https://www.opennet.ru/openforum/vsluhforumID1/88035.html Все началось после того как пропал интернет (у провайдера что-то было) я перешел на резервный канал (на др. сервер). Когда попытался перейти опять на linux (iptablels) у меня перестал работать nat, на linux есть инет но в локалку он его не раздает. в /proc/sys/net/ipv4/ip_forward стоит 1. Я уж его и рестартовал и машину перезагружал, все равно ((<br>И почему-то при выводе команды iptables -L он долго думает и выводит как-то по частям <br>Нашел похожую проблему тут <br>http://linuxforum.ru/index.php?showtopic=33249&pid=370384&mode=threaded&show=&st=0<br>сделал как описано, но не помогло продолжает тормозить.<br>OC CentOS<br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#12 Tue, 02 Feb 2010 15:15:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;ACCEPT all -- 85.21.143.133 <br>&gt;&gt; 0.0.0.0/0 <br>&gt;&gt;ACCEPT tcp -- 0.0.0.0/0 <br>&gt;&gt; 0.0.0.0/0 <br>&gt;&gt; tcp dpt:4890 <br>&gt;&gt;<br>&gt;<br>&gt;route -n <br>&gt;в студию плиз есчо <br><br>всем спасибо за ответы.<br>Причина то оказалось банально смешной, я на внешнем интерфейсе керио из-за невнимательности прописывал не правильный gateway<br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#11 Tue, 02 Feb 2010 14:41:10 GMT &gt;[оверквотинг удален]<br>&gt;ACCEPT all -- 0.0.0.0/0 <br>&gt; 0.0.0.0/0 <br>&gt; state RELATED,ESTABLISHED <br>&gt;<br>&gt;ACCEPT all -- 85.21.143.133 <br>&gt; 0.0.0.0/0 <br>&gt;ACCEPT tcp -- 0.0.0.0/0 <br>&gt; 0.0.0.0/0 <br>&gt; tcp dpt:4890 <br>&gt;<br><br>route -n <br>в студию плиз есчо<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#10 Tue, 02 Feb 2010 13:01:45 GMT <br>&gt;Кстати, а политика на цепочку FORWARD (таблица filter) какая стоит? Нет ли <br>&gt;в ней запрещающих правил? <br><br>вот что у меня в FORWARD<br><br>Chain FORWARD (policy DROP)<br>target prot opt source destination <br>bad_tcp_pakets tcp -- 0.0.0.0/0 0.0.0.0/0 <br>ACCEPT all -- 192.168.1.0/24 0.0.0.0/0 <br>ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED <br>ACCEPT all -- 85.21.143.133 0.0.0.0/0 <br>ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4890 <br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#9 Tue, 02 Feb 2010 12:51:10 GMT &gt;[оверквотинг удален]<br>&gt;Если тут ничего нет - то смотреть по портам приходят ли вообще <br>&gt;запросы на внешнюю сеть: <br>&gt;tcpdump -ni eth1 port 44333 or 4890 <br>&gt;<br>&gt;Если же на 192.168.1.1 с сетевухи eth0 уходят нормально пакеты, тогда на <br>&gt;Керио смотреть что приходит (под виндой это можно сделать с помощью <br>&gt;утилиты wireshark). <br>&gt;<br>&gt;И далее смотреть на каком этапе не проходят пакеты, делать выводы и <br>&gt;искать ошибку. <br><br>Кстати, а политика на цепочку FORWARD (таблица filter) какая стоит? Нет ли в ней запрещающих правил?<br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#8 Tue, 02 Feb 2010 12:49:58 GMT &gt;зачем мне DNAT весь разрещать? <br>&gt;<br>&gt;замечу что все это у меня работало, до недавнего времени (( <br>&gt;т.