Перейти к содержимому
Калькуляторы

Объединить две сети vlan на шлюзе с NAT. ubuntu 14

Не могу разобраться как правильно объединить сеть 192.168.0.0/24 и 192.168.2.0/24 на шлюзе с NAT.

 

b4487a9f62c9.jpg

 

Настройки сети

 

 

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface

auto eth0.2
iface eth0.2 inet static
     address 192.168.2.1
     netmask 255.255.255.0

auto eth0.5
iface eth0.5 inet static
     address 192.168.1.1
     netmask 255.255.255.0

auto eth0.6
iface eth0.6 inet static
     address 192.168.0.1
     netmask 255.255.255.0

auto eth1
iface eth1 inet static
     address 10.0.0.10
     netmask 255.255.255.0
     network 10.0.0.0
     broadcast 10.0.0.255
     gateway 10.0.0.1
     # dns-* options are implemented by the resolvconf package, if installed
     dns-nameservers 127.0.0.1

 

 

iptables

 

#!/bin/bash

 #Config ##################################

 ### LAN1 
 LAN1_IF="eth0.2"
 LAN1_NETWORK="192.168.2.0/24"

 ### LAN2
 LAN2_IF="eth0.5"
 LAN2_NETWORK="192.168.1.0/24"

 ### LAN3 
 LAN3_IF="eth0.6"
 LAN3_NETWORK="192.168.0.0/24"

 ### WAN
 WAN_IF="eth1"
 WAN_IP="10.0.0.10"
 WAN_NETWORK="10.0.0.10/24"

 # Enable forward
 echo 1 > /proc/sys/net/ipv4/ip_forward
 echo 1 > /proc/sys/net/ipv4/ip_dynaddr
 echo 1 > /proc/sys/net/ipv4/conf/default/forwarding

 #CLEAR IPTABLE ##########################

 iptables -F
 iptables -F -t nat
 iptables -t mangle -F
 iptables -X

 #DEFAULT POLICE ##########################

 iptables -P INPUT DROP
 iptables -P OUTPUT ACCEPT
 iptables -P FORWARD ACCEPT

 #LOCALHOST INTERFACE #####################

 iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT
 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

 #OUT SERVICE #############################

 #SSH
 iptables -A INPUT -i ${LAN3_IF} -s ${LAN3_NETWORK} -p TCP --dport 22 -j ACCEPT
 iptables -A INPUT -i ${WAN_IF} -p TCP --dport 22 -j DROP

 #PING
 iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
 iptables -A OUTPUT -p icmp -j ACCEPT

 #NAT
 iptables -A INPUT -i ${LAN1_IF} -s ${LAN1_NETWORK} -j ACCEPT
 iptables -A INPUT -i ${LAN2_IF} -s ${LAN2_NETWORK} -j ACCEPT
 iptables -A INPUT -i ${LAN3_IF} -s ${LAN3_NETWORK} -j ACCEPT

 iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP}

 

 

Пробовал менять на iptables -P INPUT ACCEPT. Включал proxy arp

 

# echo 1 > /proc/sys/net/ipv4/conf/eth0.2/proxy_arp
# echo 1 > /proc/sys/net/ipv4/conf/eth0.6/proxy_arp
# echo 0 >/proc/sys/net/ipv4/conf/eth0.2/rp_filter
# echo 0 >/proc/sys/net/ipv4/conf/eth0.6/rp_filter

 

# ip route show
default via 10.0.0.1 dev eth1
10.0.0.0/8 dev eth1  proto kernel  scope link  src 10.0.0.10
192.168.0.0/24 dev eth0.6  proto kernel  scope link  src 192.168.0.1
192.168.1.0/24 dev eth0.5  proto kernel  scope link  src 192.168.1.1
192.168.2.0/24 dev eth0.2  proto kernel  scope link  src 192.168.2.1
192.168.122.0/24 dev virbr0  proto kernel  scope link  src 192.168.122.1

 

# ip rule list
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

 

Трасировка с сети 192.168.0.0/24.

