trksergey Опубликовано 15 января, 2016 · Жалоба Не могу разобраться как правильно объединить сеть 192.168.0.0/24 и 192.168.2.0/24 на шлюзе с NAT. Настройки сети # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0.2 iface eth0.2 inet static address 192.168.2.1 netmask 255.255.255.0 auto eth0.5 iface eth0.5 inet static address 192.168.1.1 netmask 255.255.255.0 auto eth0.6 iface eth0.6 inet static address 192.168.0.1 netmask 255.255.255.0 auto eth1 iface eth1 inet static address 10.0.0.10 netmask 255.255.255.0 network 10.0.0.0 broadcast 10.0.0.255 gateway 10.0.0.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 127.0.0.1 iptables #!/bin/bash #Config ################################## ### LAN1 LAN1_IF="eth0.2" LAN1_NETWORK="192.168.2.0/24" ### LAN2 LAN2_IF="eth0.5" LAN2_NETWORK="192.168.1.0/24" ### LAN3 LAN3_IF="eth0.6" LAN3_NETWORK="192.168.0.0/24" ### WAN WAN_IF="eth1" WAN_IP="10.0.0.10" WAN_NETWORK="10.0.0.10/24" # Enable forward echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_dynaddr echo 1 > /proc/sys/net/ipv4/conf/default/forwarding #CLEAR IPTABLE ########################## iptables -F iptables -F -t nat iptables -t mangle -F iptables -X #DEFAULT POLICE ########################## iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT #LOCALHOST INTERFACE ##################### iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #OUT SERVICE ############################# #SSH iptables -A INPUT -i ${LAN3_IF} -s ${LAN3_NETWORK} -p TCP --dport 22 -j ACCEPT iptables -A INPUT -i ${WAN_IF} -p TCP --dport 22 -j DROP #PING iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT #NAT iptables -A INPUT -i ${LAN1_IF} -s ${LAN1_NETWORK} -j ACCEPT iptables -A INPUT -i ${LAN2_IF} -s ${LAN2_NETWORK} -j ACCEPT iptables -A INPUT -i ${LAN3_IF} -s ${LAN3_NETWORK} -j ACCEPT iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP} Пробовал менять на iptables -P INPUT ACCEPT. Включал proxy arp # echo 1 > /proc/sys/net/ipv4/conf/eth0.2/proxy_arp # echo 1 > /proc/sys/net/ipv4/conf/eth0.6/proxy_arp # echo 0 >/proc/sys/net/ipv4/conf/eth0.2/rp_filter # echo 0 >/proc/sys/net/ipv4/conf/eth0.6/rp_filter # ip route show default via 10.0.0.1 dev eth1 10.0.0.0/8 dev eth1 proto kernel scope link src 10.0.0.10 192.168.0.0/24 dev eth0.6 proto kernel scope link src 192.168.0.1 192.168.1.0/24 dev eth0.5 proto kernel scope link src 192.168.1.1 192.168.2.0/24 dev eth0.2 proto kernel scope link src 192.168.2.1 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 # ip rule list 0: from all lookup local 32766: from all lookup main 32767: from all lookup default Трасировка с сети 192.168.0.0/24. Трассировка маршрута к 192.168.2.11 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс GT-SERVER [192.168.0.1] 2 * * * Превышен интервал ожидания для запроса. Пинг с сети 192.168.0.0/24. Обмен пакетами с 192.168.2.1 по с 32 байтами данных: Ответ от 192.168.2.1: число байт=32 время<1мс TTL=64 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 января, 2016 · Жалоба На шлюзе сделайте ping 8.8.8.8 и покажите iptables -vnL iptables -vnL -t nat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 15 января, 2016 (изменено) · Жалоба На шлюзе сделайте ping 8.8.8.8 и покажите iptables -vnL iptables -vnL -t nat # ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=47 time=48.1 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=47 time=48.1 ms 64 bytes from 8.8.8.8: icmp_seq=3 ttl=47 time=48.1 ms 64 bytes from 8.8.8.8: icmp_seq=4 ttl=47 time=48.1 ms ^C --- 8.8.8.8 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3004ms rtt min/avg/max/mdev = 48.144/48.153/48.165/0.155 ms iptables -vnL Chain INPUT (policy ACCEPT 177 packets, 11090 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 25 4097 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth0.6 * 192.168.0.0/24 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- eth0.2 * 192.168.2.0/24 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- eth0.5 * 192.168.1.0/24 0.0.0.0/0 tcp dpt:22 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ACCEPT all -- eth0.2 * 192.168.2.0/24 0.0.0.0/0 4 254 ACCEPT all -- eth0.5 * 192.168.1.0/24 0.0.0.0/0 159 16199 ACCEPT all -- eth0.6 * 192.168.0.0/24 0.0.0.0/0 Chain FORWARD (policy ACCEPT 1589 packets, 407K bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 116 packets, 8243 bytes) pkts bytes target prot opt in out source destination 6 606 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 80 7256 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 iptables -vnL -t nat Chain PREROUTING (policy ACCEPT 1083 packets, 69323 bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 363 packets, 21137 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 18 packets, 1258 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 4 packets, 232 bytes) pkts bytes target prot opt in out source destination 546 33454 SNAT all -- * eth1 0.0.0.0/0 0.0.0.0/0 to:10.0.0.10 Изменено 15 января, 2016 пользователем trksergey Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danila Опубликовано 15 января, 2016 (изменено) · Жалоба Если правильно понимаю то были не верно описаны интерфейсы типа vlan. Получается, что навешали обычные алиасы. Перепиши интерфейсы по аналогии с примером, указанным ниже: auto vlan2 iface vlan2 inet static address 192.168.2.1 netmask 255.255.255.0 vlan_raw_device eth0 Ну и, соответственно, необходимо будет пригнать в соответствующий vlan с меткой(tagged или trunk, как нравится) на коммутаторе в сторону маршрутизатора. Изменено 15 января, 2016 пользователем Danila Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 15 января, 2016 · Жалоба auto eth0.2 iface eth0.2 inet static address 192.168.2.1 netmask 255.255.255.0 auto eth0.5 iface eth0.5 inet static address 192.168.1.1 netmask 255.255.255.0 auto eth0.6 iface eth0.6 inet static address 192.168.0.1 netmask 255.255.255.0 Что-то не пойму. Расскажите подробнее. Есть несколько вариантов настройки vlan у меня настроено вот так auto eth0.6 iface eth0.6 inet static address 192.168.0.1 netmask 255.255.255.0 # ifconfig eth0 Link encap:Ethernet HWaddr 00:06:4f:85:de:a1 inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10747480 errors:0 dropped:55 overruns:0 frame:0 TX packets:15029346 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1506279633 (1.5 GB) TX bytes:15544927766 (15.5 GB) eth1 Link encap:Ethernet HWaddr 00:06:4f:85:e0:19 inet addr:10.0.0.10 Bcast:10.0.0.255 Mask:255.0.0.0 inet6 addr: fe80::206:4fff:fe85:e019/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:16590401 errors:0 dropped:2958 overruns:0 frame:0 TX packets:8568330 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:15680800868 (15.6 GB) TX bytes:1199569618 (1.1 GB) eth0.2 Link encap:Ethernet HWaddr 00:06:4f:85:de:a1 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:155449 errors:0 dropped:0 overruns:0 frame:0 TX packets:203175 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:20142800 (20.1 MB) TX bytes:242219342 (242.2 MB) eth0.5 Link encap:Ethernet HWaddr 00:06:4f:85:de:a1 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2503480 errors:0 dropped:0 overruns:0 frame:0 TX packets:8916289 errors:0 dropped:1631 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:388296050 (388.2 MB) TX bytes:12473855421 (12.4 GB) eth0.6 Link encap:Ethernet HWaddr 00:06:4f:85:de:a1 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::206:4fff:fe85:dea1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6964669 errors:0 dropped:0 overruns:0 frame:0 TX packets:5909874 errors:0 dropped:5 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:828321310 (828.3 MB) TX bytes:2828852355 (2.8 GB) lo Link encap:Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:2379 errors:0 dropped:0 overruns:0 frame:0 TX packets:2379 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:213819 (213.8 KB) TX bytes:213819 (213.8 KB) Интернет, dhcp и т.