Туннель IPSec работает, но почему я не могу пинговать IP-адреса назначения?

Question

Nicolayka @Nicolayka

Туннель IPSec работает, но почему я не могу пинговать IP-адреса назначения?

Оба сервера Debian, они же шлюзы, они же прокси, они же выдают DHCP в локалке

Настройки 1 сервера:

ifconfig

eth0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 04:42:1a:08:7c:84  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.0.0.1  netmask 255.255.255.0  broadcast 10.0.0.255
        inet6 fe80::e21a:eaff:fe76:96f4  prefixlen 64  scopeid 0x20<link>
        ether e0:1a:ea:76:96:f4  txqueuelen 1000  (Ethernet)
        RX packets 399930669  bytes 150437986833 (140.1 GiB)
        RX errors 3  dropped 0  overruns 0  frame 3
        TX packets 507386332  bytes 412721154240 (384.3 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16

eth2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 1.1.1.1  netmask 255.255.255.240  broadcast 1.1.1.255
        inet6 fe80::6a05:caff:fef3:ba78  prefixlen 64  scopeid 0x20<link>
        ether 68:05:ca:f3:ba:78  txqueuelen 1000  (Ethernet)
        RX packets 523293735  bytes 416686613426 (388.0 GiB)
        RX errors 4  dropped 1264  overruns 0  frame 2
        TX packets 387723159  bytes 149380371502 (139.1 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16  memory 0xa0ac0000-a0ae0000

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 1362162  bytes 67625872 (64.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1362162  bytes 67625872 (64.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ipsec.conf

config setup
  charondebug="all"
  uniqueids=yes

conn ptgateway-to-bmgateway
  type=tunnel
  auto=start
  keyexchange=ikev2
  authby=secret
  left=1.1.1.1
  leftsubnet=10.0.0.0/24
  right=2.2.2.2
  rightsubnet=20.0.0.0/24
  ike=aes256-sha1-modp1024!
  esp=aes256-sha1!
  aggressive=no
  keyingtries=%forever
  ikelifetime=28800s
  lifetime=3600s
  dpddelay=30s
  dpdtimeout=120s
  dpdaction=restart

ipsec.secrets

1.1.1.1 2.2.2.2 : PSK "sdfsdfgvtgdtgdac032zVFKkrXdfddfv/ya04WzPA="

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         1.1.1.241     0.0.0.0         UG    0      0        0 eth2
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
1.1.1.240     0.0.0.0         255.255.255.240 U     0      0        0 eth2

ipsec status

Security Associations (1 up, 1 connecting): ptgateway-to-bmgateway[3]: CONNECTING, 1.1.1.1[%any]...2.2.2.2[%any] ptgateway-to-bmgateway[1]: ESTABLISHED 11 minutes ago, 1.1.1.1[1.1.1.1]...2.2.2.2[2.2.2.2] ptgateway-to-bmgateway{4}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c6b23b59_i cef0242a_o ptgateway-to-bmgateway{4}: 10.0.0.0/24 === 20.0.0.0/24

Настройки 2 сервера:

ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 2.2.2.2  netmask 255.255.255.0  broadcast 2.2.2.255
        inet6 fe80::642:1aff:fe08:7c7f  prefixlen 64  scopeid 0x20<link>
        ether 04:42:1a:08:7c:7f  txqueuelen 1000  (Ethernet)
        RX packets 1322  bytes 124291 (121.3 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1017  bytes 208160 (203.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 20.0.0.1  netmask 255.255.255.0  broadcast 20.0.0.255
        inet6 fe80::6a05:caff:fef3:bdb9  prefixlen 64  scopeid 0x20<link>
        ether 68:05:ca:f3:bd:b9  txqueuelen 1000  (Ethernet)
        RX packets 421  bytes 38387 (37.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 291  bytes 26543 (25.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16  memory 0xa13c0000-a13e0000

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 4  bytes 156 (156.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4  bytes 156 (156.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ipsec.conf

config setup
  charondebug="all"
  uniqueids=yes

conn bmgateway-to-ptgateway
  type=tunnel
  auto=start
  keyexchange=ikev2
  authby=secret
  left=2.2.2.2
  leftsubnet=20.0.0.0/24
  right=1.1.1.1
  rightsubnet=10.0.0.0/24
  ike=aes256-sha1-modp1024!
  esp=aes256-sha1!
  aggressive=no
  keyingtries=%forever
  ikelifetime=28800s
  lifetime=3600s
  dpddelay=30s
  dpdtimeout=120s
  dpdaction=restart

ipsec.secrets

2.2.2.2 1.1.1.1 : PSK "sdfsdfgvtgdtgdac032zVFKkrXdfddfv/ya04WzPA="

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         2.2.2.254     0.0.0.0         UG    0      0        0 eth0
20.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
2.2.2.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0

ipsec status

Security Associations (1 up, 0 connecting): bmgateway-to-ptgateway[2]: ESTABLISHED 11 minutes ago, 2.2.2.2[2.2.2.2]...1.1.1.1[1.1.1.1] bmgateway-to-ptgateway{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: cef0242a_i c6b23b59_o bmgateway-to-ptgateway{2}: 20.0.0.0/24 === 10.0.0.0/24

Не пингуются ПК в обоих сетях.....

Вопрос задан более года назад
254 просмотра

16 комментариев

Подписаться 1 Средний 16 комментариев

Valentin Barbolin @dronmaxman
Про это не забыл?

net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.ip_no_pmtu_disc = 1

Что с firewall? Покажи iptables-save
Написано более года назад
Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin,
Нет, не забыл......

Вот iptables со второго сервера. На первом сервере всё аналогично
eth2 - WAN
eth1 - LAN

# Generated by iptables-save v1.8.7 on Thu Jul 13 12:14:29 2023
*filter
:INPUT DROP [1:40]
:FORWARD DROP [1:41]
:OUTPUT DROP [1:136]
:bad_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth2 -p tcp -m tcp --dport 1565 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 10.0.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 9889 -j ACCEPT
-A FORWARD -d 10.0.0.5/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 8448 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1567 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1566 -j ACCEPT
-A FORWARD -s 1.1.1.1/32 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j bad_packets
-A FORWARD -i eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j bad_packets
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_packets -s 10.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 172.16.0.0/12 -i eth2 -j DROP
-A bad_packets -s 192.160.0.0/12 -i eth2 -j DROP
-A bad_packets -s 127.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 0.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 169.254.0.0/16 -i eth2 -j DROP
-A bad_packets -s 192.0.2.0/24 -i eth2 -j DROP
-A bad_packets -s 204.152.64.0/23 -i eth2 -j DROP
-A bad_packets -s 224.0.0.0/3 -i eth2 -j DROP
-A bad_packets -s 240.0.0.0/5 -i eth2 -j DROP
COMMIT
# Completed on Thu Jul 13 12:14:29 2023
# Generated by iptables-save v1.8.7 on Thu Jul 13 12:14:29 2023
*nat
:PREROUTING ACCEPT [49201:3965388]
:INPUT ACCEPT [16992:992577]
:OUTPUT ACCEPT [12060:1061656]
:POSTROUTING ACCEPT [33264:2122535]
-A PREROUTING -d 5.61.15.44/32 -i eth2 -j ACCEPT
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 6651 -j DNAT --to-destination 10.0.0.2:1566
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 7651 -j DNAT --to-destination 10.0.0.3:1567
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.3:80
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.3:443
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 8448 -j DNAT --to-destination 10.0.0.3:8448
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 10.0.0.5:80
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 9889 -j DNAT --to-destination 10.0.0.4:9889
-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10
-A POSTROUTING -s 10.0.0.0/24 -d 20.0.0.0/24 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Thu Jul 13 12:14:29 2023

Написано более года назад

Valentin Barbolin @dronmaxman

Nicolayka, Так нельзя с ipsec

-A POSTROUTING -s 10.0.0.0/24 -d 20.0.0.0/24 -j MASQUERADE

Попробуй так

# это удалить 
#-A POSTROUTING -s 10.0.0.0/24 -d 20.0.0.0/24 -j MASQUERADE 
# это поменять на
#-A POSTROUTING -s 10.0.0.0/24 -o eth2 -j MASQUERADE 
# это
-A POSTROUTING -s 10.0.0.0/24 ! -d 20.0.0.0/24 -o eth2 -j MASQUERADE

И вот это
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT

и forward
-I FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT

То же самое с обратной стороны соблюдая симметрию

Написано более года назад

Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin, Почти всё заработало! Рад БЕЗУМНО!!!!!

Сервера пингуют друг друга: 10.0.0.1 <=> 20.0.0.1
Компьютеры в локалках пингуют противоположные сервера: 10.0.0.10/24 => 20.0.0.1 и 20.0.0.10/24 => 10.0.0.1

Но компьютеры не могут пинговать друг друга, то есть 10.0.0.10/24 <≠> 20.0.0.10/24

Так же ПК из второй локалки (20.0.0.10/24) не могут зайти на SAMBA сервер, расположенный на 10.0.0.1

P.S. Я просто с IPSec никогда не работал...теряюсь((

Написано более года назад
Valentin Barbolin @dronmaxman

Nicolayka, давай ещё раз посмотрим на iptables-save, как он выглядит после всех правок.

Написано более года назад
Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin,
1 сервер:

# Generated by iptables-save v1.8.7 on Fri Jul 14 17:39:06 2023
*filter
:INPUT DROP [1:40]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:136]
:bad_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth2 -p tcp -m tcp --dport 1565 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 10.0.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 9889 -j ACCEPT
-A FORWARD -d 10.0.0.5/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 8448 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1567 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1566 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j bad_packets
-A FORWARD -i eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j bad_packets
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_packets -s 10.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 172.16.0.0/12 -i eth2 -j DROP
-A bad_packets -s 192.160.0.0/12 -i eth2 -j DROP
-A bad_packets -s 127.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 0.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 169.254.0.0/16 -i eth2 -j DROP
-A bad_packets -s 192.0.2.0/24 -i eth2 -j DROP
-A bad_packets -s 204.152.64.0/23 -i eth2 -j DROP
-A bad_packets -s 224.0.0.0/3 -i eth2 -j DROP
-A bad_packets -s 240.0.0.0/5 -i eth2 -j DROP
COMMIT
# Completed on Fri Jul 14 17:39:06 2023
# Generated by iptables-save v1.8.7 on Fri Jul 14 17:39:06 2023
*nat
:PREROUTING ACCEPT [199553:16415974]
:INPUT ACCEPT [70793:4025175]
:OUTPUT ACCEPT [39682:3178821]
:POSTROUTING ACCEPT [100866:6214429]
-A PREROUTING -d 5.61.15.44/32 -i eth2 -j ACCEPT
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10
-A POSTROUTING -s 10.0.0.0/24 ! -d 20.0.0.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Fri Jul 14 17:39:06 2023

2 сервер:

# Generated by iptables-save v1.8.9 (nf_tables) on Fri Jul 14 17:42:49 2023
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [3:376]
:bad_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 1565 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j bad_packets
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j bad_packets
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_packets -s 20.0.0.0/8 -i eth0 -j DROP
-A bad_packets -s 172.16.0.0/12 -i eth0 -j DROP
-A bad_packets -s 192.160.0.0/12 -i eth0 -j DROP
-A bad_packets -s 127.0.0.0/8 -i eth0 -j DROP
-A bad_packets -s 0.0.0.0/8 -i eth0 -j DROP
-A bad_packets -s 169.254.0.0/16 -i eth0 -j DROP
-A bad_packets -s 192.0.2.0/24 -i eth0 -j DROP
-A bad_packets -s 204.152.64.0/23 -i eth0 -j DROP
-A bad_packets -s 224.0.0.0/3 -i eth0 -j DROP
-A bad_packets -s 240.0.0.0/5 -i eth0 -j DROP
COMMIT
# Completed on Fri Jul 14 17:42:49 2023
# Generated by iptables-save v1.8.9 (nf_tables) on Fri Jul 14 17:42:49 2023
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 5.61.15.44/32 -i eth0 -j ACCEPT
-A PREROUTING -d 20.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -d 20.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
COMMIT
# Completed on Fri Jul 14 17:42:49 2023

Написано более года назад
Valentin Barbolin @dronmaxman

Nicolayka,
Зачем это?

-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10

Где правила маскарада на сервер 2? Где симетричные правила на сервер 2?

Как ты вообще настраиваешь firewall, используешь какую-то утилиту?

Написано более года назад

Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin, использую обычный sh-файл, мне там удобнее вносить, а потом подгружаю iptables.rules в файле /etc/network/interfaces

Маскарад и симметричные правила есть и там и там, сделал по аналогии с тем, что Вы писали выше. Вот исходные файлы обоих серверов

Сервер 1:

spoiler

#!/bin/bash

# allow forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
modprobe iptable_nat

export IPT="iptables"

# Внешний интерфейс
export WAN=eth2
export WAN_IP=1.1.1.1

# Локальная сеть
export LAN=eth1
export LAN_IP_RANGE=10.0.0.0/24

export LAN_BUM_RANGE=20.0.0.0/24

# Очищаем правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Разрешаем localhost и локалку
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT

# Запрещаем все, что не разрешено
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# PROTECT FIREWALL
# Мы защищаем наш сервер от атак, когда из внешней сети пытаются "прикинуться" внутренними адресами

$IPT -N bad_packets
$IPT -P bad_packets ACCEPT

$IPT -A bad_packets -i $WAN -s 10.0.0.0/8 -j DROP
$IPT -A bad_packets -i $WAN -s 172.16.0.0/12 -j DROP
$IPT -A bad_packets -i $WAN -s 192.168.0.0/12 -j DROP
$IPT -A bad_packets -i $WAN -s 127.0.0.0/8 -j DROP
$IPT -A bad_packets -i $WAN -s 0.0.0.0/8 -j DROP
$IPT -A bad_packets -i $WAN -s 169.254.0.0/16 -j DROP
$IPT -A bad_packets -i $WAN -s 192.0.2.0/24 -j DROP
$IPT -A bad_packets -i $WAN -s 204.152.64.0/23 -j DROP
$IPT -A bad_packets -i $WAN -s 224.0.0.0/3 -j DROP
$IPT -A bad_packets -i $WAN -s 240.0.0.0/5 -j DROP

$IPT -A INPUT -j bad_packets
$IPT -A OUTPUT -j bad_packets
$IPT -A FORWARD -j bad_packets

# Рзрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем все исходящие подключения сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
# Разрешаем все входящие подключения сервера
#$IPT -A INPUT -i $WAN -j ACCEPT

# разрешаем установленные соединения
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $WAN -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $LAN -p all -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасываем неопознанные пакеты
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Отбрасываем нулевые пакеты
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Закрываемся от syn-flood атак
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

#Разрешаем посещать Кодекс в обход SQUID
$IPT -t nat -I PREROUTING -d 5.61.15.44 -i $WAN -j ACCEPT

$IPT -t nat -A POSTROUTING -o $WAN -s 195.209.130.9 -j SNAT --to 10.0.0.10

# Разрешаем доступ из локалки наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT

#$IPT -I FORWARD -s 46.32.72.84 -j ACCEPT

# Закрываем доступ снаружи в локалку
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT

#IPSec <-----
$IPT -t nat -A POSTROUTING -s $LAN_IP_RANGE ! -d $LAN_BUM_RANGE -o $WAN -j MASQUERADE
#-----> IPSec

# Разрешаем порты
#SSH
$IPT -A INPUT -i $WAN -p tcp --dport 1565 -j ACCEPT

#IPSec <-----
$IPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT
$IPT -A INPUT -p esp -j ACCEPT
$IPT -A INPUT -p ah -j ACCEPT

$IPT -I FORWARD -s $LAN_IP_RANGE -d $LAN_BUM_RANGE -j ACCEPT
#-----> IPSec

$IPT -A INPUT -i $LAN -p tcp --dport 67 -j ACCEPT
$IPT -A INPUT -i $LAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $LAN -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WLAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WLAN -p udp --dport 53 -j ACCEPT

#SQUID
$IPT -t nat -A PREROUTING -p tcp -d $LAN_IP_RANGE --dport 80 -j REDIRECT --to-port 3129
$IPT -t nat -A PREROUTING -p tcp -d $LAN_IP_RANGE --dport 443 -j REDIRECT --to-port 3130

#SAMBA-сервер (6651 - фейковый порт от 1566)
$IPT -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 6651 -j DNAT --to-destination $SAMBASRV:1566
$IPT -I FORWARD 1 -i $WAN -o $LAN -d $SAMBASRV -p tcp -m tcp --dport 1566 -j ACCEPT
$IPT -t nat -A POSTROUTING -p tcp --sport 1566 --dst $SAMBASRV -j SNAT --to-source $WAN_IP:6651

# Сохраняем правила
/sbin/iptables-save  > /etc/iptables.rules

route -n
$IPT -L
$IPT -L -v -n
$IPT -L -v -n -t nat--

Сервер 2:

spoiler

#!/bin/bash

# allow forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
modprobe iptable_nat

export IPT="iptables"

# Внешний интерфейс
export WAN=eth0
export WAN_IP=2.2.2.2

# Локальная сеть
export LAN=eth1
export LAN_IP_RANGE=20.0.0.0/24

export LAN_PT_RANGE=10.0.0.0/24

# Очищаем правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Разрешаем localhost и локалку
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT

# Запрещаем все, что не разрешено
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# PROTECT FIREWALL
# Мы защищаем наш сервер от атак, когда из внешней сети пытаются "прикинуться" внутренними адресами

$IPT -N bad_packets
$IPT -P bad_packets ACCEPT

$IPT -A bad_packets -i $WAN -s 20.0.0.0/8 -j DROP
$IPT -A bad_packets -i $WAN -s 172.16.0.0/12 -j DROP
$IPT -A bad_packets -i $WAN -s 192.168.0.0/12 -j DROP
$IPT -A bad_packets -i $WAN -s 127.0.0.0/8 -j DROP
$IPT -A bad_packets -i $WAN -s 0.0.0.0/8 -j DROP
$IPT -A bad_packets -i $WAN -s 169.254.0.0/16 -j DROP
$IPT -A bad_packets -i $WAN -s 192.0.2.0/24 -j DROP
$IPT -A bad_packets -i $WAN -s 204.152.64.0/23 -j DROP
$IPT -A bad_packets -i $WAN -s 224.0.0.0/3 -j DROP
$IPT -A bad_packets -i $WAN -s 240.0.0.0/5 -j DROP

$IPT -A INPUT -j bad_packets
$IPT -A OUTPUT -j bad_packets
$IPT -A FORWARD -j bad_packets

# Рзрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем все исходящие подключения сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT
# Разрешаем все входящие подключения сервера
#$IPT -A INPUT -i $WAN -j ACCEPT

# разрешаем установленные соединения
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $WAN -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $LAN -p all -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасываем неопознанные пакеты
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Отбрасываем нулевые пакеты
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Закрываемся от syn-flood атак
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

#Разрешаем посещать Кодекс в обход SQUID
$IPT -t nat -I PREROUTING -d 5.61.15.44 -i $WAN -j ACCEPT

# Разрешаем доступ из локалки наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT

#$IPT -I FORWARD -s 77.244.20.253 -j ACCEPT

# Закрываем доступ снаружи в локалку
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT

#IPSec <-----
$IPT -A POSTROUTING -s $LAN_IP_RANGE ! -d $LAN_PT_RANGE -o $WAN -j MASQUERADE
#-----> IPSec

# Разрешаем порты
#SSH
$IPT -A INPUT -i $WAN -p tcp --dport 1565 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 500 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 4500 -j ACCEPT

#IPSec <-----
$IPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT
$IPT -A INPUT -p esp -j ACCEPT
$IPT -A INPUT -p ah -j ACCEPT

$IPT -I FORWARD -s $LAN_IP_RANGE -d $LAN_PT_RANGE -j ACCEPT
#-----> IPSec

$IPT -A INPUT -i $LAN -p tcp --dport 67 -j ACCEPT
$IPT -A INPUT -i $LAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $LAN -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WLAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WLAN -p udp --dport 53 -j ACCEPT

#SQUID
$IPT -t nat -A PREROUTING -p tcp -d $LAN_IP_RANGE --dport 80 -j REDIRECT --to-port 3129
$IPT -t nat -A PREROUTING -p tcp -d $LAN_IP_RANGE --dport 443 -j REDIRECT --to-port 3130

# Сохраняем правила
/sbin/iptables-save  > /etc/iptables.rules

route -n
$IPT -L
$IPT -L -v -n
$IPT -L -v -n -t nat--

Написано более года назад

Valentin Barbolin @dronmaxman

Nicolayka, В iptables-save сервера 2 нет MASQUERADE, скорее всего правила не применились.

Это может мешать, убери пока
$IPT -A bad_packets -i $WAN -s 20.0.0.0/8 -j DROP

У тебя политика $IPT -P FORWARD DROP, это бессмысленное правило
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT

Добавь эти два правила на обра сервера.
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT

Смотри как красиво можно использовать ferm для iptables ferm.foo-projects.org/download/2.1/ferm.html

@def $DEV_WAN = eth2;
@def $DEV_LAN = eth1;

@def $NET_LOCAL = 10.0.0.0/24;
@def $NET_BRANCH = 20.0.0.0/24;

@def $NET_BOGON = (172.16.0.0/12 192.168.0.0/12 127.0.0.0/8 169.254.0.0/16)

# функция для публикаций
@def &FORWARD_PORT($proto, $port, $dest) = {
     domain (ip ip6) {
        table nat chain PREROUTING interface $DEV_WAN proto $proto dport $port DNAT to "$dest";
        table filter chain FORWARD interface $DEV_WAN outerface $DEV_LAN daddr $dest proto $proto dport $port ACCEPT;
        }

# функция для логирования отброшенный пакетов
@def &LOG_DROP($table, $chain) = {
     domain (ip ip6) {
        table $table chain $chain mod limit limit 2/min limit-burst 10 LOG log-prefix  "[FERM] $CHAIN: " log-level warning;
        table $table chain $chain REJECT;
                }

domain (ip ip6) {
table filter {
    chain INPUT {
        policy DROP; # Запрещаем все, что не разрешено

        # connection tracking
        mod state state INVALID DROP; # Отбрасываем неопознанные пакеты
        mod state state (ESTABLISHED RELATED) ACCEPT; # разрешаем установленные соединения

        # allow local packet
        interface lo ACCEPT;

        # respond to ping
        proto icmp ACCEPT;

        interface $DEV_WAN {

                # allow IPsec
                 proto udp dport 500 ACCEPT;
                 @if @eq($DOMAIN, ip) {
                   proto (esp ah) ACCEPT;
                 } @else {
                   proto (esp) ACCEPT;
                 }

                # allow SSH connections
                proto tcp dport ssh ACCEPT;
                proto tcp dport 1565 ACCEPT;

                # block bogon
                #daddr $NET_BOGON DROP;

        }

        interface $DEV_LAN {

                # allow DNS
                proto udp dport domain ACCEPT;

                # allow DHCP
                proto udp dport bootp ACCEPT;

        }

    }
    chain OUTPUT {
        policy ACCEPT; # Разрешаем весь исходящий трафик

        # connection tracking
        #mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;
    }
    chain FORWARD {
        policy DROP;

        # connection tracking
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;

        # Разрешаем доступ из локалки наружу
        interface $DEV_LAN outerface $DEV_WAN ACCEPT;

        # Разрешаем доступ VPN и обратно
        saddr $NET_LOCAL daddr $NET_BRANCH ACCEPT;
        saddr $NET_BRANCH daddr $NET_LOCAL ACCEPT;
    }
}
}
table nat {
        chain PREROUTING {
                        }
        chain POSTROUTING {
                saddr $NET_LOCAL ! daddr $NET_BRANCH outerface $DEV_WAN MASQUERADE;
                        }
        }

# Включаем логирование 
&LOG_DROP(filter, INPUT);
&LOG_DROP(filter, FORWARD);

# Публикуем порт 8080 для udp и tcp
&FORWARD_PORT((udp tcp), 8080, 10.0.0.11);

# Публикуем WEB сервер
&FORWARD_PORT(tcp, (80 443), 10.0.0.20);

Написано более года назад

Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin, внёс изменения.... пинги без изменений, и на SAMBA-сервер так же не зайти со второй сети

