Решено: Не желает раздваться инет на второй лан (Ubuntu 10.04 Server)

[Smirnoff]

потребовалось собрать шлюз (две сетевые + pci wifi (но пока не до вайфай)), но с готовых конфигов никак не дает интернет
dhcp-сервер работает и при этом на клиентской машине даже Скай пашет. Интернет приходит на eth0
Народ, чего я не досмотрел??

правила:

Код: Выделить всё

iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 135 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -p ALL -o eth0 -j MASQUERADE

интерфейсы:

Код: Выделить всё

eth0      Link encap:Ethernet  HWaddr 80:04:75:81:50:d7
          inet addr:192.168.0.250  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::204:75ff:fe82:50d3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1480 errors:0 dropped:0 overruns:0 frame:0
          TX packets:636 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:308095 (308.0 KB)  TX bytes:133125 (133.1 KB)
          Interrupt:12 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 00:90:da:71:72:67
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:10 Base address:0xa000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:480 (480.0 B)  TX bytes:480 (480.0 B)

Код: Выделить всё

root@repair:/etc/network/if-up.d# cat /etc/sysctl.conf

net.ipv4.ip_forward=1

Код: Выделить всё

root@repair:/etc/network/if-up.d# netstat -rN
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.2.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG        0 0          0 eth0

вот трассиовка на внешний адрес

Код: Выделить всё

smirnoff@ew615:~$ traceroute 78.159.63.22
traceroute to 78.159.63.22 (78.159.63.22), 30 hops max, 60 byte packets
 1  192.168.2.1 (192.168.2.1)  0.600 ms  0.471 ms  0.449 ms
 2  192.168.0.1 (192.168.0.1)  0.772 ms  0.803 ms  0.857 ms
 3  * 192.168.1.1 (192.168.1.1)  1.038 ms  0.793 ms
 4  223.227.192.124 (223.227.192.124)  14.599 ms  15.447 ms  16.607 ms
 5  * 223.227.192.1 (223.227.192.1)  19.052 ms  19.590 ms
 6  78.111.215.209 (78.111.215.209)  153.716 ms  213.948 ms  213.824 ms
 7  195.35.65.229 (195.35.65.229)  19.170 ms  19.922 ms  20.354 ms
 8  94.76.105.25 (94.76.105.25)  22.032 ms  23.422 ms  24.652 ms
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *

[sash-kan]

Народ, чего я не досмотрел??

вероятно, восьмидесятый порт в цепочке input таблицы filter·

[Smirnoff]

добавил 80й - без результата

[sash-kan]

наблюдайте за статистикой прохождения пакетов через цепочки и за заголовками самих пакетов·

[blackdevil]

i	Уведомление от модератора
	Ubuntu-специфики не вижу, переношу в Администрирование

[alex_suse]

80-й на input это о чем?
Судя по настройке шлюза инет должен быть. Судя по трассировке он есть, то что она не дошла до адресата, то не плодите не понятно что, есть к примеру вполне открытый яндекс.
traceroute 77.88.21.3, добрались? Судя по всему должны.
traceroute ya.ru, добрались? Нет, смотрим в сторону днс.

[Smirnoff]

обнаружил свою старую тему, вот рабочий скрипт:

Код: Выделить всё

#!/bin/sh
 PATH=/usr/sbin:/sbin:/bin:/usr/bin
 # delete all existing rules.
 iptables -F
 iptables -t nat -F
 iptables -t mangle -F
 iptables -X
# Always accept loopback traffic
 iptables -A INPUT -i lo -j ACCEPT
# Allow established connections, and those not coming from the outside
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
 iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow outgoing connections from the LAN side.
 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.10 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.11 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.12 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.13 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.14 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.15 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.16 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.17 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.18 -j MASQUERADE

#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Don't forward from the outside to the inside.
 iptables -A FORWARD -i eth0 -o eth0 -j REJECT
 iptables -A FORWARD -i eth0 -o eth1 -j REJECT
 # Enable routing.
 echo 1 > /proc/sys/net/ipv4/ip_forward
#redirect for squid

#For fixing problem
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu