https://www.opennet.ru/openforum/vsluhforumID1/92127.html Добрый день. Настраиваю у себя небольшую сеть. Как маршрутизатор использую Ubuntu Server 11.04. У него два интерфейса eth1 - внешний (с IP от провайдера) и eth0 для NAT. Суть вопроса пока не в этом, но для полной картины приведу все настройки<br><br>/etc/network/interfaces<br><br><br># The loopback network interface<br>auto lo<br>iface lo inet loopback<br><br>auto eth1<br>iface eth1 inet static<br><br>address x.x.x.x<br> netmask 255.255.255.240<br> gateway x.x.x.x<br> dns-nameservers x.x.x.x<br> <br>auto eth0<br>iface eth0 inet static<br> address 192.168.0.1<br> network 192.168.0.0<br> netmask 255.255.254.0<br> broadcast 192.168.1.255<br> <br><br><br><br><br>Вся настройка NAT делается следующими скриптами:<br><br>Очистка от всех правил<br><br><br>#!/bin/bash<br><br>echo "Stopping fw..."<br><br>/sbin/iptables -F<br>/sbin/iptables -X<br>/sbin/iptables -t nat -F<br>/sbin/iptables -t nat -X<br>/sbin/iptables -t mangle -F<br>/sbin/iptables -t mangle -X<br>/sbin/iptables -P INPUT ACCEPT<br>/sbin/iptables -P FORWARD ACCEPT<br>/sbin/iptables -P O https://www.opennet.ru/openforum/vsluhforumID1/92127.html#17 Thu, 18 Aug 2011 20:58:40 GMT &gt;&gt;&gt; да, ping 192.168.1.10 сейчас отработал на ура, пинг есть.<br>&gt;&gt; попробуйте прямо из консоли дать <br>&gt;&gt; iptables -t nat -I POSTROUTING -o eth0 -p tcp -d 192.168.1.10 -j <br>&gt;&gt; SNAT --to-source 192.168.0.1 <br>&gt;&gt; это заставит 192.168.1.10 думать что обращение из локалки, а не из инета <br>&gt;&gt; и может пропустит <br>&gt; Заработало!!! Большое Вам спасибо. Просто выручили. Как говорится, при возможности с меня <br>&gt; ящик пива или кока-колы (что Вам больше по душе). Благодарю!!!<br><br>тогда проверяйте прописан ли на 192.168.1.10 шлюзом 192.168.0.1 и если да то смотрите firewall и что там еще есть<br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#16 Thu, 18 Aug 2011 20:52:05 GMT &gt;&gt; да, ping 192.168.1.10 сейчас отработал на ура, пинг есть.<br>&gt; попробуйте прямо из консоли дать <br>&gt; iptables -t nat -I POSTROUTING -o eth0 -p tcp -d 192.168.1.10 -j <br>&gt; SNAT --to-source 192.168.0.1 <br>&gt; это заставит 192.168.1.10 думать что обращение из локалки, а не из инета <br>&gt; и может пропустит <br><br>Заработало!!! Большое Вам спасибо. Просто выручили. Как говорится, при возможности с меня ящик пива или кока-колы (что Вам больше по душе). Благодарю!!!<br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#15 Thu, 18 Aug 2011 20:42:42 GMT &gt; да, ping 192.168.1.10 сейчас отработал на ура, пинг есть.<br><br>попробуйте прямо из консоли дать<br><br>iptables -t nat -I POSTROUTING -o eth0 -p tcp -d 192.168.1.10 -j SNAT --to-source 192.168.0.1<br><br>это заставит 192.168.1.10 думать что обращение из локалки, а не из инета и может пропустит<br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#14 Thu, 18 Aug 2011 20:30:52 GMT да, ping 192.168.1.10 сейчас отработал на ура, пинг есть.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#13 Thu, 18 Aug 2011 20:29:22 GMT &gt;&gt; когда вы на клиенте указываете установить соединение клиент шлет запрос на установку <br>&gt;&gt; соединения и ждет ответы, вот вы и должны увидеть пакеты к <br>&gt;&gt; 192.168.1.10.3389 и от него, если вы видите только пакеты к 192.168.1.10.3389 <br>&gt;&gt; (a.b.c.d.