1 сервер:

spoiler

# Generated by iptables-save v1.8.7 on Sat Jul 15 14:04:25 2023
*filter
:INPUT DROP [1:40]
:FORWARD DROP [85:5848]
:OUTPUT DROP [1:136]
:bad_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth2 -p tcp -m tcp --dport 1565 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 10.0.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 9889 -j ACCEPT
-A FORWARD -d 10.0.0.5/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 8448 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1567 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1566 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j bad_packets
-A FORWARD -i eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j bad_packets
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_packets -s 172.16.0.0/12 -i eth2 -j DROP
-A bad_packets -s 192.160.0.0/12 -i eth2 -j DROP
-A bad_packets -s 127.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 0.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 169.254.0.0/16 -i eth2 -j DROP
-A bad_packets -s 192.0.2.0/24 -i eth2 -j DROP
-A bad_packets -s 204.152.64.0/23 -i eth2 -j DROP
-A bad_packets -s 224.0.0.0/3 -i eth2 -j DROP
-A bad_packets -s 240.0.0.0/5 -i eth2 -j DROP
COMMIT
# Completed on Sat Jul 15 14:04:25 2023
# Generated by iptables-save v1.8.7 on Sat Jul 15 14:04:25 2023
*nat
:PREROUTING ACCEPT [272945:21897800]
:INPUT ACCEPT [104781:6000567]
:OUTPUT ACCEPT [47658:3788460]
:POSTROUTING ACCEPT [132954:8007024]
-A PREROUTING -d 5.61.15.44/32 -i eth2 -j ACCEPT
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 6651 -j DNAT --to-destination 10.0.0.2:1566
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 7651 -j DNAT --to-destination 10.0.0.3:1567
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.3:80
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.3:443
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 8448 -j DNAT --to-destination 10.0.0.3:8448
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 10.0.0.5:80
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 9889 -j DNAT --to-destination 10.0.0.4:9889
-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10
-A POSTROUTING -s 10.0.0.0/24 ! -d 20.0.0.0/24 -o eth2 -j MASQUERADE
-A POSTROUTING -d 10.0.0.2/32 -p tcp -m tcp --sport 1566 -j SNAT --to-source 1.1.1.1:6651
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 1567 -j SNAT --to-source 1.1.1.1:6651
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 1.1.1.1:80
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 443 -j SNAT --to-source 1.1.1.1:443
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 8448 -j SNAT --to-source 1.1.1.1:8448
-A POSTROUTING -d 10.0.0.5/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 1.1.1.1:8888
-A POSTROUTING -d 10.0.0.4/32 -p tcp -m tcp --sport 9889 -j SNAT --to-source 1.1.1.1:9889
COMMIT
# Completed on Sat Jul 15 14:04:25 2023

gateway-bm:/etc# ping 10.0.0.12
PING 10.0.0.12 (10.0.0.12) 56(84) bytes of data.

2 сервер:

spoiler

# Generated by iptables-save v1.8.9 (nf_tables) on Sat Jul 15 14:04:21 2023
*filter
:INPUT DROP [1:152]
:FORWARD DROP [128:10752]
:OUTPUT DROP [1:136]
:bad_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 1565 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j bad_packets
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j bad_packets
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_packets -s 172.16.0.0/12 -i eth0 -j DROP
-A bad_packets -s 192.160.0.0/12 -i eth0 -j DROP
-A bad_packets -s 127.0.0.0/8 -i eth0 -j DROP
-A bad_packets -s 0.0.0.0/8 -i eth0 -j DROP
-A bad_packets -s 169.254.0.0/16 -i eth0 -j DROP
-A bad_packets -s 192.0.2.0/24 -i eth0 -j DROP
-A bad_packets -s 204.152.64.0/23 -i eth0 -j DROP
-A bad_packets -s 224.0.0.0/3 -i eth0 -j DROP
-A bad_packets -s 240.0.0.0/5 -i eth0 -j DROP
COMMIT
# Completed on Sat Jul 15 14:04:21 2023
# Generated by iptables-save v1.8.9 (nf_tables) on Sat Jul 15 14:04:21 2023
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 5.61.15.44/32 -i eth0 -j ACCEPT
-A PREROUTING -d 20.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -d 20.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
COMMIT
# Completed on Sat Jul 15 14:04:21 2023

ping 20.0.0.10
PING 20.0.0.10 (20.0.0.10) 56(84) bytes of data.
From 20.0.0.1 icmp_seq=511 Destination Host Unreachable
From 20.0.0.1 icmp_seq=512 Destination Host Unreachable
From 20.0.0.1 icmp_seq=513 Destination Host Unreachable

P.S. По поводу ссылки - пока не оценил, сайт недоступен

Написано более года назад

Valentin Barbolin @dronmaxman

Nicolayka, ничего не изменилось. Где правила маскарада на втором сервере? В выводе iptables-save ничего нет.

Написано более года назад
Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin, Всё сделал, но ничего не поменялось((