п. во всех сетях 192.168.0.0-192.168.2.254 работают через эти интерфейсы без проблем. Коммутатор тоже ок. Нужно лишь разрешить доступ некоторых компьютеров с сети 192.168.0.0/24 в 192.168.2.0/24 (ограничения будут iptables). Сейчас не работает машрутизация с одной сети в другую, нет доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danila Опубликовано 15 января, 2016 · Жалоба Тогда, пожалуйста, вывод команды: cat /proc/net/vlan/config Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 15 января, 2016 · Жалоба # cat /proc/net/vlan/config VLAN Dev name | VLAN ID Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD eth0.2 | 2 | eth0 eth0.5 | 5 | eth0 eth0.6 | 6 | eth0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 января, 2016 · Жалоба sysctl -a | grep forward Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danila Опубликовано 15 января, 2016 (изменено) · Жалоба # cat /proc/net/vlan/config VLAN Dev name | VLAN ID Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD eth0.2 | 2 | eth0 eth0.5 | 5 | eth0 eth0.6 | 6 | eth0 Прикольно, буду знать. :) А вообще, по поводу firewall'a. Там правил блокировки транзитного трафика то нет. POLICY FORWARD ACCEPT стоит. Да цепочка FORWARD таблицы filter пуста. Может конечный компьютер отфильтровывает трафик? Не слушал трафик wireshark'ом? А делал: echo 1 > /proc/sys/net/ipv4/ip_forward ? Изменено 15 января, 2016 пользователем Danila Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 15 января, 2016 · Жалоба # cat /proc/net/vlan/config VLAN Dev name | VLAN ID Name-Type: VLAN_NAME_TYPE_RAW_PLUS_VID_NO_PAD eth0.2 | 2 | eth0 eth0.5 | 5 | eth0 eth0.6 | 6 | eth0 Прикольно, буду знать. :) А вообще, по поводу firewall'a. Там правил блокировки транзитного трафика то нет. POLICY FORWARD ACCEPT стоит. Да цепочка FORWARD таблицы filter пуста. Может конечный компьютер отфильтровывает трафик? Не слушал трафик wireshark'ом? А делал: echo 1 > /proc/sys/net/ipv4/ip_forward ? Пожалуйста, в заголовке загляните под спойлер, там есть конфиги iptables. До анализа трафика еще недобрался Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 января, 2016 · Жалоба В ваших конфигах нет включенного форвардинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 15 января, 2016 · Жалоба В спойлере. # Enable forward echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_dynaddr echo 1 > /proc/sys/net/ipv4/conf/default/forwarding Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 15 января, 2016 · Жалоба sysctl -a | grep forward sysctl -a | grep forward net.ipv4.conf.all.forwarding = 1 net.ipv4.conf.all.mc_forwarding = 0 net.ipv4.conf.default.forwarding = 1 net.ipv4.conf.default.mc_forwarding = 0 net.ipv4.conf.eth0.forwarding = 1 net.ipv4.conf.eth0.mc_forwarding = 0 net.ipv4.conf.eth0/2.forwarding = 1 net.ipv4.conf.eth0/2.mc_forwarding = 0 net.ipv4.conf.eth0/5.forwarding = 1 net.ipv4.conf.eth0/5.mc_forwarding = 0 net.ipv4.conf.eth0/6.forwarding = 1 net.ipv4.conf.eth0/6.mc_forwarding = 0 net.ipv4.conf.eth1.forwarding = 1 net.ipv4.conf.eth1.mc_forwarding = 0 net.ipv4.conf.eth2.forwarding = 1 net.ipv4.conf.eth2.mc_forwarding = 0 net.ipv4.conf.lo.forwarding = 1 net.ipv4.conf.lo.mc_forwarding = 0 net.ipv4.conf.virbr0.forwarding = 1 net.ipv4.conf.virbr0.mc_forwarding = 0 net.ipv4.ip_forward = 1 net.ipv4.ip_forward_use_pmtu = 0 net.ipv6.conf.all.forwarding = 0 net.ipv6.conf.all.mc_forwarding = 0 net.ipv6.conf.default.forwarding = 0 net.ipv6.conf.default.mc_forwarding = 0 