welinux.ru / Есть проблема! — [РЕШЕНО] Iptables виноват?

uscr 18.02.2011 17:54

Есть проблема! — [РЕШЕНО] Iptables виноват?

Здравствуйте. Буду краток. Есть debian 6. Нужно сделать из него шлюз.

eth1 - 192.168.0.254/24
eth2 - 192.168.1.1/24

Пишу скрипт с правилами:

#!/bin/sh

LAN="eth2"
WAN="eth1"


# Delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i $WAN -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT

# Masquerade.
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

# Don't forward from the outside to the inside.
iptables -A FORWARD -i $WAN -o $LAN -j REJECT

# Enable routing.
#Do it in /etc/sysctl.conf, noob!
#echo 1 > /proc/sys/net/ipv4/ip_forward

eth1 смотрит во "внешку" (на время теста в офисную сеть).
В eth2 втыкаю ноут. 192.168.1.1 с ноута пингуется, а 8.8.8.8, например, нет.
С самой машинки всё работает исправно.

P.S.
route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth1

cat /proc/sys/net/ipv4/ip_forward показывает "1".

Скрипт взял отсюда, исправив в нём ряд очевидных ошибок.

Как быть?

Решение:
Я не первый раз задаю вопросы здесь, в которых спрашиваю элементарные вещи. Как правило, решением является "выспаться" или на худой конец "выпить кофе". В данном случае у ноутбука стоял адрес 192.168.1.1. После установки корректного адреса всё заработало.

Тэги:

+ 0 -

Похожие

Zend 18.02.2011 18:34 #

+ 0 -

Там написано:
# Don't forward from the outside to the inside.
iptables -A FORWARD -i eth1 -o eth1 -j REJECT

А у вас написано:
Don't forward from the outside to the inside.
iptables -A FORWARD -i eth1 -o eth2 -j REJECT

Пакеты из инета вообще в локалку не попадают. В инет уходят а обратно их не пускают...

Zend 18.02.2011 18:35 # ↑

+ 0 -

В общем не Iptables виноват, а вы

uscr 18.02.2011 18:41 # ↑

+ 0 -

Э... Хайвмайнд посчитал это "очевидной ошибкой" автора скрипта.

uscr 18.02.2011 18:42 # ↑

+ 0 -

Ну кстати в изначальном варианте тоже не работает.

$kat 18.02.2011 18:51 # ↑

+ 0 -

ребят, пожалуйста, поясните тайный смысл этой строчки. "не пускать наружу трафик, который пришел снаружи"?

uscr 18.02.2011 18:57 # ↑

+ 0 -

Там нет такой строчки.

$kat 18.02.2011 19:01 # ↑

+ 0 -

iptables -A FORWARD -i eth1 -o eth1 -j REJECT
в случае, если интерфейс получения eth1 и исходящий интерфейс eth1 отказать в прохождении.Вроде так переводится. А вот смысла в таком правиле я не вижу и прошу объяснить.

$kat 18.02.2011 18:36 #

+ 0 -

Что то я не понял.
у тебя твоя машина имеет адрес wan 192.168.0.1, правильно?
Исходя из route -n шлюз у тебя тоже 192.168.0.1
Т.е. Сам для себя шлюз. Если так, то действительно, ничего работать не будет, пропиши шлюз по умолчанию, который у тебя в офисе.

uscr 18.02.2011 18:41 # ↑

+ 0 -

192.168.0.254 ошибка. Поправил в посте.

lastkrick 18.02.2011 18:45 #

+ 0 -

А у вас ipv4_forwarding включен?

lastkrick 18.02.2011 18:46 #

+ 0 -

я к тому, что сначала нужно его включить, а только потом ставить маскарад

uscr 18.02.2011 18:49 # ↑

+ 0 -

Включён, да.

wiz 18.02.2011 19:02 #

+ 0 -

Бросай костыли, есть отличный готовый скрипт. Просто правишь его и кидаешь запуск в /etc/rc.local

$kat 18.02.2011 19:06 #

+ 3 -

У меня дома вот так, все работает.

iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j SNAT --to-source $IP_GATEWAY
Где $P0_NET - локальная сеть, $IP_GATEWAY - ip адрес твоей внешней карточки.

Дальше уже можно накручивать всякие прибомбасы для безопасности.

ZED 18.02.2011 19:22 #

+ 0 -

Попробуйте arno-iptables-firewall

dront78 18.02.2011 19:40 #

+ 1 -

что-то мне подсказывает, что

echo 1 > /proc/sys/net/ipv4/ip_forward

        iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

должно хватить. а может и нет ;)

wat_che 18.02.2011 20:15 #

+ 2 -

лучше не маскарадить при статике а снатить

$kat 18.02.2011 22:15 # ↑

+ 0 -

тут хотя бы заставить работать)

uscr 18.02.2011 22:21 # ↑

+ 0 -

Почему? Что вы понимаете под "статикой". В боевом варианте адреса будут по DHCP, если вы об этом.

wat_che 19.02.2011 13:49 # ↑

+ 0 -

статический внешний ай пи

in1t 18.02.2011 21:30 #

+ 0 -

А есть еще firehol само то для начинающих и не только.

uscr 18.02.2011 22:22 # ↑

+ 0 -

Нельзя. В холодную воду нужно с разбегу.
Да и потом я не могу назвать себя "начинающим" в вопросах настройки фаерволла. Просто я до этого только с ipfw дело имел.

in1t 19.02.2011 02:36 # ↑

+ 2 -

Если вы незнакомы с iptables и вам нужен результат, то используйте готовые решения. Посмотреть и по изучать текущие правила можно выгрузив их через iptables-save.
Чуть попозже, могу скинуть пример как можно просто и изящно все настроить с помощью firehol.

uscr 19.02.2011 09:35 # ↑

+ 1 -

Тогда уж реквестирую полноценную статью. Только полноценную, а не "Установите firehol. Теперь напишите нужные правила. Видите как всё просто?!".

in1t 19.02.2011 22:18 # ↑

+ 0 -

Набросал вроде неплохо получилось)
http://welinux.ru/post/5154

digiwhite 19.02.2011 11:07 #

+ 1 -

Вы раз решили задачку, то оформите пожалуйста решение в пост, чтобы потом народ в поисках решения не лазил по куче комментариев.

uscr 19.02.2011 21:03 # ↑

+ 0 -

Сразу и оформил. Внизу же.