camertone555
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
[more] Всем доброго времени суток!
Дано:
- Две сети 10.107.1.0 и 192.168.1.0;
- Сервер, работающий под управлением Ubuntu Server, который используется как прокси-сервер (Squid) и маршрутизатор между данными сетями.
На сервере 3 сетевые карты:
auto lo
iface lo inet loopback
auto eth0 #шлюз интернет
iface eth0 inet static
address 10.107.2.103
netmask 255.255.255.0
gateway 10.107.2.105
auto eth1 #шлюз для локальной сети 10.107.1.0
iface eth1 inet static
address 10.107.1.105
netmask 255.255.255.0
auto eth2 #шлюз для сети 192.168.1.0
iface eth2 inet static
address 192.168.1.222
netmask 255.255.255.0
post-up /etc/nat-up
Клиенты из сети 192.168.1.0 подключаются к серверам в сети 10.107.1.0 (правовая система и эл. документооборот).
До недавнего времени всё работало, но в один «прекрасный» момент (ломаю голову, что случилось), пинг из сети 192.168.1.0 перестал проходить в сеть 10.107.1.0 (кроме одного ip-адреса (см. ниже))
в /etc/sysctrl.conf
раскоментировано: net.ipv4.ip_forward = 1
в /etc/nat-up:
Код: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.222
iptables -A FORWARD -s 192.168.1.0/24 -d 10.107.1.102 -j ACCEPT
iptables -A FORWARD -s 10.107.1.102 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.107.1.100 -j ACCEPT
iptables -A FORWARD -s 10.107.1.100 -d 192.168.1.0/24 -j ACCEPT |
На что обратил внимание:
После сбоя, пинг из сети 192.168.1.0 проходит только к одному хосту 10.107.1.100.
Но если закоментить данные настройки в /etc/nat-up
Код: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.222
#iptables -A FORWARD -s 192.168.1.0/24 -d 10.107.1.102 -j ACCEPT
#iptables -A FORWARD -s 10.107.1.102 -d 192.168.1.0/24 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.0/24 -d 10.107.1.100 -j ACCEPT
#iptables -A FORWARD -s 10.107.1.100 -d 192.168.1.0/24 -j ACCEPT |
и разрешить другой адрес, например 10.107.171:
Код: iptables -A FORWARD -s 192.168.1.0/24 -d 10.107.1.171 -j ACCEPT
iptables -A FORWARD -s 10.107.1.102 -d 192.168.1.0/24 -j ACCEPT |
и перезагрузить сервер
пинг все равно проходит только к одному хосту 10.107.1.100 !
Уважаемые знатоки подскажите, в какую сторону копать?
Настройки на сервере до сбоя не менялись.
Данный сервер настраивал другой человек, который теперь уже не работает.
Полный текст /etc/nat-up:
Код: #!/bin/sh
# Включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Разрешим проход трафика на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаем NAT. Введите адрес своей сети: 10.107.1.0
iptables -t nat -A POSTROUTING -o eth0 -s 10.107.1.0/255.255.255.0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.107.2.103
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.222
iptables -A FORWARD -s 192.168.1.0/24 -d 10.107.1.102 -j ACCEPT
iptables -A FORWARD -s 10.107.1.102 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.107.1.100 -j ACCEPT
iptables -A FORWARD -s 10.107.1.100 -d 192.168.1.0/24 -j ACCEPT
#iptables -P FORWARD DROP |
|
