[Решено] раздача интернета с двух сетевых интерфейсов

Автор yakdon, 18 декабря 2017, 07:25:11

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

yakdon

Доброго дня!

не могу раздавать интернет с двух разных (виртуальный) сетевых интерфейсов. Имея маршрутизатор, подключен к провайдеру (WAN ip провайдера) и (LAN 10.0.0.1), еще прозрачный проксий (поднять на виртуалке VMW, там одна сетевая карта) Squid&SquidGuard (10.0.0.2) и DHCP&DNS сервер (10.0.0.3)

задача такая, создать еще одну сетку гостевой и раздавать интернет, я создал 192.168.10.0/24  но интернет с этой сетей не проходит, у клиента прописываю айпи  192.168.10.2/255.255.255.0/192.168.10.1 а днс 10.0.0.3
в сети 10.0.0.0/24 все работает

помогитеее плизззз!!! :( :( :(

#/etc/network/interfaces

allow-hotplug eth0
auto eth0
iface eth0 inet static
           address 10.0.0.2
           netmask 255.255.255.0
           gateway 10.0.0.1

auto eth0:1
iface eth0:1 inet static
        address 192.168.10.1
        netmask 255.255.255.0
        up iptables-restore < /etc/init.d/iptab.sh\



#iptables
LOCAL_IP=10.0.0.2
EXTERNAL_IP=10.0.0.2
LAN=10.0.0.0/8

echo 1 > /proc/sys/net/ipv4/ip_forward


iptables -A POSTROUTING -t nat --dst 10.0.0.0/255.255.255.0 -j SNAT --to-source 192.168.10.1
iptables -A POSTROUTING -t nat --dst 192.168.10.0/255.255.255.0 -j SNAT --to-source 10.0.0.2




zarguni

Судя по вопросу, неудивительно, что у вас что-то не работает. Я, например, однозначно исходных данных не смог понять.
Последнее бросилось в глаза:
Цитата: yakdon от 18 декабря 2017, 07:25:11
iptables -A POSTROUTING -t nat --dst 10.0.0.0/255.255.255.0 -j SNAT --to-source 192.168.10.1
iptables -A POSTROUTING -t nat --dst 192.168.10.0/255.255.255.0 -j SNAT --to-source 10.0.0.2
Почему в сеть 10.0.0.0/24 вы делаете snat на ip 192.168.10.1? Очевидно, что там об этом ip ничего не известно.
Скорее всего вот так:

iptables -A POSTROUTING -t nat --dst 10.0.0.0/24 -j SNAT --to-source 10.0.0.2
iptables -A POSTROUTING -t nat --dst 192.168.10.0/24 -j SNAT --to-source 192.168.10.1

Но это мои догадки. Нужно корректное описание проблемы.

yakdon

ну скажем так, у меня две разные сети 10.0.0.0/24 и 192.168.10.0/24 я хочу чтоб в обеих сетях работал интернет!  в сети 10.0.0.0/24 все работает!


endru

нужно проверять:
0. все правила iptables, из 1 сообщения вообще не понятно что и как настраивалось:
iptables-save   # если всего пара строк.
iptables-save > ~/myiptables.txt # если вывод большой

1. маршруты из 1 и 2 сети
traceroute 8.8.8.8
2. работу DNS:
nslookup debianforum.ru
или
host -t A debianforum.ru

есть предположение что скорее проблема в DNS, т.к. DNS настроен именно для сети 10.0.0.0/24, он может слушать только 2 интерфейса, localhost и 10.0.0.0/24, соответственно запрос из другой сети он обрабатывать не будет. соответственно нужен вывод на DNS сервере.
netstat -ntl | grep :53

yakdon

#4
вот именно, пинги, trace nslookup все проходит нормально nslookup

nslookup
Address:  10.0.0.3

> mail.ru
╤хЁтхЁ:  UnKnown
Address:  10.0.0.3

Не заслуживающий доверия ответ:
╚ь :     mail.ru
Addresses:  2a00:1148:db00:0:b0b0::1
          217.69.139.200
          217.69.139.201
          94.100.180.200
          94.100.180.201

endru

не вижу выводов для обоих сетей всех команд.
включая настройки iptables на шлюзе из пункта 0.

yakdon

#6
вот настройка iptables

LOCAL_IP=10.0.0.2
EXTERNAL_IP=10.0.0.2
LAN=10.0.0.0/8

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -N TOR #Torent
iptables -N TORDROP #Torent
iptables -N MACBLOCK
iptables -N MACDROP


iptables -A MACDROP -j ULOG --ulog-prefix "MAC_DROP: "
iptables -A MACDROP -j DROP

iptables -A INPUT -s 127.0.0.0/24 -d 127.0.0.0/24 -j ACCEPT # Loopback

iptables -A INPUT -j MACBLOCK

iptables -A INPUT -p icmp                               -j ACCEPT


iptables -A INPUT -d $LOCAL_IP -s 10.0.0.0/8            -j ACCEPT # LAN
iptables -A INPUT -d $EXTERNAL_IP -p tcp --dport 22     -j ACCEPT
iptables -A INPUT -d 192.168.10.0/24                     -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

iptables -A TORDROP -j ULOG --ulog-prefix "TOR_ACTIVITY: "
iptables -A TORDROP -j DROP

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 10.0.0.2

iptables -A FORWARD -j MACBLOCK
iptables -A FORWARD -j TOR


iptables -A FORWARD -d $BLOCK_IP -j DROP


iptables -A FORWARD -p icmp     -j ACCEPT
iptables -A FORWARD -s $LAN     -j ACCEPT
iptables -A FORWARD -d $LAN     -j ACCEPT

source /usr/src/prerouting.sh

#Squid
iptables -t nat -A PREROUTING -s $LAN -p tcp --dport   80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 8080 -j REDIRECT --to-ports 3128


iptables -t nat -A POSTROUTING -d $LAN -j ACCEPT

####OPEN PORTS FOR NAT####
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport    20     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport    21     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport    25     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport   110     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport   139     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport   143     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport   443     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport   465     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport   993     -j SNAT --to-source $EXTERNAL_IP
iptables -t nat -A POSTROUTING -s $LAN -p tcp --dport   995     -j SNAT --to-source $EXTERNAL_IP

iptables -t nat -A POSTROUTING -p icmp  -j SNAT --to-source $EXTERNAL_IP


*пользуемся тегами для оформления поста. endru

zarguni

Где настройки forward для подсети 192.168.10.0/24?
И да, покажите уже вывод команд из ответа выше.

yakdon

#8
спасибо всем, включил forward и все заработала! :D :D :D


iptables -A FORWARD -i eth0 -o eth0:1 -s 192.168.10.0/24 -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE