Как настроить iptables?

Question

[Silicoid1]

Привет всем. Досталась в наследство небольшая локальная сеть . Интернет раздается через шлюз на Ubuntu 14.04, на котором настроены правила iptables. на eth0 настроен адрес провайдера, eth1 присвоен адрес 10.10.100.1. С существующих локальных машин есть выход в интернет, пинги идут локально и наружу. При добавлении новой машины прописал 2 правила: -A POSTROUTING -s 10.10.100.4/32 -o eth0 -j MASQUERADE (для доступа в интернет для новой машины) и -A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 13389 -j DNAT --to-destination 10.10.100.4:3389 (для доступа по rdp на нее снаружи). Однако на новой машине пинги не идут ни на шлюз, ни наружу, ни на соседние машины в локальной сети.

iptables-save

# Generated by iptables-save v1.4.21 on Fri Jun 16 20:59:56 2017
*filter
:INPUT ACCEPT [4617448:1662717438]
:FORWARD ACCEPT [6121919:2558398224]
:OUTPUT ACCEPT [4659181:2104331383]
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -s 192.168.150.65/32 -j DROP
-A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
COMMIT
# Completed on Fri Jun 16 20:59:57 2017
# Generated by iptables-save v1.4.21 on Fri Jun 16 20:59:57 2017
*nat
:PREROUTING ACCEPT [846991:67774197]
:INPUT ACCEPT [432107:28698889]
:OUTPUT ACCEPT [269701:20255125]
:POSTROUTING ACCEPT [273767:20467766]
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 13389 -j DNAT --to-destination 10.10.100.4:3389
-A POSTROUTING -s 10.10.100.18/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.16/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.20/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.19/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.17/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.21/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.22/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.23/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.24/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.23/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.23/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.23/32 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.100.4/32 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 16 20:59:57 2017
# Generated by iptables-save v1.4.21 on Fri Jun 16 20:59:57 2017
*mangle
:PREROUTING ACCEPT [11648210:4662961674]
:INPUT ACCEPT [5052321:2018042968]
:FORWARD ACCEPT [6194944:2607662196]
:OUTPUT ACCEPT [4782622:2134922381]
:POSTROUTING ACCEPT [10977566:4742584577]
COMMIT
# Completed on Fri Jun 16 20:59:57 2017

ifconfig шлюза

eth0      Link encap:Ethernet  HWaddr 00:15:5d:fb:24:7c
          inet addr:xxx.xxx.xxx.113  Bcast:xxx.xxx.xxx.127  Mask:255.255.255.128
          inet6 addr: fe80::215:5dff:fefb:247c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7514601 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4573890 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1907793992 (1.9 GB)  TX bytes:2300417701 (2.3 GB)

eth1      Link encap:Ethernet  HWaddr 00:15:5d:fb:24:7d
          inet addr:10.10.100.1  Bcast:10.10.100.255  Mask:255.255.255.0
          inet6 addr: fe80::215:5dff:fefb:247d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6532392 errors:0 dropped:143 overruns:0 frame:0
          TX packets:6453306 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3075088951 (3.0 GB)  TX bytes:2605825705 (2.6 GB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ipconfig нового сервера

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
   Физический адрес. . . . . . . . . : 00-15-5D-0B-0F-1A
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 10.10.100.4(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 10.10.100.1
   DNS-серверы. . . . . . . . . . . : 8.8.8.8
                                       8.8.4.4
   NetBios через TCP/IP. . . . . . . . : Включен

Answer 1

[Дмитрий]

Разбирайтесь с сетевой частью. Судя по описанию сетевого адаптера у вас виртуальная машина на хосту hyper-v. Проверьте в тот ли виртуальный свич включён. Правильный ли vlan указан, если есть.

Answer 2

[Валентин]

Дело не в iptables, а в самом подключении к сети новой машины. У вас нет drop-правил, все до iptables пакеты просто не доходят. Добивайтесь пинга шлюза, для верности можете в нерабочее время в целях эксперимента вообще отключить iptables.

Answer 3

[Silicoid1]

Спасибо за ответы. Новый сервер подключен к тому же виртуальному коммутатору что и существующие машины. Решил сделать tcpdump на шлюзе и новом сервере. Оказалось что на шлюз приходят широковещательные ARP запросы с нового сервера, но в ARP таблице шлюза напротив адреса нового сервера указано incomplete.
На новом сервере соответственно arp таблица пуста, нет ни одной записи. После добавления записи вручную, пинги все равно не идут, но уже без всяких сообщений Destination Host Unreachable. Не могу понять куда смотреть дальше.