https://opennet.ru/openforum/vsluhforumID1/97177.html Всем привет.<br><br>Имеем Proxmox с внешним IP-адресом, на нём три Windows Server 2016 и FreeBSD в качестве шлюза для них (нужен для схемы GRE over IPsec). NAT (masquerade) происходит между Proxmox и FreeBSD (через iptables) и между FreeBSD и серверами на Windows (через pf). Пакетные фильтры пока выключены в обоих роутерах, роутинг включен.<br><br>Проблема в том, что у FreeBSD никаких проблем, через NAT поднимаются даже GRE с IPsec'ом, а с Windows проходит только пинг. То есть пингануть 8.8.8.8 я могу, а получить от него DNS-ответ - нет; пинг до другого сервера за удалённым шлюзом ходит, RDP - нет.<br><br>Что интересно, tcpdump внешнего интерфейса на Proxmox'е показывает, что запросы от FreeBSD уходят с внешним source IP, а такие же запросы от Windows - с внутренним, который отнатился один раз, т. е. как будто второй NAT не происходит. Интересно, что даже внутри GRE-туннеля, когда натятся уже пакеты GRE, Windows терпит крах.<br><br>Где может быть проблема? В iptables банальный postrouting masquerade, основанный на source IP, https://opennet.ru/openforum/vsluhforumID1/97177.html#6 Mon, 16 Apr 2018 18:48:13 GMT &gt;[оверквотинг удален]<br>&gt;&gt; и UDP не работают, в интернет уходит серый source-адрес, ICMP (пинги) <br>&gt;&gt; при этом натятся и уходят с белым адресом, что видно в <br>&gt;&gt; выводе tcpdump. В этом и странность.<br>&gt; Таблица nat не для фильтрации пакетов. Делайте как написал: iptables -t nat <br>&gt; -I POSTROUTING -j MASQUERADE -- т.е. всё что летит от Вас <br>&gt; к провайдеру это от вашего ип. Фильтрацию делайте в таблице filter. <br>&gt; Т.е. добавить полиси дроп и вашу подсеть. iptables -P FORWARD -j <br>&gt; DROP и iptables -I FORWARD -s 10.6.100.0/30 -j ACCEPT и iptables <br>&gt; -I FORWARD -d 10.6.100.0/30 -j ACCEPT.<br>&gt; Дальше tcpdump'ом изучайте пакеты.<br><br>Спасибо за попытку помочь, но я отлично знаю, для чего нужны таблица nat, таблица filter и таблица mangle. Несколько раз писал, что маскарадинг включён, в нужную сторону, фильтрацию не включал вообще, чтобы не мешало, политики были все ACCEPT. И FreeBSD с pf отлично натил пакеты, которые я и ловил tcpdump'ом на интерфейсах следующего за ним шлюза с нужным адресом; и результат этого отлов https://opennet.ru/openforum/vsluhforumID1/97177.html#5 Mon, 16 Apr 2018 12:22:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Если не изменяет память у pf есть проблемы с nat'ом gre. Погуглите <br>&gt;&gt; или попробуйте nat через ipfw.<br>&gt; Я, может, плохо объяснил. FreeBSD с pf сидит на сером адресе и <br>&gt; сама генерирует GRE, а натит его уже шлюз с iptables, у <br>&gt; которого как раз белый IP, причём нормально в целом натит, соединение <br>&gt; устанавливается, пингуется второй конец туннеля. Но любой трафик, который отнатился pf <br>&gt; и должен натиться второй раз в iptables, почему-то ходит выборочно, TCP <br>&gt; и UDP не работают, в интернет уходит серый source-адрес, ICMP (пинги) <br>&gt; при этом натятся и уходят с белым адресом, что видно в <br>&gt; выводе tcpdump. В этом и странность.<br><br>Таблица nat не для фильтрации пакетов. Делайте как написал: iptables -t nat -I POSTROUTING -j MASQUERADE -- т.е. всё что летит от Вас к провайдеру это от вашего ип. Фильтрацию делайте в таблице filter. Т.