Iptables redirect eth0 to eth1, как проверить работоспособность?

Question

[Kocmoc]

Смысл в следующем:
у меня дома есть комп с eth0 - инет (прямой по dhcp от провайдера) и eth1 - который подключен к роутеру через который я хочу раздавать вафлю, но нет времени настраивать.
Т.к. я только перешёл на линукс (кстати DEBIAN JESSIE), я поставил ещё и на работе на виртуалку его, дабы написать скриптик по настроики сети и просто дома выполнить.
Но есть проблема, мне его надо проверить, уже 2 попытки настроить дома не увенчались успехом (поэтому решил делать так), собственно вопрос:
как настроить роутинг пакетов на eth1 и проверить его, т.е. пакеты будут раздаваться только через eth0->eth1->browser, если например сделать ifconfig eth1 down - то инет отрубится ?
пробовал так:

#принимаем только установленные
iptables -P INPUT DROP
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#тут пытаюсь направить все пакеты на eth1
iptables -tnat -A PREROUTING -i eth0 -j DNAT --to-destination 192.168.10.5

#собственно думаю понятно, что я хотел сделать
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#вот тут есть вопрос: я запрещаю все локальные исходящие пакеты с eth0, но с eth1->eth0 - будет считаться ?
iptables -A OUTPUT -o etho -j DROP

#собственно сам роутинг
iptables -tnat -A POSTROUTING -o eth0 -j MASQUERADE

Comments

[Kocmoc]

кстати при таком OUTPUT, INPUT можно тоже наверное DROP сделать

Answer 1

[Baton34]

Надо превратить комп с дебианом в роутер:

sysctl net.ipv4.ip_forward=1 # Разрешаем шлюзу передавать транзитный трафик
iptables -F FORWARD # На всякий случай очистим цепочку FORWARD
# Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -j ACCEPT
iptables -P FORWARD DROP # Весь остальной транзитный трафик — запрещаем.
iptables -t nat -F POSTROUTING # На всякий случай очистим цепочку POSTROUTING таблицы nat
# Маскарадим весь трафик, идущий через eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Почитай учебник по iptables

#вот тут есть вопрос: я запрещаю все локальные исходящие пакеты с eth0, но с eth1->eth0 - будет считаться ?
iptables -A OUTPUT -o etho -j DROP

Этим правилом отрубишь выход в инет с самого дебиан-роутера, т.к. пакет сначала проходит output а потом уже postrouting. Вот схема наглядная:

Comments

[Kocmoc]

да в том то и дело, я читал уже 1000 статей ....
есть несколько моментов:
1) если я в FORWARD сделаю политику по умолчанию ACCEPT - то любые пакеты будут идти на любой установленный интерфейс ?
2) работа маскарадинга: при входящем пакете из инета(например интерфейс eth0) запоминается его адрес, затем если разрешено то он попадает на все интерфейсы в системе, затем какая нибудь служба (например браузер) отвечает на этот пакет например с eth1, попадая на eth0 - для которого включен маскарадинг, адрес пакета заменяется на исходный (источника из инета) и уже eth0 посылает его дальше в инет, правильно ?
3) маршрут пакета понятен вроде, а обратный марштур такой же (естественно начиная с PREROUTING и далее к OUT)?

ЗЫ исходя из прочитанного и сказанного здесь, я предполагаю, что для работы роутинга из 2х проводных интерфейсов достаточно: iptables -A POSTROUTING -o eth0 -j MASQUERADE - при условии что вся остальная таблица пустая и все политики -P ... ACCEPT ?

[Baton34]

1) не на любой, а на тот которому они предназначены.
2) с интерфейса eth1 приходит пакет отправленный в инет, если форвардинг пакетов разрешён, то он маскарадится и запоминается кто куда послал пакет и отправляется в инет через eth0. Когда из инета приходит ответ, то проверяется кому ответ и если он для клиента за интерфейсом eth1, то отправляется ему. Если первый пакет в соединении придёт из инета, то это получится просто входящий пакет, т.к. его никто не запрашивал из сети за интерфейсом eth1 и он попадёт в цепочку INPUT.
3) на схеме все входящие в твой дебиан пакеты идут сверху, все исходящие уходят снизу (зелёные сетевые карты). На схеме это не физические сетевухи, это просто два направления прохождения пакетов через твой комп - вход/выход.

зы: да, только iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
и если net.ipv4.ip_forward=1

[Kocmoc]

Спасибо, хотел несколько уточнить:
по 2 п/п - если первый пакет из инета - т.е. для того что бы инициировать соединение из инета на eth1, мне нужно явно руками прописать: для такого то адреса источника (либо для всех), пакеты переправлять на eth1 в PREROUTING'е ?
3 п/п - да это понятно, что входы/выходы, просто сколько читал не было явно понятно, и мне уже началось казаться, что через INPUT - все входящие пакеты проходят из инета на комп, а через OUTPUT - все исходящие из компа в инет (сорри, запутанно получилось), т.е. в принципе железно: входящие пакет - пофиг откуда и на какой интерфейс, через INPUT, исходящий - пофиг куда и с какого интерфейса, через OUTPUT ?

