URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96580
[ Назад ]

Исходное сообщение
"Настройка маршрутизации"
Отправлено vahminator , 11-Июн-16 18:51

Добрый день.
WAN: 192.168.2.113
LAN: 192.168.5.1/255.255.255.0
Есть сервер на CentOS. Настраивал обычный шлюз (dhcp, dns, squid), по не могу понять где ошибка при настройке маршрутизации.  Может подскажете в какую сторону копать?
Нет даже пинга:
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 192.168.2.113 icmp_seq=1 Destination Host Unreachable
From 192.168.2.113 icmp_seq=2 Destination Host Unreachable

iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 7723 packets, 483K bytes)
pkts bytes target     prot opt in     out     source               destination
Chain POSTROUTING (policy ACCEPT 286K packets, 18M bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       all  --  *      eth1    192.168.5.0/24       0.0.0.0/0           to:192.168.2.113
Chain OUTPUT (policy ACCEPT 282K packets, 18M bytes)
pkts bytes target     prot opt in     out     source               destination

Содержание

Настройка маршрутизации,asavah, 19:57 , 11-Июн-16
- Настройка маршрутизации,vahminator, 20:04 , 11-Июн-16
  - Настройка маршрутизации,PavelR, 20:16 , 11-Июн-16
    - Настройка маршрутизации,vahminator, 21:20 , 11-Июн-16
      - Настройка маршрутизации,Krpsh, 23:58 , 11-Июн-16
        
        Настройка маршрутизации,vahminator, 01:35 , 12-Июн-16
      - Настройка маршрутизации,asavah, 00:16 , 12-Июн-16
      - Настройка маршрутизации,PavelR, 08:02 , 12-Июн-16
Настройка маршрутизации,Krpsh, 22:58 , 11-Июн-16
- Настройка маршрутизации,Krpsh, 23:04 , 11-Июн-16
  - Настройка маршрутизации,vahminator, 23:21 , 11-Июн-16

Сообщения в этом обсуждении

"Настройка маршрутизации"
Отправлено asavah , 11-Июн-16 19:57

мы гадать должны какой ифейс куда смотрит?
-L FORWARD тоже угадывать будем по фотографии ...
и состояние /proc/sys/net/ipv4/ip_forward тоже
так как НАМ это очень надо сейчас позвоним гадалке чтоб она прояснила ситуацию
хотите нормальный ответ - научитесь задавать вопросы

"Настройка маршрутизации"
Отправлено vahminator , 11-Июн-16 20:04

> мы гадать должны какой ифейс куда смотрит?
> -L FORWARD тоже угадывать будем по фотографии ...
> и состояние /proc/sys/net/ipv4/ip_forward тоже
> так как НАМ это очень надо сейчас позвоним гадалке чтоб она прояснила
> ситуацию
> хотите нормальный ответ - научитесь задавать вопросы
Извиняюсь, что не всю нужную информацию дал(
/proc/sys/net/ipv4/ip_forward = 1
WAN: 192.168.2.113 = eth0
LAN: 192.168.5.1/255.255.255.0 = eth1
iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             default/8
DROP       all  --  anywhere             loopback/8
DROP       all  --  anywhere             255.255.255.255
DROP       all  --  anywhere             224.0.0.0/4
DROP       all  --  anywhere             240.0.0.0/5
DROP       all  --  anywhere             239.255.255.0/24
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP       icmp --  anywhere             anywhere            icmp address-mask-request
DROP       icmp --  anywhere             anywhere            icmp timestamp-request
DROP       icmp -f  anywhere             anywhere

"Настройка маршрутизации"
Отправлено PavelR , 11-Июн-16 20:16

>iptables -L FORWARD
1) iptables -nvL FORWARD
2) iptables -t nat -nvL FORWARD
3) iptables -t mangle -nvL FORWARD
4) iptables -t raw -nvL FORWARD
таблицы и правила маршрутизации:
ip ru sh
ip ro sh ta main
ip ro sh ta default
откуда пингуете?
и трассировки.

"Настройка маршрутизации"
Отправлено vahminator , 11-Июн-16 21:20

>[оверквотинг удален]
> 1) iptables -nvL FORWARD
> 2) iptables -t nat -nvL FORWARD
> 3) iptables -t mangle -nvL FORWARD
> 4) iptables -t raw -nvL FORWARD
> таблицы и правила маршрутизации:
> ip ru sh
> ip ro sh ta main
> ip ro sh ta default
> откуда пингуете?
> и трассировки.
1) iptables -nvL FORWARD
Chain FORWARD (policy ACCEPT 17005 packets, 884K bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/8
    0     0 DROP       all  --  *      *       0.0.0.0/0            127.0.0.0/8
    0     0 DROP       all  --  *      *       0.0.0.0/0            255.255.255.255
    0     0 DROP       all  --  *      *       0.0.0.0/0            224.0.0.0/4
    0     0 DROP       all  --  *      *       0.0.0.0/0            240.0.0.0/5
    0     0 DROP       all  --  *      *       0.0.0.0/0            239.255.255.0/24
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 17
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 13
    0     0 DROP       icmp -f  *      *       0.0.0.0/0            0.0.0.0/0
2) iptables -t nat -nvL FORWARD
No chain/target/match by that name.
3) iptables -t mangle -nvL FORWARD
Chain FORWARD (policy ACCEPT 17230 packets, 896K bytes)
pkts bytes target     prot opt in     out     source               destination
4) iptables -t raw -nvL FORWARD
iptables: No chain/target/match by that name.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -d 0.0.0.0/8 -j DROP
-A FORWARD -d 127.0.0.0/8 -j DROP
-A FORWARD -d 255.255.255.255 -j DROP
-A FORWARD -d 224.0.0.0/4 -j DROP
-A FORWARD -d 240.0.0.0/5 -j DROP
-A FORWARD -d 239.255.255.0/24 -j DROP
-A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
-A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
-A FORWARD -p icmp -m icmp --icmp-type address-mask-request -j DROP
-A FORWARD -p icmp -m icmp --icmp-type timestamp-request -j DROP
-A FORWARD -p icmp --fragment -j DROP
#
COMMIT
#
*nat
-A POSTROUTING -o eth1 -s 192.168.5.0/24 -j SNAT --to 192.168.2.113
#
COMMIT
ip ru sh
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

ip ro sh ta main
192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.1
192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.113
169.254.0.0/16 dev eth1  scope link  metric 1003
default via 192.168.2.113 dev eth0
ip ro sh ta default
Ничего не вывело
Сам интернет за пределами этого сервера работает нормально.

"Настройка маршрутизации"
Отправлено Krpsh , 11-Июн-16 23:58

> ip ro sh ta main
> 192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.1
> 192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.113
> 169.254.0.0/16 dev eth1  scope link  metric 1003
> default via 192.168.2.113 dev eth0
> ip ro sh ta default
> Ничего не вывело
> Сам интернет за пределами этого сервера работает нормально.
У вас какой-то странный шлюз по умолчанию -ip wan
Вы точно не ошиблись указывая шлюз для выхода в инет?

"Настройка маршрутизации"
Отправлено vahminator , 12-Июн-16 01:35

>> ip ro sh ta main
>> 192.168.5.0/24 dev eth1  proto kernel  scope link  src 192.168.5.1
>> 192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.113
>> 169.254.0.0/16 dev eth1  scope link  metric 1003
>> default via 192.168.2.113 dev eth0
>> ip ro sh ta default
>> Ничего не вывело
>> Сам интернет за пределами этого сервера работает нормально.
> У вас какой-то странный шлюз по умолчанию -ip wan
> Вы точно не ошиблись указывая шлюз для выхода в инет?
Вы оказались правы. Действительно проблема была в шлюзе.
Спасибо!
Сменил IP адрес шлюза на 192.168.2.1 - пинг и интернет пошел.

"Настройка маршрутизации"
Отправлено asavah , 12-Июн-16 00:16

>-A POSTROUTING -o eth1 -s 192.168.5.0/24 -j SNAT --to 192.168.2.113
ну как мы натим на самом лан ифейсе?
-o eth0 же
поубирай пока все мутные дропы которые ты из бложиков понадёргал
WAN: 192.168.2.113 и default via 192.168.2.113 dev eth0
не смущает что шлюз и ипшник ифейса одинаковые? или ты нам с данными врёшь

"Настройка маршрутизации"
Отправлено PavelR , 12-Июн-16 08:02

>>[оверквотинг удален]
>> 1) iptables -nvL FORWARD
>> 2) iptables -t nat -nvL FORWARD
>> 3) iptables -t mangle -nvL FORWARD
>> 4) iptables -t raw -nvL FORWARD
Что-то я прогнал конечно с копипастой :-)
Могли бы и сами это понять.
2) iptables -t nat -nvL
3) iptables -t mangle -nvL
4) iptables -t raw -nvL

"Настройка маршрутизации"
Отправлено Krpsh , 11-Июн-16 22:58

> Chain POSTROUTING (policy ACCEPT 286K packets, 18M bytes)
>  pkts bytes target     prot opt in
>    out     source
>
>  destination
>     0     0 SNAT
>      all  --  *
>     eth1    192.168.5.0/24
>     0.0.0.0/0
>     to:192.168.2.113
У вас же wan на eth1, а в правиле eth0

"Настройка маршрутизации"
Отправлено Krpsh , 11-Июн-16 23:04

>[оверквотинг удален]
>>  pkts bytes target     prot opt in
>>    out     source
>>
>>  destination
>>     0     0 SNAT
>>      all  --  *
>>     eth1    192.168.5.0/24
>>     0.0.0.0/0
>>     to:192.168.2.113
> У вас же wan на eth1, аl в правиле eth0
Упс, сори, наоборот все :-)
Wan - eth0, правило -eth1

"Настройка маршрутизации"
Отправлено vahminator , 11-Июн-16 23:21

>[оверквотинг удален]
>>>
>>>  destination
>>>     0     0 SNAT
>>>      all  --  *
>>>     eth1    192.168.5.0/24
>>>     0.0.0.0/0
>>>     to:192.168.2.113
>> У вас же wan на eth1, аl в правиле eth0
> Упс, сори, наоборот все :-)
> Wan - eth0, правило -eth1
Да, действительно это так =(
Но все равно доступа к сети нет. Пинг так же не проходит.