Форум русскоязычного сообщества Ubuntu


Автор Тема: почему не работает nat iptables vlan  (Прочитано 4746 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн renat906

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
почему не работает nat iptables vlan
« : 02 Февраль 2010, 16:48:34 »
Задача отправить пользователей в инет через нат
ip провайдера 10,10,0,15 ( это vlan1)
ip локалки 192,168,0,0/24 ( это vlan2)

сделано
в /etc/sysctl.conf
net.ipv4.ip_forward=1
iptables
*nat
:PREROUTING ACCEPT [4735:465309]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 10.10.0.15
COMMIT
*filter
:INPUT DROP [4172:399276]
:FORWARD DROP [12:624]
:OUTPUT ACCEPT [84:13248]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Подскажите, почему не работает.
Вторую сетевую карту вставить к сожалению нет возможности

Оффлайн Michail1_1

  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #1 : 02 Февраль 2010, 17:19:11 »
а если попробовать так:

-A FORWARD -i vlan2 -o vlan1 -j ACCEPT
-A FORWARD -i vlan1 -o vlan2 -m state --state RELATED,ESTABLISHED -j ACCEPT
шлюз - ubuntu 9.10 server, сервер - ubuntu 9.10 server, рабочий - ubuntu 10.04 LTS, детям - ubuntu 10.04 LTS

Оффлайн renat906

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #2 : 02 Февраль 2010, 17:22:43 »
сейчас
-A FORWARD -i vlan2 -o vlan2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan1 -o vlan2 -m state --state RELATED,ESTABLISHED -j ACCEPT

Бессполезно

Оффлайн Michail1_1

  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #3 : 02 Февраль 2010, 17:28:17 »
из локалки пропускать все пакеты, без проверки признака. в локалку - установленные и присоединённые
шлюз - ubuntu 9.10 server, сервер - ubuntu 9.10 server, рабочий - ubuntu 10.04 LTS, детям - ubuntu 10.04 LTS

Оффлайн renat906

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #4 : 02 Февраль 2010, 17:33:20 »
попробовал, не помогло

Оффлайн Michail1_1

  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #5 : 02 Февраль 2010, 17:34:27 »
вот с теми правилами, которые ты выше изложил?
шлюз - ubuntu 9.10 server, сервер - ubuntu 9.10 server, рабочий - ubuntu 10.04 LTS, детям - ubuntu 10.04 LTS

Оффлайн renat906

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #6 : 02 Февраль 2010, 17:36:28 »
нет :)
вот что сейчас
*nat
:PREROUTING ACCEPT [4735:465309]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 10.10.0.15
COMMIT
*filter
:INPUT DROP [4172:399276]
:FORWARD DROP [12:624]
:OUTPUT ACCEPT [84:13248]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -o vlan1 -j ACCEPT
-A FORWARD -i vlan1 -o vlan2 -m state --state RELATED,ESTABLISHED -j ACCEPT

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25948
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #7 : 02 Февраль 2010, 19:43:08 »
А можно полюбоваться на ifconfig с сервера и tracepath ya.ru с  клиента?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн MooSE

  • Активист
  • *
  • Сообщений: 889
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #8 : 02 Февраль 2010, 23:54:08 »
вот тут я описывал как настроить нат сразу для пятнадцати сетей. вобщем основные правила такие:

        iptables -A FORWARD -i vlan2 -o vlan3 -s 192.168.1.0/255.255.255 -j ACCEPT
        iptables -A FORWARD -i vlan3 -o vlan2 -d 192.168.1.0/255.255.255 -m state --state RELATED,ESTABLISHED -j ACCEPT
        iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255 -j MASQUERADE -o vlan3

И да, vlan1 не бывает. То есть бывает, но под ним подразумевается "нетэгированый" трафик. Так что попробуй поменять номера у себя. Например использовуй vlan2 и vlan3.


Оффлайн renat906

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #9 : 03 Февраль 2010, 00:42:22 »
Спасибо, а насчет vlan1 это можно настроить как душе угодно, по крайней мере на моем железе

Оффлайн MooSE

  • Активист
  • *
  • Сообщений: 889
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #10 : 03 Февраль 2010, 01:57:20 »
Спасибо, а насчет vlan1 это можно настроить как душе угодно, по крайней мере на моем железе

Тогда отпиши чем закончилось:)

Оффлайн renat906

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #11 : 03 Февраль 2010, 08:02:22 »
после
iptables -A FORWARD -i vlan2 -o vlan3 -s 192.168.1.0/24 -j ACCEPT
        iptables -A FORWARD -i vlan3 -o vlan2 -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
начинают ходить пинги наружу, которые пропадают сразу после прописывания
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE -o vlan3
« Последнее редактирование: 03 Февраль 2010, 08:42:32 от renat906 »

Оффлайн Frank

  • Старожил
  • *
  • Сообщений: 1799
  • Профессиональный любитель
    • Просмотр профиля
    • Народный форум Николаева
Re: почему не работает nat iptables vlan
« Ответ #12 : 03 Февраль 2010, 08:09:27 »
Смени FORWARD DROP на ACCEPT и всё заработает. Маскарад не нужен.

Оффлайн renat906

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #13 : 03 Февраль 2010, 09:18:14 »
Всем огромное спасибо! Проблема оказалась проста, как её решить правда пока не знаю, ip провайдера 10,10,0,15
сети 192,168,х,х и 172,16,х,х натятся нормально а вот с сетями 10,х,х,х на которых я это все дело проверял проблема
видимо у ядра из-за этого крыша съезжает

Оффлайн MooSE

  • Активист
  • *
  • Сообщений: 889
    • Просмотр профиля
Re: почему не работает nat iptables vlan
« Ответ #14 : 04 Февраль 2010, 01:02:18 »
Всем огромное спасибо! Проблема оказалась проста, как её решить правда пока не знаю, ip провайдера 10,10,0,15
сети 192,168,х,х и 172,16,х,х натятся нормально а вот с сетями 10,х,х,х на которых я это все дело проверял проблема
видимо у ядра из-за этого крыша съезжает

Реквестирую вывод:

sudo ip route

Пользователь решил продолжить мысль 04 Февраль 2010, 01:04:16:
Смени FORWARD DROP на ACCEPT и всё заработает. Маскарад не нужен.

не-не-не дэвид блейн. не надо ставить для FORWARD политику ACCEPT. чревато сюрпризами.

MASQUERADE нужен. либо SNAT.
« Последнее редактирование: 04 Февраль 2010, 01:04:16 от MooSE »

 

Страница сгенерирована за 0.059 секунд. Запросов: 22.