1 сервер:

spoiler
# Generated by iptables-save v1.8.7 on Sat Jul 15 15:40:55 2023
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:136]
:bad_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth2 -p tcp -m tcp --dport 1565 -j ACCEPT
-A INPUT -i eth2 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth2 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 10.0.0.4/32 -i eth2 -o eth1 -p tcp -m tcp --dport 9889 -j ACCEPT
-A FORWARD -d 10.0.0.5/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 8448 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 10.0.0.3/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1567 -j ACCEPT
-A FORWARD -d 10.0.0.2/32 -i eth2 -o eth1 -p tcp -m tcp --dport 1566 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j bad_packets
-A FORWARD -i eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j bad_packets
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_packets -s 172.16.0.0/12 -i eth2 -j DROP
-A bad_packets -s 192.160.0.0/12 -i eth2 -j DROP
-A bad_packets -s 127.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 0.0.0.0/8 -i eth2 -j DROP
-A bad_packets -s 169.254.0.0/16 -i eth2 -j DROP
-A bad_packets -s 192.0.2.0/24 -i eth2 -j DROP
-A bad_packets -s 204.152.64.0/23 -i eth2 -j DROP
-A bad_packets -s 224.0.0.0/3 -i eth2 -j DROP
-A bad_packets -s 240.0.0.0/5 -i eth2 -j DROP
COMMIT
# Completed on Sat Jul 15 15:40:55 2023
# Generated by iptables-save v1.8.7 on Sat Jul 15 15:40:55 2023
*nat
:PREROUTING ACCEPT [1856:127192]
:INPUT ACCEPT [657:38053]
:OUTPUT ACCEPT [332:26041]
:POSTROUTING ACCEPT [870:52681]
-A PREROUTING -d 5.61.15.44/32 -i eth2 -j ACCEPT
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -d 10.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 6651 -j DNAT --to-destination 10.0.0.2:1566
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 7651 -j DNAT --to-destination 10.0.0.3:1567
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.3:80
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.3:443
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 8448 -j DNAT --to-destination 10.0.0.3:8448
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 10.0.0.5:80
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp --dport 9889 -j DNAT --to-destination 10.0.0.4:9889
-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10
-A POSTROUTING -s 10.0.0.0/24 ! -d 20.0.0.0/24 -o eth2 -j MASQUERADE
-A POSTROUTING -d 10.0.0.2/32 -p tcp -m tcp --sport 1566 -j SNAT --to-source 1.1.1.1:6651
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 1567 -j SNAT --to-source 1.1.1.1:6651
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 1.1.1.1:80
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 443 -j SNAT --to-source 1.1.1.1:443
-A POSTROUTING -d 10.0.0.3/32 -p tcp -m tcp --sport 8448 -j SNAT --to-source 1.1.1.1:8448
-A POSTROUTING -d 10.0.0.5/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 1.1.1.1:8888
-A POSTROUTING -d 10.0.0.4/32 -p tcp -m tcp --sport 9889 -j SNAT --to-source 1.1.1.1:9889
COMMIT
# Completed on Sat Jul 15 15:40:55 2023

2 сервер:

spoiler
# Generated by iptables-save v1.8.9 (nf_tables) on Sat Jul 15 15:40:52 2023
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:136]
:bad_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 1565 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j bad_packets
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -j bad_packets
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_packets -s 172.16.0.0/12 -i eth0 -j DROP
-A bad_packets -s 192.160.0.0/12 -i eth0 -j DROP
-A bad_packets -s 127.0.0.0/8 -i eth0 -j DROP
-A bad_packets -s 0.0.0.0/8 -i eth0 -j DROP
-A bad_packets -s 169.254.0.0/16 -i eth0 -j DROP
-A bad_packets -s 192.0.2.0/24 -i eth0 -j DROP
-A bad_packets -s 204.152.64.0/23 -i eth0 -j DROP
-A bad_packets -s 224.0.0.0/3 -i eth0 -j DROP
-A bad_packets -s 240.0.0.0/5 -i eth0 -j DROP
COMMIT
# Completed on Sat Jul 15 15:40:52 2023
# Generated by iptables-save v1.8.9 (nf_tables) on Sat Jul 15 15:40:52 2023
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 5.61.15.44/32 -i eth0 -j ACCEPT
-A PREROUTING -d 20.0.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -d 20.0.0.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3130
-A POSTROUTING -s 20.0.0.0/24 ! -d 10.0.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Jul 15 15:40:52 2023

Написано более года назад
Valentin Barbolin @dronmaxman

Nicolayka, что это за странные правила?
-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10
-A PREROUTING -d 5.61.15.44/32 -i eth0 -j ACCEPT

Написано более года назад
Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin, Видимо что-то старое, сейчас удалю. Но они, как я понимаю, точно влиять не могут ....

Написано более года назад
Nicolayka @Nicolayka Автор вопроса

Всё заработало! Вы будете долго смеяться, но я перепутал IP сервера Samba....... ещё раз, ОГРОМНОЕ ВАМ СПАСИБО!!!!

Но осталась 1 проблемка (не очень важная), с компьютеров в сети не пингуются компьютеры в другой сети

Написано более года назад
Nicolayka @Nicolayka Автор вопроса

Valentin Barbolin, Здравствуйте! Сегодня почему-то перестали пинговаться устройства через IPSec. Ничего не менял, даже на сервера не заходил.... Эти правила не менял. Что это может быть?