net.ipv6.conf.eth0.forwarding = 0 net.ipv6.conf.eth0.mc_forwarding = 0 net.ipv6.conf.eth0/2.forwarding = 0 net.ipv6.conf.eth0/2.mc_forwarding = 0 net.ipv6.conf.eth0/5.forwarding = 0 net.ipv6.conf.eth0/5.mc_forwarding = 0 net.ipv6.conf.eth0/6.forwarding = 0 net.ipv6.conf.eth0/6.mc_forwarding = 0 net.ipv6.conf.eth1.forwarding = 0 net.ipv6.conf.eth1.mc_forwarding = 0 net.ipv6.conf.eth2.forwarding = 0 net.ipv6.conf.eth2.mc_forwarding = 0 net.ipv6.conf.lo.forwarding = 0 net.ipv6.conf.lo.mc_forwarding = 0 net.ipv6.conf.virbr0.forwarding = 0 net.ipv6.conf.virbr0.mc_forwarding = 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 15 января, 2016 · Жалоба sysctl -a | grep forward sysctl -a | grep forward net.ipv4.conf.all.forwarding = 1 net.ipv4.conf.all.mc_forwarding = 0 net.ipv4.conf.default.forwarding = 1 net.ipv4.conf.default.mc_forwarding = 0 net.ipv4.conf.eth0.forwarding = 1 net.ipv4.conf.eth0.mc_forwarding = 0 net.ipv4.conf.eth0/2.forwarding = 1 net.ipv4.conf.eth0/2.mc_forwarding = 0 net.ipv4.conf.eth0/5.forwarding = 1 net.ipv4.conf.eth0/5.mc_forwarding = 0 net.ipv4.conf.eth0/6.forwarding = 1 net.ipv4.conf.eth0/6.mc_forwarding = 0 net.ipv4.conf.eth1.forwarding = 1 net.ipv4.conf.eth1.mc_forwarding = 0 net.ipv4.conf.eth2.forwarding = 1 net.ipv4.conf.eth2.mc_forwarding = 0 net.ipv4.conf.lo.forwarding = 1 net.ipv4.conf.lo.mc_forwarding = 0 net.ipv4.conf.virbr0.forwarding = 1 net.ipv4.conf.virbr0.mc_forwarding = 0 net.ipv4.ip_forward = 1 net.ipv4.ip_forward_use_pmtu = 0 net.ipv6.conf.all.forwarding = 0 net.ipv6.conf.all.mc_forwarding = 0 net.ipv6.conf.default.forwarding = 0 net.ipv6.conf.default.mc_forwarding = 0 net.ipv6.conf.eth0.forwarding = 0 net.ipv6.conf.eth0.mc_forwarding = 0 net.ipv6.conf.eth0/2.forwarding = 0 net.ipv6.conf.eth0/2.mc_forwarding = 0 net.ipv6.conf.eth0/5.forwarding = 0 net.ipv6.conf.eth0/5.mc_forwarding = 0 net.ipv6.conf.eth0/6.forwarding = 0 net.ipv6.conf.eth0/6.mc_forwarding = 0 net.ipv6.conf.eth1.forwarding = 0 net.ipv6.conf.eth1.mc_forwarding = 0 net.ipv6.conf.eth2.forwarding = 0 net.ipv6.conf.eth2.mc_forwarding = 0 net.ipv6.conf.lo.forwarding = 0 net.ipv6.conf.lo.mc_forwarding = 0 net.ipv6.conf.virbr0.forwarding = 0 net.ipv6.conf.virbr0.mc_forwarding = 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 15 января, 2016 · Жалоба Chain POSTROUTING (policy ACCEPT 4 packets, 232 bytes) pkts bytes target prot opt in out source destination 546 33454 SNAT all -- * eth1 0.0.0.0/0 0.0.0.0/0 to:10.0.0.10 [/code] :) Конечно, не будет роутинга между серыми сетями... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 18 января, 2016 · Жалоба Убрал правило iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP} Нет роутинга iptables -vnL Chain INPUT (policy ACCEPT 299 packets, 21378 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 62 10011 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth0.6 * 192.168.0.0/24 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- eth0.2 * 192.168.2.0/24 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- eth0.5 * 192.168.1.0/24 0.0.0.0/0 tcp dpt:22 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 1 33 ACCEPT all -- eth0.2 * 192.168.2.0/24 0.0.0.0/0 22 1642 ACCEPT all -- eth0.5 * 192.168.1.0/24 0.0.0.0/0 573 58813 ACCEPT all -- eth0.6 * 192.168.0.0/24 0.0.0.0/0 Chain FORWARD (policy ACCEPT 4936 packets, 504K bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 198 packets, 13762 bytes) pkts bytes target prot opt in out source destination 3 303 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 197 18293 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 iptables -vnL -t nat Chain PREROUTING (policy ACCEPT 1742 packets, 109K bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 337 packets, 20267 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 