Трассировка маршрута к 192.168.2.11 с максимальным числом прыжков 30

 1    <1 мс    <1 мс    <1 мс  GT-SERVER [192.168.0.1]
 2     *        *        *     Превышен интервал ожидания для запроса.

 

Пинг с сети 192.168.0.0/24.

Обмен пакетами с 192.168.2.1 по с 32 байтами данных:
Ответ от 192.168.2.1: число байт=32 время<1мс TTL=64

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На шлюзе сделайте ping 8.8.8.8 и покажите

iptables -vnL

iptables -vnL -t nat

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На шлюзе сделайте ping 8.8.8.8 и покажите

iptables -vnL

iptables -vnL -t nat

 

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=47 time=48.1 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=47 time=48.1 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=47 time=48.1 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=47 time=48.1 ms
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 48.144/48.153/48.165/0.155 ms

 

 iptables -vnL
Chain INPUT (policy ACCEPT 177 packets, 11090 bytes)
pkts bytes target     prot opt in     out     source               destination
   0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  25  4097 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   0     0 ACCEPT     tcp  --  eth0.6 *       192.168.0.0/24       0.0.0.0/0            tcp dpt:22
   0     0 ACCEPT     tcp  --  eth0.2 *       192.168.2.0/24       0.0.0.0/0            tcp dpt:22
   0     0 ACCEPT     tcp  --  eth0.5 *       192.168.1.0/24       0.0.0.0/0            tcp dpt:22
   0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
   0     0 ACCEPT     all  --  eth0.2 *       192.168.2.0/24       0.0.0.0/0
   4   254 ACCEPT     all  --  eth0.5 *       192.168.1.0/24       0.0.0.0/0
 159 16199 ACCEPT     all  --  eth0.6 *       192.168.0.0/24       0.0.0.0/0

Chain FORWARD (policy ACCEPT 1589 packets, 407K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 116 packets, 8243 bytes)
pkts bytes target     prot opt in     out     source               destination
   6   606 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
  80  7256 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

 

 iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 1083 packets, 69323 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 363 packets, 21137 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 18 packets, 1258 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 4 packets, 232 bytes)
pkts bytes target     prot opt in     out     source               destination
 546 33454 SNAT       all  --  *      eth1    0.0.0.0/0            0.0.0.0/0            to:10.0.0.10

Изменено пользователем trksergey

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если правильно понимаю то были не верно описаны интерфейсы типа vlan.

Получается, что навешали обычные алиасы.

Перепиши интерфейсы по аналогии с примером, указанным ниже:

auto vlan2
iface vlan2 inet static
   address 192.168.2.1
netmask 255.255.255.0
vlan_raw_device eth0

Ну и, соответственно, необходимо будет пригнать в соответствующий vlan с меткой(tagged или trunk, как нравится) на коммутаторе в сторону маршрутизатора.

Изменено пользователем Danila

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

auto eth0.2

iface eth0.2 inet static

      address 192.168.2.1

      netmask 255.255.255.0

 

auto eth0.5

iface eth0.5 inet static

      address 192.168.1.1

      netmask 255.255.255.0

 

auto eth0.6

iface eth0.6 inet static

      address 192.168.0.1

      netmask 255.255.255.0

 

Что-то не пойму. Расскажите подробнее. Есть несколько вариантов настройки vlan у меня настроено вот так

 

auto eth0.6
iface eth0.6 inet static
     address 192.168.0.1
     netmask 255.255.255.0

 

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:06:4f:85:de:a1
         inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:10747480 errors:0 dropped:55 overruns:0 frame:0
         TX packets:15029346 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:1506279633 (1.5 GB)  TX bytes:15544927766 (15.5 GB)

eth1      Link encap:Ethernet  HWaddr 00:06:4f:85:e0:19
         inet addr:10.0.0.10  Bcast:10.0.0.255  Mask:255.0.0.0
         inet6 addr: fe80::206:4fff:fe85:e019/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:16590401 errors:0 dropped:2958 overruns:0 frame:0
         TX packets:8568330 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:15680800868 (15.6 GB)  TX bytes:1199569618 (1.1 GB)

eth0.2    Link encap:Ethernet  HWaddr 00:06:4f:85:de:a1
         inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
         inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:155449 errors:0 dropped:0 overruns:0 frame:0
         TX packets:203175 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:20142800 (20.1 MB)  TX bytes:242219342 (242.2 MB)

eth0.5    Link encap:Ethernet  HWaddr 00:06:4f:85:de:a1
         inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
         inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:2503480 errors:0 dropped:0 overruns:0 frame:0
         TX packets:8916289 errors:0 dropped:1631 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:388296050 (388.2 MB)  TX bytes:12473855421 (12.4 GB)

eth0.6    Link encap:Ethernet  HWaddr 00:06:4f:85:de:a1
         inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
         inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:6964669 errors:0 dropped:0 overruns:0 frame:0
         TX packets:5909874 errors:0 dropped:5 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:828321310 (828.3 MB)  TX bytes:2828852355 (2.8 GB)

lo        Link encap:Локальная петля (Loopback)
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:65536  Metric:1
         RX packets:2379 errors:0 dropped:0 overruns:0 frame:0
         TX packets:2379 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:213819 (213.8 KB)  TX bytes:213819 (213.8 KB)

 

Интернет, dhcp и т.п. во всех сетях 192.168.0.0-192.168.2.254 работают через эти интерфейсы без проблем. Коммутатор тоже ок. Нужно лишь разрешить доступ некоторых компьютеров с сети 192.168.0.0/24 в 192.168.2.0/24 (ограничения будут iptables). Сейчас не работает машрутизация с одной сети в другую, нет доступа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда, пожалуйста, вывод команды:

 

cat /proc/net/vlan/config

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

# cat /proc/net/vlan/config
VLAN Dev name    | VLAN ID
Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD
eth0.2         | 2  | eth0
eth0.5         | 5  | eth0
eth0.6         | 6  | eth0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

# cat /proc/net/vlan/config
VLAN Dev name    | VLAN ID
Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD
eth0.2 		| 2  | eth0
eth0.5 		| 5  | eth0
eth0.6 		| 6  | eth0

 

Прикольно, буду знать. :)

А вообще, по поводу firewall'a.

Там правил блокировки транзитного трафика то нет.

POLICY FORWARD ACCEPT стоит.

Да цепочка FORWARD таблицы filter пуста.

Может конечный компьютер отфильтровывает трафик?

Не слушал трафик wireshark'ом?

А делал:

echo 1 > /proc/sys/net/ipv4/ip_forward ?

Изменено пользователем Danila

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

# cat /proc/net/vlan/config
VLAN Dev name    | VLAN ID
Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD
eth0.2 		| 2  | eth0
eth0.5 		| 5  | eth0
eth0.6 		| 6  | eth0

 

Прикольно, буду знать. :)

А вообще, по поводу firewall'a.

Там правил блокировки транзитного трафика то нет.

POLICY FORWARD ACCEPT стоит.

Да цепочка FORWARD таблицы filter пуста.

Может конечный компьютер отфильтровывает трафик?

Не слушал трафик wireshark'ом?

А делал:

echo 1 > /proc/sys/net/ipv4/ip_forward ?

 

Пожалуйста, в заголовке загляните под спойлер, там есть конфиги iptables. До анализа трафика еще недобрался

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ваших конфигах нет включенного форвардинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В спойлере.

 

# Enable forward
 echo 1 > /proc/sys/net/ipv4/ip_forward
 echo 1 > /proc/sys/net/ipv4/ip_dynaddr
 echo 1 > /proc/sys/net/ipv4/conf/default/forwarding

