https://www.opennet.me/openforum/vsluhforumID1/81093.html Здравствуйте вот сталкнулся с такой проблемой<br>У меня есть 2 сетевых интерфейса eth1(LAN) eth2(INET)<br><br>Добавил правило в iptables<br><br>iptables -t nat -I POSTROUNTING -i eth1 -o eth2 -j SNAT --to-source INET_IP<br><br>Но почемуто не все локальные преобразовываются<br><br>и при вводе команды<br><br>tcpdump -i eth2 я их вижу и мой интернет провайдер видет и ему это очень не нравится <br><br>в чем тут проблема?<br><br>Я уже и ядро перекомпилировал и дистрибутив линукса другой установил<br>но ничего не помогает!<br> https://www.opennet.me/openforum/vsluhforumID1/81093.html#36 Sat, 12 Jul 2008 14:42:30 GMT Спасибо!!<br>Я последовал вашему примеру и вот такой скрипт действительно все маскирует<br>tcpdump пустой. Работает как SNAT так и MASQUERADE.<br><br>#!/bin/sh<br>IPTAB=/usr/sbin/iptables<br>#LAN CONFIGURATION ------------------------------------<br><br>LAN="192.168.1.0/24"<br>LAN_IF="eth1"<br><br>#INET CONFIGURATION ------------------------------------<br><br><br>INET_IF="eth2"<br><br><br># SCRIPT BODY ------------------------------------<br><br>#SETTING DEFAULT POLICY ---------------------------<br><br>$IPTAB -F<br>$IPTAB -X<br><br>$IPTAB -F INPUT<br>$IPTAB -F OUTPUT<br>$IPTAB -F FORWARD<br><br>$IPTAB -t nat -F<br>$IPTAB -t nat -X<br>$IPTAB -t mangle -F<br>$IPTAB -t mangle -X<br><br>#SET DEFAULT POLICY<br><br>$IPTAB -P FORWARD DROP<br>$IPTAB -P OUTPUT ACCEPT<br>$IPTAB -P INPUT ACCEPT<br><br>#FORWARD RULES --------------------------------------<br><br>$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state NEW -j ACCEPT<br>$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state ESTABLISHED -j ACCEPT<br>$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state RELATED -j ACCEPT<br><br>$IPTAB - https://www.opennet.me/openforum/vsluhforumID1/81093.html#35 Fri, 11 Jul 2008 11:20:10 GMT &gt;Приведите простой пример правил для этого. <br>&gt;Политику безопасности я и сам настрою с этим проблем пока небыло <br><br>iptables -P FORWARD DROP<br>iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -o eth1 -j ACCEPT<br>iptables -A FORWARD -i eth1 -d 192.168.0.0/24 --state RELATED,ESTABLSHED -j ACCEPT<br>iptables -t nat -A POSTROUTING -s 192.168.0./24 -o eth1 -j MASQUERADE<br><br>это минимум который нужен и который реально работает + советы <br>1) если у вас шнурок воткнут в какой то хаб тонадо вытащить локалку и подампить, может это действительно не ваши пакеты ловяться, не вы один можете юзать 192.168.0.0/24, дампом особо не пользовался но могу предположить что как умная прога он сразу расшифровывает NAT в локальные адреса (если пускаеться на роутере) - для этого дампить нужно на другом конце.<br>2) Не знаю как дебиане а в слаке 12 по умолчанию в ядре включен роутинг брадкаст пакетов и MAC брадкаст - вот это и может видеть вашь пров и ругаться<br>3) Возьмите машину какуюнибуть и вокните к eth1 и на ней продампи что утебя выходит с и https://www.opennet.me/openforum/vsluhforumID1/81093.html#34 Fri, 11 Jul 2008 10:10:42 GMT &gt;Вас что, к инету через хаб подключают ?? Откуда там светятся всякие <br>&gt;левые адреса типа 10.100.67.56, например ? <br>&gt;<br>&gt;Думаю, что требуется более подробное описание структуры сети. <br><br>Подключаюсь через DHCP кабель идет 100мб к свичу это типа локальная сеть типа по городу + инет.<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/81093.html#33 Fri, 11 Jul 2008 09:42:56 GMT Насчет IP 192.168.1.7 и 192.168.1.15 я уверен потому-что менял IP <br>192.168.1.8 на 192.168.1.15 и 192.168.1.8 уже не было в дампе<br><br>Как ни странно MASQUERADE тоже не помогает <br>а для IP у меня есть скрипт на пхп который его подставляет в правило firewall но он всегда один и тот же<br><br>Насчет реального IP я не вкурсе как он выдается но сервер его не видет и ваще вся локальная сеть. Его видно только с другого интернет провайдера.<br><br> https://www.opennet.me/openforum/vsluhforumID1/81093.html#32 Fri, 11 Jul 2008 06:19:59 GMT &gt;Еще есть один момент интересный у моего знакомого тот-же провайдер но ядро <br>&gt;2.4 а не 2.6 как у меня и у него все <br>&gt;ОК!!!. Провайдер не обижается <br><br>версия ядра здесь ни причём<br><br><br>из всего, что я прочёл в постах выше, почемуто начинает казаться что ваш провайдер ДЕБИЛ<br>1. если пров отдаёт вам статический IP по DHCP (хочется смеятся) лучше используйте не SNAT, а MASQUERADE, вдруг завтра пров поменяет вам IP, а вы и знать не будете<br><br>2. непонятно как пров отдаёт вам реальный IP, если он делает DNAT, то это полный дебилизм<br><br>ни один пакет не может обойти цепочку POSTROUTIG таблицы nat, если только правило прописанное там не делает отбора пакетов т.е. правило должно быть самым простым<br><br>iptables -t nat -I POSTROUTING -o eth2(или что там у вас смотрит на прова) -j MASQUERADE<br><br>в цепочке FORWARD уберите всё, что там есть (правда я не понял зачем там накручены такие сложности) и начните с самого простого, а потом усложняйте<br><br>iptables -A FORWARD -j ACCEPT -i eth1(LAN) -o eth2(INET)<br>iptables -A FORWARD -j https://www.opennet.me/openforum/vsluhforumID1/81093.html#31 Thu, 10 Jul 2008 14:11:11 GMT Еще есть один момент интересный у моего знакомого тот-же провайдер но ядро 2.4 а не 2.6 как у меня и у него все ОК!!!. Провайдер не обижается<br> https://www.opennet.me/openforum/vsluhforumID1/81093.html#30 Thu, 10 Jul 2008 13:59:39 GMT А как-то перехватывать пакеты после файервола iptables можна?<br><br>Я бы тогда зарезл все пакеты которые не прошли SNAT<br> https://www.opennet.me/openforum/vsluhforumID1/81093.html#29 Thu, 10 Jul 2008 13:53:44 GMT Приведите простой пример правил для этого. <br>Политику безопасности я и сам настрою с этим проблем пока небыло<br> https://www.opennet.me/openforum/vsluhforumID1/81093.html#28 Thu, 10 Jul 2008 13:51:45 GMT Мне нужно что бы из локальной сети eth0 192.168.1.0/24 был доступ в интернет через нат<br>при этом все пакеты с локальной сети должны получить source address 10.100.250.2(eth1)<br><br>Вот и все.<br><br>Как мне зарезать пакеты котрые не попали под NAT <br><br>