Почему не ходят пакеты в linux-роутере?

Question

[Евгений Ферапонтов]

Итак, есть коробка с линуксом. eth0 смотрит в локальную сеть 192.168.1.0/24, eth2 смотрит на модем с интернетом (вынесены в отдельную подсеть 192.168.0.0/24)

Конфигурация интерфейсов:

# eth2
        allow-hotplug eth2
        iface eth2 inet static
        address 192.168.0.28
        netmask 255.255.255.0
        gateway 192.168.0.1
# internal eth0
        allow-hotplug eth0
        iface eth0 inet static
        address 192.168.1.1
        netmask 255.255.255.0

ip_forwarding включен.
Конфигурация клиента:

Ethernet adapter Ethernet 2:
   DNS-суффикс подключения . . . . . 
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.2
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1

Запускаю на клиенте пинг до внешнего интерфейса (eth2) коробки с линуксом:

ping 192.168.0.28 -n 100

Обмен пакетами с 192.168.0.28 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

В это время в wireshark на клиенте вижу icmp request, который передается в шлюз.
В это время в коробке с линуксом на внутреннем интерфейсе виден icmp request:

tcpdump -i eth0 icmp -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:36:12.450762 IP (tos 0x0, ttl 128, id 472, offset 0, flags [none], proto ICMP (1), length 60)
    <b>192.168.1.2 > 192.168.0.28: ICMP echo request</b>, id 1, seq 1114, length 40

На внешнем интерфейсе виден icmp reply:

tcpdump -i eth2 icmp -vv
tcpdump: listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
15:36:32.449836 IP (tos 0x0, ttl 64, id 45882, offset 0, flags [none], proto ICMP (1), length 60)
    192.168.0.28 > 192.168.1.2: ICMP echo reply, id 1, seq 1118, length 40

Но на внутреннем интерфейсе reply нет!
Аналогичная картина с любым другим внешним для 192.168.1.0/24 адресом.
Что я делаю не так? Куда копать?
P. S. :

ping -I eth0 192.168.0.28
PING 192.168.0.28 (192.168.0.28) from 192.168.1.1 eth0: 56(84) bytes of data.
From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=2 Destination Host Unreachable
From 192.168.1.1 icmp_seq=3 Destination Host Unreachable
^C
--- 192.168.0.28 ping statistics ---
6 packets transmitted, 0 received, +3 errors, 100% packet loss, time 5023ms
pipe 3

UPD: Забыл приложить картинку.

Comments

[jcmvbkbc]

Что говорит route -n на коробке с линуксом?

Answer 1

[Евгений Ферапонтов]

В общем, я так и не понял, почему это происходило, но переустановка решила проблему. Скорее всего что-то криво встало. Теперь все работает.

Answer 2

[Андрей Буров]

net.ipv4.ip_forward ит.п. включены?

Comments

[jcmvbkbc]

> ip_forwarding включен.
да и не добрался бы icmp reply до eth2 если бы не был форвардинг включен.

Answer 3

[Konkase]

netstat -rn покажите с роутера

Comments

[Евгений Ферапонтов]

По поводу таблиц маршрутов: там все окей, маршрут по умолчанию только один -- маршрут на модем провайдера.
Вывод команды в понедельник покажу -- у нас тут праздники начались.

[Евгений Ферапонтов]

netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.111.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Answer 4

[larrabee]

попробуйте iptables -P FORWARD ACCEPT, ну и проверьте правила iptables. Ранее указанная команда не поможет, если есть явно запрещающие правила.

Comments

[Евгений Ферапонтов]

Первое, что глянул.
Правил iptables нет. Добавил разрешения на форварды со всех интерфейсов, эффекта нет.

Answer 5

[Zhakupov]

iptables --list
в студию

Comments

[Евгений Ферапонтов]

Там пусто. Правила на форвард ничего не изменили.

[Евгений Ферапонтов]

iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Answer 6

[pumamd]

Вывод команд:

iptables -vnL
iptables -vnL -t nat
iptables -vnL -t raw

Comments

[Евгений Ферапонтов]

iptables -vnL
Chain INPUT (policy ACCEPT 107 packets, 10881 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 119 packets, 21131 bytes)
pkts bytes target prot opt in out source destination

iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

iptables -vnL -t raw
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

[pumamd]

Вывод команды:
sysctl -a | grep forward | grep ipv4

[Евгений Ферапонтов]

sysctl -a | grep forward | grep ipv4
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.forwarding = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.eth2.forwarding = 1
net.ipv4.conf.eth2.mc_forwarding = 0
net.ipv4.ip_forward = 1

[pumamd]

Перенаправление пакетов как видно работает.
Вывод команд:
ip addr
ip route

[pumamd]

Также предположу что у вас отключены icmp пакеты на уровне ядра
Вывод команды:
sysctl -a | grep icmp | grep ipv4