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sysctl -a | grep forward

 

sysctl -a | grep forward
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth0/2.forwarding = 1
net.ipv4.conf.eth0/2.mc_forwarding = 0
net.ipv4.conf.eth0/5.forwarding = 1
net.ipv4.conf.eth0/5.mc_forwarding = 0
net.ipv4.conf.eth0/6.forwarding = 1
net.ipv4.conf.eth0/6.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.eth2.forwarding = 1
net.ipv4.conf.eth2.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.virbr0.forwarding = 1
net.ipv4.conf.virbr0.mc_forwarding = 0
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_use_pmtu = 0
net.ipv6.conf.all.forwarding = 0
net.ipv6.conf.all.mc_forwarding = 0
net.ipv6.conf.default.forwarding = 0
net.ipv6.conf.default.mc_forwarding = 0
net.ipv6.conf.eth0.forwarding = 0
net.ipv6.conf.eth0.mc_forwarding = 0
net.ipv6.conf.eth0/2.forwarding = 0
net.ipv6.conf.eth0/2.mc_forwarding = 0
net.ipv6.conf.eth0/5.forwarding = 0
net.ipv6.conf.eth0/5.mc_forwarding = 0
net.ipv6.conf.eth0/6.forwarding = 0
net.ipv6.conf.eth0/6.mc_forwarding = 0
net.ipv6.conf.eth1.forwarding = 0
net.ipv6.conf.eth1.mc_forwarding = 0
net.ipv6.conf.eth2.forwarding = 0
net.ipv6.conf.eth2.mc_forwarding = 0
net.ipv6.conf.lo.forwarding = 0
net.ipv6.conf.lo.mc_forwarding = 0
net.ipv6.conf.virbr0.forwarding = 0
net.ipv6.conf.virbr0.mc_forwarding = 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sysctl -a | grep forward

 

sysctl -a | grep forward
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth0/2.forwarding = 1
net.ipv4.conf.eth0/2.mc_forwarding = 0
net.ipv4.conf.eth0/5.forwarding = 1
net.ipv4.conf.eth0/5.mc_forwarding = 0
net.ipv4.conf.eth0/6.forwarding = 1
net.ipv4.conf.eth0/6.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.eth2.forwarding = 1
net.ipv4.conf.eth2.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.virbr0.forwarding = 1
net.ipv4.conf.virbr0.mc_forwarding = 0
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_use_pmtu = 0
net.ipv6.conf.all.forwarding = 0
net.ipv6.conf.all.mc_forwarding = 0
net.ipv6.conf.default.forwarding = 0
net.ipv6.conf.default.mc_forwarding = 0
net.ipv6.conf.eth0.forwarding = 0
net.ipv6.conf.eth0.mc_forwarding = 0
net.ipv6.conf.eth0/2.forwarding = 0
net.ipv6.conf.eth0/2.mc_forwarding = 0
net.ipv6.conf.eth0/5.forwarding = 0
net.ipv6.conf.eth0/5.mc_forwarding = 0
net.ipv6.conf.eth0/6.forwarding = 0
net.ipv6.conf.eth0/6.mc_forwarding = 0
net.ipv6.conf.eth1.forwarding = 0
net.ipv6.conf.eth1.mc_forwarding = 0
net.ipv6.conf.eth2.forwarding = 0
net.ipv6.conf.eth2.mc_forwarding = 0
net.ipv6.conf.lo.forwarding = 0
net.ipv6.conf.lo.mc_forwarding = 0
net.ipv6.conf.virbr0.forwarding = 0
net.ipv6.conf.virbr0.mc_forwarding = 0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Chain POSTROUTING (policy ACCEPT 4 packets, 232 bytes)

pkts bytes target prot opt in out source destination

546 33454 SNAT all -- * eth1 0.0.0.0/0 0.0.0.0/0 to:10.0.0.10

[/code]

 

:) Конечно, не будет роутинга между серыми сетями...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убрал правило

 

iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP}

 

Нет роутинга

 

iptables -vnL
Chain INPUT (policy ACCEPT 299 packets, 21378 bytes)
pkts bytes target     prot opt in     out     source               destination
   0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  62 10011 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   0     0 ACCEPT     tcp  --  eth0.6 *       192.168.0.0/24       0.0.0.0/0            tcp dpt:22
   0     0 ACCEPT     tcp  --  eth0.2 *       192.168.2.0/24       0.0.0.0/0            tcp dpt:22
   0     0 ACCEPT     tcp  --  eth0.5 *       192.168.1.0/24       0.0.0.0/0            tcp dpt:22
   0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
   1    33 ACCEPT     all  --  eth0.2 *       192.168.2.0/24       0.0.0.0/0
  22  1642 ACCEPT     all  --  eth0.5 *       192.168.1.0/24       0.0.0.0/0
 573 58813 ACCEPT     all  --  eth0.6 *       192.168.0.0/24       0.0.0.0/0

