PPP_IFACE -j SNAT --to-sou$
А вот это route:

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
lo0.bsr07.cheln *               255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.122.0   *               255.255.255.0   U     0      0        0 vnet0
127.0.0.0       *               255.0.0.0       U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp0


[Pauk]

Плиз, плиз, помогите хоть кто-нить. У меня проект горит, а я уже 2-й день ипусь с этим серваком 
Ни одного толкового мануала нет в сети по этому вопросу. Когда настрою обязательно напишу для будущих.

[uid0]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

[Pauk]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

не помогает.

Вобщем пока что полностью очистил iptables:

Код: [Выделить]

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
Затем переподключил PPPoE соединение, чтобы он указал там нужные записи, форвардинг уже давным-давно включен, теперь iptables -t nat -L показывает

Код: [Выделить]

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24
MASQUERADE  all  --  192.168.1.0/24       anywhere
MASQUERADE  all  --  127.0.0.0/8          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

затем вручную указал у компа в сети dns-адреса из /etc/resolv.conf, инет заработал, но вручную прописывать днс-ки - не айс, в чем глюк, кто подскажет?

Плюс к тому же включив в цепочку wifi-точку уже ничего не пашет, т.е. не пингуется шлюз, ни с клиента, ни даже с точки доступа. Со шлюза также ни точка ни клиент не пингуются.