37 packets, 3316 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1052 packets, 63954 bytes) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danila Опубликовано 18 января, 2016 · Жалоба А с tcpdump'ом или wireshark'ом посмотреть трафик удалось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 18 января, 2016 (изменено) · Жалоба IPTABLES -I FORWARD -s 192.168.0.0/24 -d 192.168.2.0/24 -j ACCEPT IPTABLES -I FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j ACCEPT Изменено 18 января, 2016 пользователем Antares Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danila Опубликовано 18 января, 2016 (изменено) · Жалоба IPTABLES -I FORWARD -s 192.168.0.0/24 -d 192.168.2.0/24 -j ACCEPT IPTABLES -I FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j ACCEPT Какой смысл в этих правилах, если Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Т.е. там не фильтруется ничего. Изменено 18 января, 2016 пользователем Danila Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 18 января, 2016 · Жалоба Тупанул, не проснулся ещё )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 18 января, 2016 · Жалоба Маловероятно, явного дропа в конфигах нет, но есть iptables -P FORWARD ACCEPT Пока добрался до этой вкладки, уже ответили ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 18 января, 2016 (изменено) · Жалоба Подключил два компьютера. pc 192.168.0.153 <---> Шлюз <--> pc2 192.168.2.12 ip mac-------------------------------------PC 192.168.0.153 00:21:85:19:39:EBшлюз 192.168.0.1 00-06-4f-85-de-a1PC2 192.168.2.12 e8:11:32:a1:c5:18 Убрал iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP} добавил echo 1 > /proc/sys/net/ipv4/conf/eth0.2/proxy_arpecho 1 > /proc/sys/net/ipv4/conf/eth0.6/proxy_arpecho 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arpecho 1 > /proc/sys/net/ipv4/conf/all/proxy_arpecho 0 >/proc/sys/net/ipv4/conf/eth0.2/rp_filterecho 0 >/proc/sys/net/ipv4/conf/eth0.6/rp_filterecho 0 >/proc/sys/net/ipv4/conf/eth0/rp_filterecho 0 >/proc/sys/net/ipv4/conf/all/rp_filter Пингую с PC 192.168.0.153 --> 192.168.2.12. PC2 192.168.2.12 видит пакет icmp, но не отвечает. PC 192.168.0.153 Шлюз tcpdump -G 60 -w capture.log ip proto \\icmp и tcpdump -X -r capture.log PC 192.168.2.12 Изменено 18 января, 2016 пользователем trksergey Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sacrament Опубликовано 18 января, 2016 · Жалоба C шлюза оба эти компьютера пингуются? Покажите netstat -nr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trksergey Опубликовано 18 января, 2016 · Жалоба # netstat -nr Таблица маршутизации ядра протокола IP Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 eth1 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.6 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.5 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0.2 192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0 [10:18:48] > # ping 192.168.2.12 PING 192.168.2.12 (192.168.2.12) 56(84) bytes of data. 64 bytes from 192.168.2.12: icmp_seq=1 ttl=128 time=0.486 ms 64 bytes from 192.168.2.12: icmp_seq=2 ttl=128 time=0.385 ms ^C --- 192.168.2.12 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.385/0.435/0.486/0.054 ms [10:19:11] > # ping 192.168.0.153 PING 192.168.0.153 (192.168.0.153) 56(84) bytes of data. 64 bytes from 192.168.0.153: icmp_seq=1 ttl=128 time=0.268 ms 64 bytes from 192.168.0.153: icmp_seq=2 ttl=128 time=0.238 ms ^C --- 192.168.0.153 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 0.238/0.253/0.268/0.015 ms Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sacrament Опубликовано 18 января, 2016 · Жалоба Все выглядит так как будто должно работать, но не работает (с) А трейсы с писюков на шлюзе кончаются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...