Chain FORWARD (policy ACCEPT 4936 packets, 504K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 198 packets, 13762 bytes)
pkts bytes target     prot opt in     out     source               destination
   3   303 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
 197 18293 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0

 

iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 1742 packets, 109K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 337 packets, 20267 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 37 packets, 3316 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 1052 packets, 63954 bytes)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А с tcpdump'ом или wireshark'ом посмотреть трафик удалось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPTABLES -I FORWARD -s 192.168.0.0/24 -d 192.168.2.0/24 -j ACCEPT

IPTABLES -I FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j ACCEPT

Изменено пользователем Antares

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPTABLES -I FORWARD -s 192.168.0.0/24 -d 192.168.2.0/24 -j ACCEPT

IPTABLES -I FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j ACCEPT

Какой смысл в этих правилах, если

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Т.е. там не фильтруется ничего.

Изменено пользователем Danila

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маловероятно, явного дропа в конфигах нет, но есть iptables -P FORWARD ACCEPT

 

Пока добрался до этой вкладки, уже ответили )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подключил два компьютера.

 

 

pc 192.168.0.153 <---> Шлюз <--> pc2 192.168.2.12     ip            mac-------------------------------------PC   192.168.0.153  00:21:85:19:39:EBшлюз 192.168.0.1    00-06-4f-85-de-a1PC2  192.168.2.12   e8:11:32:a1:c5:18

 

 

Убрал

 

iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP}

 

 

добавил

 

echo 1 > /proc/sys/net/ipv4/conf/eth0.2/proxy_arpecho 1 > /proc/sys/net/ipv4/conf/eth0.6/proxy_arpecho 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arpecho 1 > /proc/sys/net/ipv4/conf/all/proxy_arpecho 0 >/proc/sys/net/ipv4/conf/eth0.2/rp_filterecho 0 >/proc/sys/net/ipv4/conf/eth0.6/rp_filterecho 0 >/proc/sys/net/ipv4/conf/eth0/rp_filterecho 0 >/proc/sys/net/ipv4/conf/all/rp_filter

 

 

Пингую с PC 192.168.0.153 --> 192.168.2.12. PC2 192.168.2.12 видит пакет icmp, но не отвечает.

 

PC 192.168.0.153

f9071a645af8.jpg

 

Шлюз

tcpdump -G 60 -w capture.log ip proto \\icmp и  tcpdump -X -r capture.log

 

a1841d993228.jpg

 

PC 192.168.2.12

1f0c1e189b05.jpg

Изменено пользователем trksergey

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C шлюза оба эти компьютера пингуются?

Покажите netstat -nr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 # netstat -nr
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG        0 0          0 eth1
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0.6
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0.5
192.168.2.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0.2
192.168.122.0   0.0.0.0         255.255.255.0   U         0 0          0 virbr0

 

[10:18:48]

> # ping 192.168.2.12
PING 192.168.2.12 (192.168.2.12) 56(84) bytes of data.
64 bytes from 192.168.2.12: icmp_seq=1 ttl=128 time=0.486 ms
64 bytes from 192.168.2.12: icmp_seq=2 ttl=128 time=0.385 ms
^C
--- 192.168.2.12 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.385/0.435/0.486/0.054 ms

 

[10:19:11]

> # ping 192.168.0.153
PING 192.168.0.153 (192.168.0.153) 56(84) bytes of data.
64 bytes from 192.168.0.153: icmp_seq=1 ttl=128 time=0.268 ms
64 bytes from 192.168.0.153: icmp_seq=2 ttl=128 time=0.238 ms
^C
--- 192.168.0.153 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.238/0.253/0.268/0.015 ms

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все выглядит так как будто должно работать, но не работает (с)

А трейсы с писюков на шлюзе кончаются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.