Настройка доступа из локальной сети во внешнюю, как правильно настроить NAT?

Question

[dhemming]

Приветствую.
Проблема следующая:
есть debian-сервер. появилось желание поставить на него SQUID. Поставил вторую сетевую карту.
Настроил сетевые интерфейсы(eth0 - смотрит в локальную сеть, eth1 - в Интернет). Вот конфиг /etc/network/interfaces

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

allow-hotplug eth0

auto eth0
  iface eth0 inet static
    address 192.168.1.102
    netmask 255.255.255.0
    #gateway 192.168.1.102

auto eth1
  iface eth1 inet static
    address  xx.xx.xx.xx(статический адрес от провайдера)
    netmask  255.255.252.0
    gateaway xx.xx.xx.xx(шлюз провайдера)
    dns-nameservers xx.xx.xx.xx yy.yy.yy.yy(DNS сервера провайдера)
    hwaddress ether Mac адрес карты

post-up /etc/nat

Вот конфиг для iptables(записан скриптом, чтобы при перезагрузки правила автоматически применялись):

#!/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth1 -o eth0 -j REJECT

Также установлен dnsmasq. Там всё стандартно, менял только 1 параметр listen-address=127.0.0.1, 192.168.1.102
В сети есть DHCP сервер на dd-wrt роутере. Адреса компы получают с него. default gateway на роутере установлен 192.168.1.102(локальный адрес Debian сервера).

Интернета нет. С компьютеров в локальной сети пингуется локальный шлюз провайдера. До DNS провайдера пинг не доходит. Звонил в тех поддержку провайдера, сказали проблема у меня на стороне.
Кто может подсказать в чём дело?

Comments

[Wexter]

зачем вам пережиток прошлого в лице прокси сервера?

[dhemming]

Wexter: Кэширование трафика, настройка доступа к определённым сайтам.

[Karmashkin]

С дебиана в интернет пускает?
Попробовать получить адрес по dhcp на eth1?

[dhemming]

Karmashkin: По dhcp адрес получить не получиться, так как провайдер подключает клиентов по статичным ip.
Вот в том то и проблема, что даже с самого сервера доступа в Интернет нету. ping до локального шлюза провайдера доходит и всё.

[roswell]

Опечатка — gateaway xx.xx.xx.xx(шлюз провайдера) — должно быть gateway .

[15432]

Wexter: чем плох прокси? есть более современная замена? (именно на уровне TCP)

[krosh]

ip a
ip r s
iptables-save

ping IP_DNS_ISP - OK?
ping 8.8.8.8 - OK?
dig ya.ru - OK?

[Валентин]

Никита Денисов: Wexter: Кешироание (по крайней мере веб и в России) в современных реалиях нафиг не нужно, а ограничивать доступ можно и сразу в iptables. Для чего точно нужна прокси - ограничить доступ в сеть логином-паролем, поставить квоты на трафик, логировать доступ к различным ресурсам.

[dhemming]

roswell: Спасибо, исправил. Доступ в Интернет на сервере появился.

[dhemming]

Валентин: Спасибо, учту.

Answer 1

[Валентин]

Ну так-то прокси и нат обычно никак не связаны, более того, их даже вредно связывать. Уберите вообще конфиг iptables из post-up.

Если все же нужен именно nat, тогда разберитесь в iptables, он настраивается не так, скопировать первый попавшийся скрипт из интернета не прокатит. Во-первых, в начале скрипта надо обнулить все цепочки (-F) и явно поставить политики по умолчанию (-P). Во-вторых, для lo разрешают и INPUT, и OUTPUT (а в определенных случаях и FORWARD). В-третьих, ну не работает iptables, ну уберите вы из него лишние reject-accept (две последние свои строки).

Попробуйте в ручную на каком-либо ПК поставить в DNS провайдера или 8.8.8.8 (лучше для проверки). если dnsmasq стоит на этом же сервере, значит надо еще как минимум разрешать доступы в цепочках INPUT, OUTPUT, возможно FILTER

Comments

[dhemming]

Большое спасибо за ответ. Обязательно перепишу скрипт.
А почему вы посоветовали убрать скрипт из Post-up? Куда этот скрипт добавить, чтобы параметры iptables автоматически применялись при перезагрузке?
Что касается необходимости NAT. Сервер же стоит первым в локальной сети, а значит он виден из Интернета. Для того, чтобы запретить излишний доступ кому попало из вне я и настраиваю Iptables. Разве не так?

[Валентин]

Никита Денисов: в iptables можно же просто настроить фильтрацию трафика, нат это как опция. А для автостарта есть функции iptables-save, iptables-restore

[krosh]

netfilter-persistent is a loader for netfilter configuration using a plugin-based architecture.
iptables-save > /etc/iptables/rules.v4

Вы путаете назначение iptables и NAT.
Если будет прокси, то NAT не нужен - все запросы в сеть через прокси. Если надо заблокировать доступ из вне к шлюзу или локалке - iptables, но без NAT.