е. с внутреннего интерфейса linux (192.168.1.2) пачкорд выходил и входил в внешний <br>&gt;интерфейс керио (192.168.1.1) <br><br>В таком случае проверять что уходит на 192.168.1.1:<br>tcpdumi -ni eth0 host 192.168.1.1<br>(я подразумеваю, что внутренняя сеть eth0, если нет - исправьте).<br>Если тут ничего нет - то смотреть по портам приходят ли вообще запросы на внешнюю сеть:<br>tcpdump -ni eth1 port 44333 or 4890<br><br>Если же на 192.168.1.1 с сетевухи eth0 уходят нормально пакеты, тогда на Керио смотреть что приходит (под виндой это можно сделать с помощью утилиты wireshark).<br><br>И далее смотреть на каком этапе не проходят пакеты, делать выводы и искать ошибку.<br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#7 Tue, 02 Feb 2010 12:04:27 GMT <br>&gt;[оверквотинг удален]<br>&gt;Не проще ли использовать маскарад вместо всего вышеуказнного? <br>&gt;iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.1 -j MASQUERADE <br>&gt;<br>&gt;Ну или дописать правило для dnat'a к вышеуказанному snat'у, но на все <br>&gt;порты и протоколы: <br>&gt;iptables -t nat -A PREROUTING -i eth1 -d XXX.XXX.XXX.XXX -j DNAT --to-destination <br>&gt;192.168.1.1 <br>&gt;<br>&gt;По идее должно работать, если в чём-нить не ошибся и всё пральна <br>&gt;понял. <br><br>зачем мне DNAT весь разрещать?<br><br>замечу что все это у меня работало, до недавнего времени ((<br>т.е. с внутреннего интерфейса linux (192.168.1.2) пачкорд выходил и входил в внешний интерфейс керио (192.168.1.1)<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#6 Tue, 02 Feb 2010 11:49:10 GMT &gt;[оверквотинг удален]<br>&gt; * <br>&gt;192.168.1.1 0.0.0.0/0 <br>&gt; to:ХХХ.ХХХ.ХХХ.ХХХ <br>&gt;<br>&gt;<br>&gt;Chain OUTPUT (policy ACCEPT 34 packets, 2166 bytes) <br>&gt; pkts bytes target prot opt in <br>&gt; out source <br>&gt; <br>&gt; destination <br><br>И вправду какой-то странный нат. Что тут получается:<br>snat: пакет приходит от 192.168.1.1, в нем подменяется адрес источника на ххх.ххх.ххх.ххх (насколько я понимаю внешний адрес) и отправляется дальше. Т.е. это исходящие пакеты из сети.<br>Значит должен быть соответствующий dnat:<br>пакет приходит из инета (0.0.0.0/24) на внешнюю сетевуху (наскока я понял eth1) и у него должен менятся адрес получателя на 192.168.1.1. У тебя указано 3 правила, которые работают для портов 4890/tcp и 44333/tcp+udp. Если тебе нужно пробрасывать лишь эти порты, то оно должно работать. Но ни протокол icmp (как и прочие), ни какие другие отличные от вышеуказанных портов натится не будут. Т.е. даже пинг в инет не пойдёт.<br><br>Не проще ли использовать маскарад вместо всего вышеуказнно https://www.opennet.ru/openforum/vsluhforumID1/88035.html#5 Tue, 02 Feb 2010 11:30:49 GMT &gt;&gt;Странный какой то нат, а почему только один адрес 192.168.1.1? <br>&gt;<br>&gt;потому что у меня с линукса провод идет в керио <br>&gt;т.е. линукс с iptables внешний firewall а керио внутренний <br><br>а шлюзом на машине с керио кто указан<br> https://www.opennet.ru/openforum/vsluhforumID1/88035.html#4 Tue, 02 Feb 2010 11:19:48 GMT &gt;Странный какой то нат, а почему только один адрес 192.168.1.1? <br><br>потому что у меня с линукса провод идет в керио <br>т.е. линукс с iptables внешний firewall а керио внутренний<br><br>