е. добавить полиси дроп и вашу подсеть. iptables -P FORWARD -j DROP и iptables -I FORWARD -s 10.6.100.0/30 -j ACCEPT и iptables -I FORWARD -d 10.6 https://opennet.ru/openforum/vsluhforumID1/97177.html#4 Sun, 15 Apr 2018 12:59:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Chain POSTROUTING (policy ACCEPT) <br>&gt;&gt;&gt;&gt; target prot opt source <br>&gt;&gt;&gt;&gt; destination <br>&gt;&gt;&gt;&gt; MASQUERADE all -- 10.6.100.0/30 <br>&gt;&gt;&gt;&gt; anywhere <br>&gt;&gt;&gt;&gt; 10.6.100.0/30 - это сеть между FreeBSD и Proxmox'ом.<br>&gt;&gt;&gt; Сделать iptables -t nat -I POSTROUTING -j MASQUERADE <br>&gt;&gt;&gt; и смотреть почему FreeBSD не натить <br>&gt; Если не изменяет память у pf есть проблемы с nat'ом gre. Погуглите <br>&gt; или попробуйте nat через ipfw.<br><br>Я, может, плохо объяснил. FreeBSD с pf сидит на сером адресе и сама генерирует GRE, а натит его уже шлюз с iptables, у которого как раз белый IP, причём нормально в целом натит, соединение устанавливается, пингуется второй конец туннеля. Но любой трафик, который отнатился pf и должен натиться второй раз в iptables, почему-то ходит выборочно, TCP и UDP не работают, в интернет уходит серый source-адрес, ICMP (пинги) при этом натятся и уходят с белым адресом, что видно в выводе tcpdump. В этом и странность.<br> https://opennet.ru/openforum/vsluhforumID1/97177.html#3 Sun, 15 Apr 2018 12:10:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; target prot opt source <br>&gt;&gt;&gt; destination <br>&gt;&gt;&gt; Chain POSTROUTING (policy ACCEPT) <br>&gt;&gt;&gt; target prot opt source <br>&gt;&gt;&gt; destination <br>&gt;&gt;&gt; MASQUERADE all -- 10.6.100.0/30 <br>&gt;&gt;&gt; anywhere <br>&gt;&gt;&gt; 10.6.100.0/30 - это сеть между FreeBSD и Proxmox'ом.<br>&gt;&gt; Сделать iptables -t nat -I POSTROUTING -j MASQUERADE <br>&gt;&gt; и смотреть почему FreeBSD не натить <br><br>Если не изменяет память у pf есть проблемы с nat'ом gre. Погуглите или попробуйте nat через ipfw.<br><br> https://opennet.ru/openforum/vsluhforumID1/97177.html#2 Sat, 14 Apr 2018 18:03:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; target prot opt source <br>&gt;&gt; destination <br>&gt;&gt; Chain POSTROUTING (policy ACCEPT) <br>&gt;&gt; target prot opt source <br>&gt;&gt; destination <br>&gt;&gt; MASQUERADE all -- 10.6.100.0/30 <br>&gt;&gt; anywhere <br>&gt;&gt; 10.6.100.0/30 - это сеть между FreeBSD и Proxmox'ом.<br>&gt; Сделать iptables -t nat -I POSTROUTING -j MASQUERADE <br>&gt; и смотреть почему FreeBSD не натить <br><br>Но маскарад и так включён. FreeBSD как раз натит, с неё запрос улетает с src=10.6.100.2, это её внешний адрес. Странно, что с этим адресом он и уходит в интернет с Proxmox'а, хотя включен маскарад этой сети.<br> https://opennet.ru/openforum/vsluhforumID1/97177.html#1 Sat, 14 Apr 2018 14:36:37 GMT &gt;[оверквотинг удален]<br>&gt; destination <br>&gt; Chain OUTPUT (policy ACCEPT) <br>&gt; target prot opt source <br>&gt; destination <br>&gt; Chain POSTROUTING (policy ACCEPT) <br>&gt; target prot opt source <br>&gt; destination <br>&gt; MASQUERADE all -- 10.6.100.0/30 <br>&gt; anywhere <br>&gt; 10.6.100.0/30 - это сеть между FreeBSD и Proxmox'ом.<br><br>Сделать iptables -t nat -I POSTROUTING -j MASQUERADE<br>и смотреть почему FreeBSD не натить<br>