Имелось- долго и чётко работающий сервер-роутер.. После перезагрузки вдруг форвардинг перестал работать.. Клиенты, имевшие прямой выход в инет остались без него.. Прокси работает, как и работает.. Я постарался восстановить картину роутинга из сохранённого конфига, переведя его в скрипт (для экспериментов и попыток выяснить- что случилось)..==== # cat rc.firewall
modprobe ip_tables modprobe ip_conntrack modprobe iptable_nat modprobe ipt_MASQUERADE
iptables -F ; iptables -t nat -F ; iptables -t mangle -F
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
# mail ?
iptables -t nat -A PREROUTING -d $OUT_IP -p tcp -j DNAT --to-destination 192.168.231.1:25 iptables -A FORWARD -d $OUT_IP -p tcp -m tcp --dport 25 -j ACCEPT
# direct internet for user
iptables -t nat -A POSTROUTING -s 192.168.231.17 -o eth0 -j SNAT --to-source $OUT_IP
iptables -A FORWARD -s 192.168.231.17 -j ACCEPT
==========
Помогите установить, что не так, и что надо сделать, чтобы пользователь получил прямой доступ к инету..
Ещё немного информации с машины клиента:
]$ ping www.ru
ping: unknown host www.ru
А default policy какие?
Мне сдается, что DROP.
Потому и не ходут, так как разрешена только почта.
Попробуй
iptables -P FORWARD ACCEPT
>А default policy какие?
>Мне сдается, что DROP.
>Потому и не ходут, так как разрешена только почта.Вы абсолютно правы! =) Именно так и оказалось
>Попробуй
>iptables -P FORWARD ACCEPT
Теперь пинг инета с клиента задумывается секунд на 10, потом выдаёт, что всё-таки не нашёл..
Почта приходит, но не уходит.. Что ещё нужно разрешить (и какими командами)? =)Премного благодарен.
М.б., ДНС нужен?
>М.б., ДНС нужен?ДНС находится на машине в локальной сети, а не на роутере..
Что надо изобразить в iptables, чтобы местный ДНС мог возвращать юзеру соответствия адреса имени? Конечно, при условии, что он настроен на виндовой машине корректно.. ;)
Сейчас местной ДНС-машине только форвардинг прописан, как и клиентам..
При смене ДНС с локального на провайдерский всё заработало на ура! =)
Так что дело изначально было в ДНС, возможно..
Пинги инета на адреса "числами" (xx.xx.xx.xx) ходили и без всякого ДНС..
Так ить, пинг по имени если не ходил с роутера, так это значит что там и на INPUT c OUTPUT дефолтовые полиси в DROP-е.
>Так ить, пинг по имени если не ходил с роутера, так это
>значит что там и на INPUT c OUTPUT дефолтовые полиси в
>DROP-е.Пинг с роутера по имени ходит, с локалки не ходит.. ПРоблемы однозначно в местном ДНС? Или что-то ещё надо подкрутить в форвардинге, кроме наличия простого пробрасывания пакетов от местного ДНС в свободный инет и обратно?
Зависит от настроек ДНСа. Кинь конфиги, посмотрим.
Не видя всех настроек, можно только догадываться о топологии и т.п. Можно такого насоветовать, мало не покажется.