порт &gt; 192.168.1.10.3389), то значит или пакет не дошел до 192.168.1.10, <br>&gt;&gt; либо его проигнорировали на 192.168.1.10, либо ответ не дошел до шлюза <br>&gt; о! я понял, благодарю. Верно. Пакеты идут только к 1.10: <br>&gt; my_ip &gt; 192.168.1.10:3389 <br>&gt; Обратно (как я понимаю my_ip &lt; 192.168.1.10:3389 это выглядело бы так) ответа <br><br>скорей всего 192.168.1.10.3389 &gt; my_ip<br>&gt; нету. Т.е. надо полагать, что пакеты рубятся на 1.10 машине файрволом? <br><br>возможно, пингуется ли 192.168.1.10 с шлюза?<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#12 Thu, 18 Aug 2011 20:27:08 GMT Да, а шлюз (192.168.0.1) нормально пингуется с 1.10. Это проверялось.<br> <br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#11 Thu, 18 Aug 2011 20:26:21 GMT &gt; когда вы на клиенте указываете установить соединение клиент шлет запрос на установку <br>&gt; соединения и ждет ответы, вот вы и должны увидеть пакеты к <br>&gt; 192.168.1.10.3389 и от него, если вы видите только пакеты к 192.168.1.10.3389 <br>&gt; (a.b.c.d.порт &gt; 192.168.1.10.3389), то значит или пакет не дошел до 192.168.1.10, <br>&gt; либо его проигнорировали на 192.168.1.10, либо ответ не дошел до шлюза <br><br>о! я понял, благодарю. Верно. Пакеты идут только к 1.10:<br><br>my_ip &gt; 192.168.1.10:3389<br><br>Обратно (как я понимаю my_ip &lt; 192.168.1.10:3389 это выглядело бы так) ответа нету. Т.е. надо полагать, что пакеты рубятся на 1.10 машине файрволом?<br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#10 Thu, 18 Aug 2011 20:21:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; 1.10?<br>&gt;&gt;&gt; если виндовый брандмауэр не пускает, то скорей всего да <br>&gt;&gt; хотя если там пакеты из вашей подсети разрешены, то можно попробовать сделать <br>&gt;&gt; SNAT, для этих пакетов <br>&gt;&gt;&gt; пакет к винде <br>&gt;&gt;&gt; a.b.c.d.порт &gt; 192.168.1.10.3389 <br>&gt;&gt;&gt; ниже должен быть ответ <br>&gt;&gt;&gt; 192.168.1.10.3389 &gt; a.b.c.d.порт <br>&gt; Прошу прощения (видимо поздно и голова уже не варит). Можно подробнее как <br>&gt; послать пакет и получить ответ? какой командой.<br><br>когда вы на клиенте указываете установить соединение клиент шлет запрос на установку соединения и ждет ответы, вот вы и должны увидеть пакеты к 192.168.1.10.3389 и от него, если вы видите только пакеты к 192.168.1.10.3389 (a.b.c.d.порт &gt; 192.168.1.10.3389), то значит или пакет не дошел до 192.168.1.10, либо его проигнорировали на 192.168.1.10, либо ответ не дошел до шлюза<br> https://www.opennet.ru/openforum/vsluhforumID1/92127.html#9 Thu, 18 Aug 2011 20:13:45 GMT &gt;&gt;&gt; Замемечу, что пока доступ только по ssh. Нужен ли физический доступ к <br>&gt;&gt;&gt; 1.10?<br>&gt;&gt; если виндовый брандмауэр не пускает, то скорей всего да <br>&gt; хотя если там пакеты из вашей подсети разрешены, то можно попробовать сделать <br>&gt; SNAT, для этих пакетов <br>&gt;&gt; пакет к винде <br>&gt;&gt; a.b.c.d.порт &gt; 192.168.1.10.3389 <br>&gt;&gt; ниже должен быть ответ <br>&gt;&gt; 192.168.1.10.3389 &gt; a.b.c.d.порт <br><br>Прошу прощения (видимо поздно и голова уже не варит). Можно подробнее как послать пакет и получить ответ? какой командой.<br>