https://www.opennet.ru/openforum/vsluhforumID1/91070.html Всем доброго дня. Достался сервер в роли маршрутизатора со скриптом настройки. Все работает хорошо, но теперь потребовалось сделать доступ c сервера в DMZ во внешний мир. Достаточно только одного порта tcp.<br>Просидел сегодня целый день в попытках разобраться. Шлюзом по-умолчанию сейчас eth1 (ext2). Его внешний адрес нормально пингуется. Когда же пытаюсь пинговать его шлюз, узел недоступен. В то время как второй конец тоннеля ppp0(ext1) абсолютно нормально пингуется.<br>Сломал сегодня себе всю голову. Помогите, пожалуйста. =)<br><br><br>#/bin/bash<br>## addresses and interfaces<br>IP_EXT1="*.*.*.*"<br>IP_EXT2="*.*.*.*"<br>IP_LAN="192.168.0.1"<br>IP_DMZ="192.168.1.1"<br>IP_VPN="10.8.0.1"<br><br>IF_EXT1="ppp0"<br>IF_EXT2="eth1"<br>IF_LAN="eth2"<br>IF_DMZ="eth3"<br>IF_VPN="as0t0"<br><br>DMZ_FTP="192.168.1.3"<br>DMZ_RDP="192.168.1.2"<br>DNS="192.168.0.1"<br><br>VPN_SUBNET="10.8.0.0/24"<br><br>##iptables<br>IPT="/sbin/iptables"<br><br>##ip-forwarding<br>echo "1" &gt; /proc/sys/net/ipv4/ip_forward<br><br>##dynamic IP<br>echo "1" &gt; /proc/sys/net/ipv4/ip_dynaddr<br><br>##flush all rule https://www.opennet.ru/openforum/vsluhforumID1/91070.html#6 Fri, 04 Mar 2011 09:14:42 GMT &gt;[оверквотинг удален]<br>&gt; ....<br>&gt; :) <br>&gt; --- <br>&gt; #!/bin/bash -x <br>&gt; Покажет строки <br>&gt; --- <br>&gt; Самыми первыми сделать <br>&gt; $IPT -A INPUT -p icmp -j ACCEPT <br>&gt; $IPT -A OUTPUT -p icmp -j ACCEPT <br>&gt; естественно после ##default polices <br><br>pavlinux, я так и делаю, в принципе. Методом тыка, научного. :) Не выходит.<br>Вот, что сейчас показывает iptables-save. Фрагментирование строк добавил, конечно, уже я. Для наглядности.<br>Особое внимание вызывает строчка: -A POSTROUTING -o ppp0 -j SNAT --to-source *.*.*.* (звездочками заменен внешний ip pppoe-соединения). Она повторяется в выводе 25000 раз! Оно что, устанавливается динамически для каждого соединения? А почему потом не закрывается?<br><br>Еще в ступор вгоняет такой факт: пытаюсь включить NAT на eth1, а мне в ответ: <br>iptables v1.4.1.1: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)<br>Perhaps iptables or your kernel needs to be upgraded.<br><br>Сегодня ночью попробую обновить систему с ядром. Сейчас боязно, люди-то работают.<br><br># Generat https://www.opennet.ru/openforum/vsluhforumID1/91070.html#5 Thu, 03 Mar 2011 13:44:16 GMT &gt; В чем смысл этих ping -c 5 ext_ip &#124;&#124; echo ERROR?<br><br>Добавил одно правило и смотришь есть пинг до шлюза или нет,<br>Добавил еще одно правило и смотришь есть пинг до шлюза или нет,<br>Добавил еще одно правило и смотришь есть пинг до шлюза или нет,<br>Добавил еще одно правило и смотришь есть пинг до шлюза или нет,<br>....<br>:)<br>---<br>#!/bin/bash -x <br><br>Покажет строки<br>---<br><br>Самыми первыми сделать <br>$IPT -A INPUT -p icmp -j ACCEPT<br>$IPT -A OUTPUT -p icmp -j ACCEPT<br><br>естественно после ##default polices<br> https://www.opennet.ru/openforum/vsluhforumID1/91070.html#4 Thu, 03 Mar 2011 13:12:03 GMT В чем смысл этих ping -c 5 ext_ip &#124;&#124; echo ERROR?<br>Что не так со скриптами?<br><br>iptables-save запустил. Теперь нужно время изучить его. Спасибо за наводку.<br><br>&gt; Шлюз eth1, внешний адрес пингуется, пытаюсь пинговать его шлюз, узел недоступен. - конечно же, описался. Интерфейс eth1. https://www.opennet.ru/openforum/vsluhforumID1/91070.html#3 Wed, 02 Mar 2011 21:29:05 GMT &gt; Я б этих скриптописателей на кол посадил.<br><br>:)<br> https://www.opennet.ru/openforum/vsluhforumID1/91070.html#2 Wed, 02 Mar 2011 21:26:16 GMT Я б этих скриптописателей на кол посадил.<br>сделайте iptables-save , увидите все в нормальной форме, и добавьте свое нужное правило.<br> https://www.opennet.ru/openforum/vsluhforumID1/91070.html#1 Wed, 02 Mar 2011 21:07:50 GMT #/bin/bash -x<br>## addresses and interfaces<br>IP_EXT1="*.*.*.*"<br>IP_EXT2="*.*.*.*"<br>IP_LAN="192.168.0.1"<br>IP_DMZ="192.168.1.1"<br>IP_VPN="10.8.0.1"<br><br>IF_EXT1="ppp0"<br>IF_EXT2="eth1"<br>IF_LAN="eth2"<br>IF_DMZ="eth3"<br>IF_VPN="as0t0"<br><br>DMZ_FTP="192.168.1.3"<br>DMZ_RDP="192.168.1.2"<br>DNS="192.168.0.1"<br><br>VPN_SUBNET="10.8.0.0/24"<br><br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> ##iptables<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> IPT="/sbin/iptables"<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> ##ip-forwarding<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> echo "1" &gt; /proc/sys/net/ipv4/ip_forward<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> ##dynamic IP<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> echo "1" &gt; /proc/sys/net/ipv4/ip_dynaddr<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> ##flush all rules<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> $IPT --flush<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> $IPT -t nat --flush<br>ping -c 5 $IP_EXT1 &#124;&#124; echo ERROR;<br> $IPT -t mangle --flush<br>ping -c 5 $IP_E