[Baton34]

Koc: по п 2 - пакет приходит на какой-то конкретный ip(назначенный интерфейсу eth0), на какой ip будешь отправлять пакет если у тебя в локалке несколько клиентов? Что-то я как-то смысл твоих действий не пойму. Роутер для того и нужен, чтобы разделить сети и кто попало по локалке не шарился и не сканил клиентов на уязвимости и т.п. Если же тебе нужно выставить в инет, например, веб-страничку расположенную на компе в локалке, то делается это через проброс портов.
по п 3 - входящий пакет всегда проходит через Prerouting, потом в зависимости от адреса назначения (маршрутизации) идёт либо в Input либо в Forward (см. схему).

[Kocmoc]

ок, спасибо за разъяснения! :)

Answer 2

[Антон Нагаец]

iptables -tnat
не сработает т.к. -t nat будет валидным.

#собственно думаю понятно, что я хотел сделать
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

вы дропнули весь форвардинг трафика. После первого правила последующие не сработают.

#принимаем только установленные
iptables -P INPUT DROP

Вы перезагрузили компьютер. Установленных соединений пока нет. как будете подключатся ?

Comments

[MamOn]

Вообще-то такая запись (-tnat) допускается в getopt, которым наверняка пользуется iptables, если короткий параметр требует значение, то разделитель можно опускать.

Answer 3

[Kocmoc]

вы дропнули весь форвардинг трафика. После первого правила последующие не сработают.

как я дропнул:
iptables -P FORWARD DROP - это политика по умолчанию
и к ней добавил 2 разрешающих правила
про

не сработает т.к. -t nat будет валидным.

честно не понял -t nat и -tnat - одно и тоже

Вы перезагрузили компьютер. Установленных соединений пока нет. как будете подключатся ?

установленные соединения появятся по моей инициативе, когда я выдам запрос на соединение, а не мне...

Comments

[Kocmoc]

щас спецом проверил, если убрать: iptables -A OUTPUT -o etho -j DROP - то всё работает в штатном режиме т.е. инет на eth0

Answer 4

[Mystray]

Не очень понятно что вы хотите сделать. Что за адрес в дНАТ, какие адреса на интерйфейсах?

#собственно думаю понятно, что я хотел сделать

Не очень. Сначала вы запретили форвард, потом разрешили его же. У вас там больше двух адаптеров?

Если вам надо сделать простой примитивный НАТ, как на обычных роутерах, то это делается абсолютно иначе, без dnat, зато с snat/masquerade.
iptables -t nat -A POSTROUTING -o <интерфейс в сторону интернета> -j MASQUERADE
iptables -P FORWARD ACCEPT
sysctl -w net.ipv4.ip_forward=1

Этого, как правило, достаточно, если не накосячили в других местах.

Comments

[Kocmoc]

Во общем смотрите:
по поводу дНАТ - это адрес eth1(локалки) - на нём я прописал статику в interfaces :
iface eth1 inet static
address 192.168.10.5

eth0 - инет по DHCP, т.е. iface eth0 inet dhcp
по поводу форварда, ну не придирайтесь, изначально пытаюсь делать нормально (на будущее) :), так как Вы показали:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD ACCEPT
пробовал не завелось,
а тут я хочу сделать проверку моей настройки, т.е. у меня на машине eth0 и eth1, я хочу пустить инет с eth0 (причём запретить всем приложухам его использовать) на eth1 - с которого на эту же машину буду раздавать инет ...как то так )

[Kocmoc]

аа и на засыпку, почему не работает прокси из файла, когда я экспорчу из консоли: export HTTP_PROXY=.... - то всё ок, но когда это же самое написал в скрипте:
#!/bin/bash
export HTTP_PROXY=....
то броузер отказывается работать напрочь ((...
и ещё где нужно прописывать скрипт если я хочу после поднятия инет експортить проксю в /etc/network/if-up.d/ ?

[Юрий Чудновский]

kocmoc941: export HTTP_PROXY=....
- никогда больше так не делайте. Следует делать так:
HTTP_PROXY=....
export HTTP_PROXY

[Юрий Чудновский]

kocmoc941: "...где нужно прописывать скрипт если я хочу после поднятия инет..."
Да где угодно - вы указываете скрипт в параметре post-up

[Kocmoc]

хаха, с прокси всё прокатило сразу когда сделал как вы сказали :)
спасибо!