The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"не работает НАТ"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 07:44 
Здравствуйте! Столкнулся с проблемой! не работает НАТ!
Подскажите что не так?

Таблица: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination        
1    SNAT       all  --  192.168.100.0/24     0.0.0.0/0           to:81.30.180.36
2    MASQUERADE  all  --  192.168.100.0/24     0.0.0.0/0          

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        

Таблица: mangle
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination        

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination        

Таблица: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  192.168.100.0/24     0.0.0.0/0          
2    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0          

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  192.168.100.40       0.0.0.0/0          

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            192.168.100.0/24    

Chain RH-Firewall-1-INPUT (1 references)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:2004
4    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:69
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:10000
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
7    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
8    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0          
9    ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0          
10   ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
11   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
12   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
13   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
14   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
15   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited


Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
X.X.X.X         *               255.255.255.224 U     0      0        0 eth1
192.168.100.0   *               255.255.252.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     0      0        0 eth1
default         X.X.X.X         0.0.0.0         UG    0      0        0 eth1

lsmod |grep ipt
ipt_MASQUERADE          6721  1
iptable_nat             9669  1
nf_nat                 18669  2 ipt_MASQUERADE,iptable_nat
iptable_mangle          6337  0
ipt_REJECT              7617  1
nf_conntrack_ipv4      11717  4 iptable_nat
iptable_filter          6465  1
ip_tables              14213  3 iptable_nat,iptable_mangle,iptable_filter
nf_conntrack           51977  6 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state
x_tables               14277  9 ipt_MASQUERADE,iptable_nat,ipt_REJECT,ip_tables,xt_state,xt_tcpudp,ip6t_ipv6header,ip6t_REJECT,ip6_tables


Что ещё написать не знаю!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "не работает НАТ"  
Сообщение от reader (ok) on 09-Апр-08, 10:07 
echo 1 > /proc/sys/net/ipv4/ip_forward
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 10:45 
>echo 1 > /proc/sys/net/ipv4/ip_forward

Есть уже!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 10:46 
>
>Есть уже!

Даже незнаю в чём проблема!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 10:48 
>>
>>Есть уже!
>
>Даже незнаю в чём проблема!

Пинг со локального интерфейса

[root@biznes sys]# ping -I eth0 mail.ru
PING mail.ru (194.67.57.26) from 192.168.100.40 eth0: 56(84) bytes of data.
From 192.168.100.40 icmp_seq=2 Destination Host Unreachable
From 192.168.100.40 icmp_seq=3 Destination Host Unreachable
From 192.168.100.40 icmp_seq=4 Destination Host Unreachable

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "не работает НАТ"  
Сообщение от reader (ok) on 09-Апр-08, 12:46 
а если в POSTROUTING указать исходящий интерфейс?

покажите iptables-save

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 12:51 
>а если в POSTROUTING указать исходящий интерфейс?
>
>покажите iptables-save

[root@biznes sys]# iptables-save
# Generated by iptables-save v1.3.8 on Wed Apr  9 20:49:11 2008
*nat
:PREROUTING ACCEPT [11932:1314284]
:POSTROUTING ACCEPT [18:1381]
:OUTPUT ACCEPT [45:3570]
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o eth1 -j SNAT --to-source 81.30.180.36
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Wed Apr  9 20:49:11 2008
# Generated by iptables-save v1.3.8 on Wed Apr  9 20:49:11 2008
*mangle
:PREROUTING ACCEPT [469557:47869271]
:INPUT ACCEPT [459612:46903444]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [457567:46580746]
:POSTROUTING ACCEPT [457591:46586568]
COMMIT
# Completed on Wed Apr  9 20:49:11 2008
# Generated by iptables-save v1.3.8 on Wed Apr  9 20:49:11 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [454711:46344917]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s 192.168.100.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -s 192.168.100.40 -i eth0 -j ACCEPT
-A OUTPUT -d 192.168.100.0/255.255.255.0 -o eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 2004 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 69 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Apr  9 20:49:11 2008

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "не работает НАТ"  
Сообщение от reader (ok) on 09-Апр-08, 13:40 
>[оверквотинг удален]
>
>[root@biznes sys]# iptables-save
># Generated by iptables-save v1.3.8 on Wed Apr  9 20:49:11 2008
>
>*nat
>:PREROUTING ACCEPT [11932:1314284]
>:POSTROUTING ACCEPT [18:1381]
>:OUTPUT ACCEPT [45:3570]
>-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o eth1 -j SNAT --to-source 81.30.180.36
>-A POSTROUTING -s 192.168.100.0/255.255.255.0 -j MASQUERADE

это уберите или тоже укажите интерфейс

>COMMIT
># Completed on Wed Apr  9 20:49:11 2008
># Generated by iptables-save v1.3.8 on Wed Apr  9 20:49:11 2008
>
>*mangle
>:PREROUTING ACCEPT [469557:47869271]
>:INPUT ACCEPT [459612:46903444]
>:FORWARD ACCEPT [0:0]

странно, у клиента шлюз прописан?

>[оверквотинг удален]
>-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
>
>-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22
>-j ACCEPT
>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
>COMMIT
># Completed on Wed Apr  9 20:49:11 2008

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 13:49 

>
>странно, у клиента шлюз прописан?
>

Пингую с локального интерфейса с той же тачки где выход в инет!
[root@biznes /]# ping -I eth0 mail.ru
PING mail.ru (194.67.57.126) from 192.168.100.40 eth0: 56(84) bytes of data.
From 192.168.100.40 icmp_seq=2 Destination Host Unreachable
From 192.168.100.40 icmp_seq=3 Destination Host Unreachable
From 192.168.100.40 icmp_seq=4 Destination Host Unreachable

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 13:58 
У клиентов прописан основной шлюз адрес eth0
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "не работает НАТ"  
Сообщение от reader (ok) on 09-Апр-08, 14:34 
>У клиентов прописан основной шлюз адрес eth0

а с клиентов и со шлюза ваш IP на eth1 пингуется?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "не работает НАТ"  
Сообщение от Mil email on 09-Апр-08, 15:06 
>>У клиентов прописан основной шлюз адрес eth0
>
>а с клиентов и со шлюза ваш IP на eth1 пингуется?

Да пингуется!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "не работает НАТ"  
Сообщение от reader (ok) on 09-Апр-08, 15:39 
>>>У клиентов прописан основной шлюз адрес eth0
>>
>>а с клиентов и со шлюза ваш IP на eth1 пингуется?
>
>Да пингуется!

а если убрать это правило или добавить интерфейс eth1
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -j MASQUERADE

и браузером с клиента, только не через прокси, куда нибуть зайти по IP и по имени сайта?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "не работает НАТ"  
Сообщение от angra (ok) on 09-Апр-08, 15:56 
А кто вам сказал что ping -I eth0 mail.ru должно работать? При нормально работающем NAT на моем шлюзе с eth0 смотрящей в локалку подобная команда выдает тоже что и у вас, а вот с локальным IP, вместо eth0 работает нормально. Вообще NAT лучше все-таки проверять с удаленной машины. Проверьте что на ней выставлен ваш шлюз в качестве default gw и уберите первое правило из POSTROUTING, оставьте правило с маскарадом


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "не работает ping :*)"  
Сообщение от Andrey Mitrofanov on 10-Апр-08, 12:31 
>А кто вам сказал что ping -I eth0 mail.ru должно работать? При

http://google.ru/search?q="ping+-i"+site:opennet.ru
Эта очень популярная на opennet команда почему-то в половине случаев не работает! Нужно срочно что-то делать! Видимо, проблема в ядре!!

>нормально работающем NAT на моем шлюзе с eth0 смотрящей в локалку

Ж-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру