» Ubuntu, не могу настроить шлюз

Здравствуйте!

Знаю что тема изьезжена, но темне менее возникли проблемы:
установил дистрибутив ubuntu-9.10-dvd-amd64, настроил сеть с помощью файла /etc/network/interfaces


auto eth0 (Интернет)
iface eth0 inet static
address 10.1.68.34
netmask 255.255.255.252
network 10.1.0.0
gateway 10.1.68.33

auto eth1 (Локальная сеть)
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0

С прокси сервером все получилось, но для меня это не удобно...
DHCP тоже настроил, 2ой компьютер получает все настройки.
не могу настроить шлюз!!!
Перепробовал много советов из Интернета по настройке iptables
Сам уже запутался...
Подскажите че делать...

Цитата:

Перепробовал много советов из Интернета по настройке iptables

http://technichristian.net/firewall-config/index.php

#!/bin/sh
INET="eth0"
INETIP="10.1.68.34"
iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP
echo "1" > /proc/sys/net/ipv4/ip_forward

Это минимальный скрипт, который позволит вам выходить в инет под одним адресом

p.s. На всякий случай, для заданных вами параметров
Цитата:

address 10.1.68.34
netmask 255.255.255.252

адрес подсети (network) будет 10.1.68.32

AnDySs1
Так уже пытался сделать... находил тему где описывалось, что с этим делать... не получилось...


Цитата:

urodliv

ввел iptables -F
Сохранил этот скрипт в /home/scr
Добавил строчку /home/scr в фаил rc.local до записи exit 0
и сохранил
перезагрузил
надеюсь все правильно сделал...
Все равно никакого результата

Цитата:

ввел iptables -F

Это очищает правила в таблице FORWARD.
Покажите вывод команды ls -la /home/scr
И, если мне память не изменяет, файл rc.local это стартовый сценарий для bsd-подобных систем. А убунта ближе к system V. Так что советую сохранить идеологию старта (хотя, как выяснилось, тут всё вообще по-другому) в этой системе: расположите файл scr в /etc/init.d/ и для необходимых уровней сделайте симлинки в нужные каталоги rcX.d

Цитата:

Покажите вывод команды ls -la /home/scr

-rw-r--r-- 1 root root 199 2010-03-07 13:58 /home/scr

Удалил все из rc.local
Симлинки поместил в уровни 3 и 5

ln -s /etc/init.d/src /etc/rc3.d/S99src
ln -s /etc/init.d/src /etc/rc5.d/S99src

Деиствия не помогли...

Хе-хе. Файл должен быть исполняемым:
chmod u+x /home/scr

а потом поместиить в init.d и расположить ссылки?

Цитата:

а потом поместиить в init.d и расположить ссылки?

Ну положить туда - это для сохранения единообразия. По идее симлинков должно хватать.

Все равно не робит....

Цитата:

Все равно не робит....

Как Вы это определяете? Для начала - пинги по ip-адресу ходят, например ping 8.8.8.8? И еще - Вы интернет не видите только на втором компьютере, на шлюзе все работает?

пинги проходят... как от первого пк к второму, так и наоборот. если пинговать какой нибудь внешний ip с 2-го ПК, то пишет "превышен интервал ожидания ответа " . на 1ом интернет есть....

Глупый вопрос: я сижу через графический интерфейс, настраивал все через "Терминал", доп. файерволов ни каких не ставил, может ли какието настройки(ну вдруг по умолчанию устанавливается чтонибудь) в графическом интерфейсе мешать выходу в инет 2ому ПК?

Смотрите с помощью tcpdump на Ubuntu, как ходят пакеты со второй машины и куда они проваливаются.

Собственно, urodliv Вам все написал, попробуйте на Ubuntu в консоли выполнить


Код:
sudo iptables -F FORWARD
sudo iptables -P FORWARD ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo echo "1" > /proc/sys/net/ipv4/ip_forward

Цитата:

iptables -L -v -n

Chain INPUT (policy ACCEPT 858 packets, 518K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 18444 packets, 5321K bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 888 packets, 112K bytes)
pkts bytes target prot opt in out source destination


Цитата:

iptables -t nat -L -v -n

Chain INPUT (policy ACCEPT 858 packets, 518K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 18444 packets, 5321K bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 888 packets, 112K bytes)
pkts bytes target prot opt in out source destination
izac@jmlsrv:~$ sudo iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 1187 packets, 82221 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 9 packets, 563 bytes)
pkts bytes target prot opt in out source destination
1251 86126 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 121 packets, 8784 bytes)
pkts bytes target prot opt in out source destination


ifconfig 2ПК (WinXP)
ip:192.168.0.2
Маска:255.255.255.0
Шлюз:192.168.0.1

Добавлено:

Цитата:

sudo echo "1" > /proc/sys/net/ipv4/ip_forward

выдало Permission denaited

сделал так:
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

Ну с настройками косяков не видно.
Остаётся одно

Цитата:

сделал так:
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

Как только запустили эту команду, посмотрите содержимое этого файла:
sudo cat /proc/sys/net/ipv4/ip_forward

Показывает "1"

проверьте на всякий случай
sudo modprobe -l | grep iptable_nat

Меня смущает, что в выводе iptables в цепочке POSTROUTING есть пакеты, вроде все должно работать. Попробуйте с ХР попинговать разные адреса, например 217.69.128.42 (mail.ru), 213.180.204.11 (yandex.ru)

Цитата:

sudo modprobe -l | grep iptable_nat

kernel/net/ipv4/netfilter/iptable_nat.ko


Цитата:

217.69.128.42 (mail.ru), 213.180.204.11 (yandex.ru)

Превышен интервал ожидания для запроса

У меня последний вариант - со второго компа попинговать внешний адрес и шлюз, т.е. 10.1.68.34 и 10.1.68.33

Цитата:

10.1.68.34

Пингуется нормально


Цитата:

10.1.68.33

Превышен интервал ожидания для запроса

Давайте еще попробуем так - на винде telnet ya.ru 80, на ubuntu cat /proc/net/ip_conntrack | grep 77.88.21.8

Например, у меня примерно так

Код: tcp 6 25 TIME_WAIT src=192.168.0.52 dst=77.88.21.8 sport=60052 dport=80 packets=6 bytes=1839 src=77.88.21.90 dst=<Мой внешний IP> sport=80 dport=60052 packets=5 bytes=607 [ASSURED] mark=0 secmark=0 use=1

Цитата:

cat /proc/net/ip_conntrack | grep 77.88.21.8

cat: /proc/net/ip_conntrack: No such file or directory


Цитата:

telnet ya.ru 80

не удалось открыть подключение к этому узлу, на порт 80, Сбой подключения.


Цитата:

Вы вообще никуда не торопитесь?

Нет не тороплюсь, ствлю Linux в целях расширения познаний

А вообще каталог /proc/net есть? У меня centos на шлюзе, не знаю, как в ubuntu

Добавлено:
Вот еще вывод lsmod | grep nat

Код:
iptable_nat 11077 1
ip_tables 17029 3 iptable_mangle,iptable_nat,iptable_filter
ip_nat 21101 2 iptable_nat
ip_conntrack 53281 6 xt_connlimit,xt_state,iptable_nat,ip_nat
nfnetlink 10713 2 ip_nat,ip_conntrack
x_tables 17349 12 xt_MARK,ipt_REJECT,xt_connlimit,ipt_ULOG,xt_state,xt_multiport,xt_pkttype,iptable_nat,ip_tables,ip6t_REJECT,xt_tcpudp,ip6_tables

Самий простой вариант
/etc/network/interfaces дописываем

echo "1" > /proc/sys/net/ipv4/ip_forward
pre-up iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

итернет должен бить подключен к eth1

Kasper1133
Вы невнимательны, аналоги ваших предложений уже сделаны и применены автором. Раскопки уже идут в более глубоких слоях.

Вот еще информация к размышлению https://help.ubuntu.com/community/Internet/ConnectionSharing (особенно понравилось Ubuntu 9.10 Method). Можно еще ipmasq попробовать, только инструкцию путевую не нашел

перед

Цитата:

cat /proc/net/ip_conntrack

сделать
sudo /sbin/modprobe ip_conntrack
и давайте смотреть логи
перед строкой

Цитата:

iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP

вставьте
iptables -t nat -A POSTROUTING -j LOG --log-prefix "nat POSTROUTING: "

Цитата:

kerberosV5

Цитата:

/proc/net есть?

Каталог есть!
ip_conntrack имеется, а вот ip_nat отсутствует.


Цитата:

lsmod | grep nat

ничего не выводит


Цитата:

AnDySs1

Цитата:

перед

Цитата:
cat /proc/net/ip_conntrack

сделать
sudo /sbin/modprobe ip_conntrack

Тут много всего, вот треть всего полученного:
tcp 6 116 SYN_SENT src=192.168.137.2 dst=198.200.109.94 sport=1296 dport=19126 packets=2 bytes=96 [UNREPLIED] src=198.200.109.94 dst=192.168.137.2 sport=19126 dport=1296 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 118 SYN_SENT src=192.168.137.2 dst=203.193.217.118 sport=1294 dport=21492 packets=3 bytes=144 [UNREPLIED] src=203.193.217.118 dst=192.168.137.2 sport=21492 dport=1294 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 33 SYN_SENT src=192.168.137.2 dst=222.89.222.164 sport=1246 dport=605 packets=3 bytes=144 [UNREPLIED] src=222.89.222.164 dst=192.168.137.2 sport=605 dport=1246 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 79 SYN_SENT src=192.168.137.2 dst=188.126.64.3 sport=1278 dport=80 packets=3 bytes=144 [UNREPLIED] src=188.126.64.3 dst=192.168.137.2 sport=80 dport=1278 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 25 SYN_SENT src=192.168.137.2 dst=200.232.230.133 sport=1244 dport=63825 packets=3 bytes=144 [UNREPLIED] src=200.232.230.133 dst=192.168.137.2 sport=63825 dport=1244 packets=0 bytes=0 mark=0 secmark=0 use=2
udp 17 23 src=192.168.137.2 dst=192.168.137.1 sport=52755 dport=53 packets=2 bytes=140 [UNREPLIED] src=192.168.137.1 dst=192.168.137.2 sport=53 dport=52755 packets=0 bytes=0 mark=0 secmark=0 use=2
udp 17 21 src=192.168.137.2 dst=192.168.137.1 sport=64207 dport=53 packets=1 bytes=70 [UNREPLIED] src=192.168.137.1 dst=192.168.137.2 sport=53 dport=64207 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 103 SYN_SENT src=192.168.137.2 dst=188.126.64.2 sport=1290 dport=80 packets=3 bytes=144 [UNREPLIED] src=188.126.64.2 dst=192.168.137.2 sport=80 dport=1290 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 431491 ESTABLISHED src=77.234.201.242 dst=10.1.68.34 sport=80 dport=59396 packets=1 bytes=40 [UNREPLIED] src=10.1.68.34 dst=77.234.201.242 sport=59396 dport=80 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 4 SYN_SENT src=192.168.137.2 dst=205.111.92.243 sport=1233 dport=42964 packets=3 bytes=144 [UNREPLIED] src=205.111.92.243 dst=192.168.137.2 sport=42964 dport=1233 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 81 SYN_SENT src=192.168.137.2 dst=199.59.77.34 sport=1279 dport=26148 packets=3 bytes=144 [UNREPLIED] src=199.59.77.34 dst=192.168.137.2 sport=26148 dport=1279 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 97 SYN_SENT src=192.168.137.2 dst=198.234.139.139 sport=1284 dport=27486 packets=3 bytes=144 [UNREPLIED] src=198.234.139.139 dst=192.168.137.2 sport=27486 dport=1284 packets=0 bytes=0 mark=0 secmark=0 use=2
tcp 6 38 SYN_SENT src=192.168.137.2 dst=222.164.2.93 sport=1253 dport=857 packets=3 bytes=144 [UNREPLIED] src=222.164.2.93 dst=192.168.137.2 sport=857 dport=1253 packets=0 bytes=0 mark=0 secmark=0 use=2


По поводу логов:
Строку добавил в фаил который Мы создали раньше.
А если не секрет, куда логи сохраняться будут?