Sdílené připojení k internetu na síti - problém se SNAT, DNAT a MASQUARADE

n_petr na seznam.cz n_petr na seznam.cz
Středa Leden 25 03:55:32 CET 2006


Nevíte prosím, kde by mohla být chyba, už se s tím trápím týden. Jde mi 
o sdílené připojení k internetu na LAN, ke které je připojena eth0. 
Pingama na sebe vidím z obou stran, ale nic víc (ping www.google.com z 
eth0 ano, ping www.google.com z eth1 ne).


Takto by to mělo fungovat:
   eth0 <---> eth1
inernet <---> eth0
inernet <---> eth1

A funguje pouze toto:
   eth0 <---> eth1
inernet <---> eth0


Můj postup:
echo "1" > /proc/sys/net/ipv4/ip_forward


"cat /proc/sys/net/ipv4/ip_forward"
1



Forwardování nezačne po zadání příkazu 1:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.4 -j SNAT 
--to-source 10.10.2.6

Forwardování nezačne po zadání příkazu 2:
iptables -t nat -A PREROUTING -i eth0 -d 10.10.2.6 -j DNAT 
--to-destination 192.168.2.4

Forwardování nezačne po zadání příkazu 3:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -s 192.168.2.4



Pro všechny společné příkazy 1, 2, 3 bylo "iptables -L":
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


"iptables -V"
iptables v1.3.3



"lsmod | grep -i ip"
iptable_nat            21332  0
ip_conntrack           41528  1 iptable_nat
iptable_filter          2944  0
ip_tables              19200  2 iptable_nat,iptable_filter
ipv6                  236736  12



přidání těchto modulů a zopakování postupu stejně nepomohlo:
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp



"lsmod | grep -i ip"
ip_conntrack_ftp       72464  0
ipt_REJECT              5248  0
ipt_LOG                 6784  0
ipt_MASQUERADE          3328  0
iptable_nat            21332  1 ipt_MASQUERADE
ip_conntrack           41528  3 ip_conntrack_ftp,ipt_MASQUERADE,iptable_nat
iptable_filter          2944  0
ip_tables              19200  5 
ipt_REJECT,ipt_LOG,ipt_MASQUERADE,iptable_nat,iptable_filter
ipv6                  236736  12



"/etc/network/interfaces"
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# This is a list of hotpluggable network interfaces.
# They will be activated automatically by the hotplug subsystem.
mapping eth0
        script grep
        map eth0

mapping eth1
        script grep
        map eth1

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
        address 10.10.2.6
        netmask 255.255.0.0
        network 10.10.0.0
        broadcast 10.10.255.255
        gateway 10.10.0.1
        # dns-* options are implemented by the resolvconf package, if 
installed
        dns-nameservers 195.146.100.5

# The secondary network interface
allow-hotplug eth1
iface eth1 inet static
        address 192.168.2.6
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.2.255
        # gateway 192.168.0.1
        # dns-* options are implemented by the resolvconf package, if 
installed
        dns-nameservers 195.146.100.5



"arp"
Address                  HWtype  HWaddress           Flags 
Mask            Iface
192.168.2.4             ether   00:AA:BB:CC:DD:EE   
C                     eth1
10.10.0.1               ether   00:12:34:56:78:9A   
C                     eth0



"route"
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt 
Rozhraní
192.168.2.0     *               255.255.255.0   U     0      0        0 eth1
localnet        *               255.255.0.0     U     0      0        0 eth0
default         10.10.0.1       0.0.0.0         UG    0      0        0 eth0



"ifconfig"
eth0      Zapouzdření:Ethernet  HWadr 00:44:CC:88:AA:CC
          inet adr:10.10.2.6  Všesměr:10.10.255.255 Maska:255.255.0.0
          inet6-adr: adresa_ve_tvaru_ipv6-1/64 Rozsah:Linka
          AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
          RX packets:65638031 errors:0 dropped:0 overruns:0 frame:0
          TX packets:105141839 errors:0 dropped:0 overruns:0 carrier:0
          kolizí:0 délka odchozí fronty:1000
          RX bytes:1195368701 (1.1 GiB)  TX bytes:3988506562 (3.7 GiB)
          Přerušení:169 Vstupně/Výstupní port:0xb000

eth1      Zapouzdření:Ethernet  HWadr 00:00:22:00:DD:EE
          inet adr:192.168.2.6  Všesměr:192.168.2.255 Maska:255.255.255.0
          inet6-adr: adresa_ve_tvaru_ipv6-2/64 Rozsah:Linka
          AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
          RX packets:9130 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6747 errors:0 dropped:0 overruns:0 carrier:0
          kolizí:0 délka odchozí fronty:1000
          RX bytes:677471 (661.5 KiB)  TX bytes:498918 (487.2 KiB)
          Přerušení:177 Vstupně/Výstupní port:0xb400

lo        Zapouzdření:Místní smyčka
          inet adr:127.0.0.1 Maska:255.0.0.0
          inet6-adr: ::1/128 Rozsah:Počítač
          AKTIVOVÁNO SMYČKA BĚŽÍ  MTU:16436  Metrika:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          kolizí:0 délka odchozí fronty:0
          RX bytes:560 (560.0 b)  TX bytes:560 (560.0 b)



Snad jsem uvedl vše potřebné. Jde o distribuci Debian Etch (testing).

Díky moc za případné rady, Petr Novák.


Další informace o konferenci Linux