Написано 05 авг. 2024

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+2 ещё

Простой
"Y: команда не найдена" — в чем может быть дело?
- 1 подписчик
- 12 мар.
- 647 просмотров
4

ответа
Debian

Простой
Возможно ли вывести диалог с выбором да/нет до запуска установщика Debian?
- 2 подписчика
- 07 мар.
- 222 просмотра
1

ответ
OpenVPN

+1 ещё

Простой
Как настроить правило iptables, чтобы конкретный ip шел через локальный прокси?
- 1 подписчик
- 07 мар.
- 108 просмотров
1

ответ
VPN

+2 ещё

Простой
Почему не доходят запросы к ДНС серверу в локальной сети из другой сети?
- 1 подписчик
- 06 мар.
- 248 просмотров
1

ответ
Debian

Простой
Что конкретно изменится, если при установке Debian выбрать пункт «web-сервер»?
- 1 подписчик
- 05 мар.
- 182 просмотра
1

ответ
macOS

+1 ещё

Простой
Как загрузится с установочной флешки Arm Debian на M1?
- 1 подписчик
- 28 февр.
- 103 просмотра
2

ответа
Debian

+1 ещё

Простой
Есть ли какая нибудь бесплатная веб-морда для OpenVPN сервера?
- 2 подписчика
- 26 февр.
- 242 просмотра
1

ответ
Linux

+3 ещё

Средний
А как правильно организовать установку дефолтной Java и _нужной_мне_JavaFX из своего DEB-пакета Linux?
- 1 подписчик
- 23 февр.
- 96 просмотров
1

ответ
Debian

+2 ещё

Простой
Как подключить существующий NFS диск в качестве хранилища к Proxmox backup sever?
- 2 подписчика
- 19 февр.
- 216 просмотров
1

ответ
Ubuntu

+3 ещё

Простой
Как подключать диски в Proxmox?
- 6 подписчиков
- 16 февр.
- 5016 просмотров
3

ответа
Показать ещё Загружается…

Frontend-разработчик (Vanilla JavaScript, full-time)

Dalyoko

от 1 000 до 1 500 $

Программист 1С

ТЕРМОЛЭНД • Москва

До 200 000 ₽

Инженер по голосовой коммутации (инженер CS Core)

Quickly Search • Москва

от 200 000 до 300 000 ₽

Про это не забыл?

net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.ip_no_pmtu_disc = 1

Что с firewall? Покажи iptables-save
Nicolayka, Так нельзя с ipsec

-A POSTROUTING -s 10.0.0.0/24 -d 20.0.0.0/24 -j MASQUERADE

Попробуй так

# это удалить #-A POSTROUTING -s 10.0.0.0/24 -d 20.0.0.0/24 -j MASQUERADE # это поменять на #-A POSTROUTING -s 10.0.0.0/24 -o eth2 -j MASQUERADE # это -A POSTROUTING -s 10.0.0.0/24 ! -d 20.0.0.0/24 -o eth2 -j MASQUERADE И вот это -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p ah -j ACCEPT и forward -I FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT

То же самое с обратной стороны соблюдая симметрию
Valentin Barbolin, Почти всё заработало! Рад БЕЗУМНО!!!!!

Сервера пингуют друг друга: 10.0.0.1 <=> 20.0.0.1
Компьютеры в локалках пингуют противоположные сервера: 10.0.0.10/24 => 20.0.0.1 и 20.0.0.10/24 => 10.0.0.1

Но компьютеры не могут пинговать друг друга, то есть 10.0.0.10/24 <≠> 20.0.0.10/24

Так же ПК из второй локалки (20.0.0.10/24) не могут зайти на SAMBA сервер, расположенный на 10.0.0.1

P.S. Я просто с IPSec никогда не работал...теряюсь((
Nicolayka, давай ещё раз посмотрим на iptables-save, как он выглядит после всех правок.
Nicolayka,
Зачем это?

-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10

Где правила маскарада на сервер 2? Где симетричные правила на сервер 2?

Как ты вообще настраиваешь firewall, используешь какую-то утилиту?
Nicolayka, ничего не изменилось. Где правила маскарада на втором сервере? В выводе iptables-save ничего нет.
Nicolayka, что это за странные правила?
-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10
-A PREROUTING -d 5.61.15.44/32 -i eth0 -j ACCEPT
Valentin Barbolin, Видимо что-то старое, сейчас удалю. Но они, как я понимаю, точно влиять не могут ....
Всё заработало! Вы будете долго смеяться, но я перепутал IP сервера Samba....... ещё раз, ОГРОМНОЕ ВАМ СПАСИБО!!!!

Но осталась 1 проблемка (не очень важная), с компьютеров в сети не пингуются компьютеры в другой сети
Valentin Barbolin, Здравствуйте! Сегодня почему-то перестали пинговаться устройства через IPSec. Ничего не менял, даже на сервера не заходил.... Эти правила не менял. Что это может быть?

Answer 1 · 2023-07-15 16:31:13

Огромное спасибо Valentin Barbolin за неоценимую помощь!!!

-A POSTROUTING -s 10.0.0.0/24 ! -d 20.0.0.0/24 -o eth2 -j MASQUERADE
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-I FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT
-A FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT

и аналогично для второго сервера

-A POSTROUTING -s 20.0.0.0/24 ! -d 10.0.0.0/24 -o eth2 -j MASQUERADE
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-I FORWARD -s 20.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPT

Туннель IPSec работает, но почему я не могу пинговать IP-адреса назначения?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт