NAT

[ZTux]

Хмм.. Такая ситуёвина - запустил нат вот этим скриптом и вроде все работает, но не хочет заходить на
ibank.ukrsibbank.com
хотя на ukrsibbank.com - без проблемм..
что это может быть?)

1) Вот код скрипта для ната:

Код: Выделить всё

#!/bin/bash
fw="/usr/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_conntrack
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

echo "1" > /proc/sys/net/ipv4/ip_forward

$fw -P INPUT ACCEPT
$fw -P FORWARD ACCEPT
$fw -P OUTPUT ACCEPT
$fw -t nat -P PREROUTING ACCEPT
$fw -t nat -P POSTROUTING ACCEPT
$fw -t nat -P OUTPUT ACCEPT
$fw -t mangle -P PREROUTING ACCEPT
$fw -t mangle -P OUTPUT ACCEPT
$fw -F
$fw -t nat -F
$fw -t mangle -F
$fw -t nat -X
$fw -t mangle -X

$fw -t filter -A FORWARD -p tcp -s 192.168.102.0/24 -j ACCEPT
$fw -t filter -A FORWARD -p tcp -d 192.168.102.0/24 -j ACCEPT
$fw -t nat -A POSTROUTING -j MASQUERADE
$fw -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

сразу оговорюсь, что увеличение mtu результата не дает...
а когда захожу через proxy то все путем...
я так понимаю, что это в iptables где-то нет разрешение на Secure

2)Прокся может подгрузить этот ресурс (http://ibank.ukrsibbank.com) только до тех пор, пока в настройках соединения у клиента не убрать адрес прокси из

Код: Выделить всё

Secure 192.168.111.1:3128

А раз при NAT попытке достучаться до этого сайта коннекта нет, то я так понял, что где-то в скрипте (постом выше) надо этот Secure, а скорее наверное его порт или что-то такое прописать.
Погуглил - максимум находит Secure-server. Это не совсем то, что мне нужно...


3)По линку на факью с этого форума:

Код: Выделить всё

Пример настройки простейшего firewall:

  #iptables -P INPUT DROP
  #iptables -A INPUT -p tcp -m state RELATED,ESTABLISHED -j ACCEPT
  #iptables -A INPUT -p icmp -j ACCEPT 
  #iptables -A INPUT -p udp --sport 53 -j ACCEPT

4)Вот iptables:

Код: Выделить всё

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     tcp  --  192.168.102.0/24     anywhere            
ACCEPT     tcp  --  anywhere             192.168.102.0/24    
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Инет с локальных машин работает.
Если зайти к примеру на mail.ru - все ок.
А если на http://news.mail.ru/ - гаплык...

также и ukrsibbank.com - работает
а ibank.ukrsibbank.com - нет.

Что делать - всю сеть перерыл, везде, где встречаются подобные вопросы внятных ответов нет((
Говорят, что либо DNS надо на локальной машине писать такой как адрес внешней карточки сервера, либо днс провайдера - не помогает ессна..
Или говорят с mtu играться - все тоже...

Вокруг один сплошной облом... Что делать?)) Есть же люди у которых нат шуршит.. Откликнитесь, плз))

Зы, как уже говорил - с прокси все работает на ура((

[Llama]

Объясните зачем вы трогаете TCPMSS

[ZTux]

Честно - не знаю. Так вычитал, как один из рецептов...
Я ж говорю - безысходность.. ((
Никто не может помочь)

[Llama]

в гугле легко находится перевод iptables tutorial - почитайте и попробуйте понять что делает ваш скрипт.

[angor]

зачем трогать цепочку FORWARD, если нужен NAT?
этого вполне должно хватить для NAT'а (предварительно очистив все цепочки):

Код: Выделить всё

#!/bin/bash
WAN_IF=eth1 #интерфейс, смотрящий на модем
WAN_IP=192.168.1.2 #адрес интерфейса, смотрящего на модем
SOURCE=192.168.0.0/24 #сеть клиентов

/sbin/iptables -t nat -A POSTROUTING -s $SOURCE -o $WAN_IF -j SNAT --to-source $WAN_IP
#SNAT работает быстрее, чем MASQUERADE. Правда, это будет работать только при статическом WAN_IP

P.S. Коль на то пошло, давайте разберемся, какие у вас интерфейсы/адреса на шлюзе, и какие адреса клиентов/модема. Возможно там зарыта ваша проблема.
Да, и кроме вывода iptables -L было бы полезнее в данном случае смотреть iptables -t nat -L