https://www.solaris.opennet.ru/openforum/vsluhforumID1/78406.html Машина с linux 2.6.18, две сетевухи, одна в локальную сеть, другая в интернет.<br>На машине nat для локальных клиентов.<br>На ней же поднимается ipsec (esp tunnel) через racoon для соединения с другим офисом (с другой стороны cisco).<br>Проблема: пинги (и все прочие пакеты) прекрасно проходят "наружу" --- до другой сети.<br>Ответы на них приходят, увеличивая счётчик пакетов, вышедших из ipsec-туннеля, пападают в netfilter, успешно проходят цепочку PREROUTING в таблцах raw и mangle, а в таблицу nat и далее так никогда и не попадают, погибая где-то перед ней.<br><br>Вопрос к знатоками netfilter и iptables: где они там могут пропадать?<br><br>Симптомы:<br>[code]<br>Chain PREROUTING (policy ACCEPT 10221 packets, 4941K bytes)<br> pkts bytes target prot opt in out source destination <br> 5 300 ACCEPT 0 -- * * 192.168.1.44 192.168.48.13 <br> 6 360 ACCEPT 0 -- * * 192.168.48.13 192.168.1.44 <br>...<br>Chain PREROUTING (policy ACCEPT 800 p https://www.solaris.opennet.ru/openforum/vsluhforumID1/78406.html#4 Mon, 28 Jan 2008 10:51:34 GMT &gt;А почему они должны туда попадать? Если мы натим из локалки в <br>&gt;мир, то через nat проходит только первый пакет соединения, все остальные(в <br>&gt;том числе и ответ) туда уже не попадают. <br><br>Ответ гениален.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID1/78406.html#3 Mon, 28 Jan 2008 08:46:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 6 360 ACCEPT 0 -- * * 192.168.48.13 192.168.1.44 <br>&gt;&gt;... <br>&gt;&gt;Chain PREROUTING (policy ACCEPT 800 packets, 60295 bytes) <br>&gt;&gt; pkts bytes target prot opt in out source destination <br>&gt;&gt; 6 360 ACCEPT 0 -- * * 192.168.48.13 192.168.1.44 <br>&gt;&gt; 0 0 ACCEPT 0 -- * * 192.168.1.44 192.168.48.13 <br>&gt;&gt;... <br>&gt;<br>&gt;если это таблица НАТ, то там политика ACCEPT, непонятно назначение правил, что <br>&gt;Вы хотите получить? <br><br>Эти правила добавлены с целью локализовать место исчезновения пакетов.<br>До FORWARD они, конечно же, не доходят.<br><br>&gt; [ликбез удалён] https://www.solaris.opennet.ru/openforum/vsluhforumID1/78406.html#2 Fri, 25 Jan 2008 20:34:31 GMT &gt;[оверквотинг удален]<br>&gt;pkts bytes target prot opt in out source destination <br>&gt; 5 300 ACCEPT 0 -- * * 192.168.1.44 192.168.48.13 <br>&gt; 6 360 ACCEPT 0 -- * * 192.168.48.13 192.168.1.44 <br>&gt;... <br>&gt;Chain PREROUTING (policy ACCEPT 800 packets, 60295 bytes) <br>&gt; pkts bytes target prot opt in out source destination <br>&gt; 6 360 ACCEPT 0 -- * * 192.168.48.13 192.168.1.44 <br>&gt; 0 0 ACCEPT 0 -- * * 192.168.1.44 192.168.48.13 <br>&gt;... <br><br>если это таблица НАТ, то там политика ACCEPT, непонятно назначение правил, что Вы хотите получить?<br>если нужно разрешить движение через роутер то эти правила вносятся в цепочку FORWARD таблицы filter и там будут считатся все пройденные пакеты в обоих направлениях<br><br>также проверьте <br>cat /proc/sys/net/ipv4/ip_forward<br><br>должно быть значение 1<br> https://www.solaris.opennet.ru/openforum/vsluhforumID1/78406.html#1 Fri, 25 Jan 2008 20:06:14 GMT А почему они должны туда попадать? Если мы натим из локалки в мир, то через nat проходит только первый пакет соединения, все остальные(в том числе и ответ) туда уже не попадают. <br>