NAT+Linux

[unix_man]

локальный адрес cервера 192.168.1.11(eth0)
адрес итернета получается по DHCP (eth1 и ppp0)
Делаю так :
#sysctl -w net.ipv4.ip_forward=1
#iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth1 -j MASQUERADE
#iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

После этих действий на клиентских машинах кроме mail.ru, ya.ru, google.ru нечего не открывается. Хотя пинги проходят по любому адресу В браузере пишет что узел (к примеру linuxforum.ru) найден потом идёт ожидане ответа от (linuxforum.ru) и все на этом месте застревает.
Что не так ???

[KiWi]

побольше бы инфы...
route?
iptables?

[unix_man]

побольше бы инфы...
route?
iptables?

↑

Роуты здесь
Про iptables написано выше

[KiWi]

побольше бы инфы...
route?
iptables?

↑

Роуты здесь
Про iptables написано выше

↑

аха, аха, только транзитные пакеты не только через POSTROUTING проходят

[unix_man]

побольше бы инфы...
route?
iptables?

↑

Роуты здесь
Про iptables написано выше

↑

аха, аха, только транзитные пакеты не только через POSTROUTING проходят

↑

Ну и что делать ?????

unix_man добавил в 10.07.2005 15:27

#iptables -L

Chain INPUT (policy ACCEPT)
target    prot opt source              destination       
RH-Lokkit-0-50-INPUT  all  --  anywhere            anywhere         

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination       
RH-Lokkit-0-50-INPUT  all  --  anywhere            anywhere         

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination       

Chain RH-Lokkit-0-50-INPUT (2 references)
target    prot opt source              destination       
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ssh flags:SYN,RST,ACK/SYN
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:http flags:SYN,RST,ACK/SYN
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ftp flags:SYN,RST,ACK/SYN
ACCEPT    udp  --  anywhere            anywhere          udp spts:bootps:bootpc dpts:bootps:bootpc
ACCEPT    udp  --  anywhere            anywhere          udp spts:bootps:bootpc dpts:bootps:bootpc
ACCEPT    all  --  anywhere            anywhere         
ACCEPT    all  --  anywhere            anywhere         
ACCEPT    all  --  anywhere            anywhere         
ACCEPT    udp  --  ns.citnet.ru        anywhere          udp spt:domain
REJECT    tcp  --  anywhere            anywhere          tcp flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT    udp  --  anywhere            anywhere          udp reject-with icmp-port-unreachable

[KiWi]

и-нет с самой машины работает?
и радикальные меры:

Код: Выделить всё

#iptables -t mangle -F PREROUTING
#iptables -t mangle -P PREROUTING ACCEPT
#iptables -t nat -F PREROUTING
#iptables -t nat -P PREROUTING ACCEPT
#iptables -t mangle -F FORWARD
#iptables -t mangle -P FORWARD ACCEPT
#iptables -F FORWARD
#iptables -P FORWARD ACCEPT
#iptables -t mangle -F POSTROUTING
#iptables -t mangle -P POSTROUTING ACCEPT
#iptables -t nat -F POSTROUTING
#iptables -t nat -P POSTROUTING ACCEPT
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

если работает - то наращивай потихоньку
если не работает http - то это всё очень странно
если не работает ftp / irc - то собирай ядро с:

Код: Выделить всё

CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y

[unix_man]

и-нет с самой машины работает?

Инет работает. Принял радикальные меры но результат не изменился

unix_man добавил в 10.07.2005 18:14

Может проблема на клиентских машинах ???

[KiWi]

Может проблема на клиентских машинах ???

↑

может быть...смотри tracert <что-нибудь> с клиентской машины(или у вас ничего другого с и-нетом нет?), либо какие-нить прокси в настройках


ещё можешь проверить конфиг кернела(мож, ты нат забыл? (: ), хотя тогда странно почему google.ru доступен...

и полови что приходит, что уходит :-)

[unix_man]

Может проблема на клиентских машинах ???

↑

может быть...смотри tracert <что-нибудь> с клиентской машины(или у вас ничего другого с и-нетом нет?), либо какие-нить прокси в настройках


ещё можешь проверить конфиг кернела(мож, ты нат забыл? (: ), хотя тогда странно почему google.ru доступен...

и полови что приходит, что уходит :-)

↑

Все проблема решена !!!
Помогло вот это :
#iptables -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu