Как правильно настроить iptables?

Question

[Ivan Zhuravlev]

И снова здравствуйте. Недавно я задавал вопрос по поводу настройки режима моста на Raspberry Pi. Точного ответа я не получил, однако fara_ib навел меня на принципиально отличающийся вариант решения возникшей проблемы.

Суть проблемы

Имеем:
1. Raspberry Pi Zero W с Raspbian Buster Lite последней версии;
2. LTE USB-модем Huawei E3372h с расширенным веб-интерфейсом;
3. Сим-карту с белым ip-адресом (именно с белым, из Интернета пингуется спокойно)
4. Веб-приложение, написанное на Flask. В качестве сервера используется связка NginX+Gunicorn. Все это хозяйство развернуто на Raspberry Pi.

Требуется:
Настроить малину таким образом, чтобы она раздавала Wi-Fi, при этом при подключении к нему был доступ к веб-приложению. Доступ к веб-приложению также нужен из сети по ip-адресу сим-карты.

Итак, в соответствии с полученным советом, я отключил DHCP сервер на модеме Huawei, оставил на нем статический ip-адрес 192.168.8.1 и провел настройку в соответствии с официальным мануалом (вариант с NAT):

• /etc/dhcpcd.conf выглядит так (напомню, что модем Huawei системой определяется как интерфейс eth0):
  

  interface wlan0
      static ip_address=192.168.8.3/24
      nohook wpa_supplicant
  interface eth0
      static ip_address=192.168.8.2
      static_routers=192.168.8.1
      static domain_name_servers=192.168.8.1

  
  
• /etc/dnsmasq.conf выглядит так:
  

  interface=wlan0
  dhcp-range=192.168.8.4,192.168.8.20,255.255.255.0,24h

  
  
• /etc/hostapd/hostapd.conf На нем не буду подробно останавливаться т.к. настройка идентична той, что приведена в мануале (за исключением SSID и пароля).
  
  
• iptables Вот тут самое интересное. Для начала я пытался повторить то, что предлагается сделать в официальном мануале, а как только добьюсь хотя бы этого, пробовать все остальное. Поэтому я включил net.ipv4.ip_forward=1 в /etc/sysctl.conf и сделал настройку:

  sudo iptables -t nat -A  POSTROUTING -o eth0 -j MASQUERADE

  Правда способ автозагрузки настроек iptables выбрал не тот, что предлагается в мануале: В /etc/network/if-up.d/ создал скрипт iptables-rules, куда поместил текущие настройки iptables следующим образом:

  iptables-save >> /etc/network/if-up.d/iptables-rules

  В начало скрипта поместил #!/sbin/iptables-restore и сделал его исполняемым. Таким образом при старте системы настройки iptables берутся из данного файла. Вывод команды iptables-save выдает то, что нужно.
  
  

По итогу при подключении к точке доступа компьютер получает ip-адрес из заданного в dhcp-range диапазона, но при этом не пингуется даже интерфейс wlan0 (192.168.8.3), я уж не говорю об ip-адресе модема Huawei. При этом счетчики iptables показывают, что через созданные цепочки пакеты идут, но по какой-то причине не доходят. Уже второй день бьюсь с этой проблемой, но ничего не получается. Что я делаю не так? Что может отбрасывать пакеты? Буду благодарен за любую помощь!

Answer 1

[fara_ib]

sudo iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
ну и сохранить

Comments

[Ivan Zhuravlev]

К сожалению, не помогло. Возможно дело не в iptables? Заметил еще одну странность. При попытке пинга с Raspberry подключенного к точке доступа компьютера пинг тоже не идет (Destination Host Unreachable). При этом пинговать пытается с ip, назначенного для интереса eth0: 192.168.8.2

[fara_ib]

А правила по умолчанию установлены? iptables -L
кроме тех правил что уже есть, добавить еще разрешить все по умолчанию:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Может быть навернуть прям сверху малины вот это https://raspap.com/ может и заработает.

[Ivan Zhuravlev]

fara_ib, Вывод iptables -L -v:

Chain INPUT (policy ACCEPT 17 packets, 4034 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4  1180 ACCEPT     all  --  lo     any     anywhere             anywhere            

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  eth0   wlan0   anywhere             anywhere             state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  wlan0  eth0    anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 21 packets, 3282 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4  1180 ACCEPT     all  --  any    lo      anywhere             anywhere

Вывод iptables-save:

# Generated by xtables-save v1.8.2 on Sun Mar 29 10:20:23 2020
*filter
:INPUT ACCEPT [17:4034]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [21:3282]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o eth0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Sun Mar 29 10:20:23 2020
# Generated by xtables-save v1.8.2 on Sun Mar 29 10:20:23 2020
*nat
:PREROUTING ACCEPT [56:26225]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [3:346]
:OUTPUT ACCEPT [10:987]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Mar 29 10:20:23 2020
# Generated by xtables-save v1.8.2 on Sun Mar 29 10:20:23 2020
*mangle
:PREROUTING ACCEPT [77:31439]
:INPUT ACCEPT [21:5214]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [25:4462]
:POSTROUTING ACCEPT [37:7222]
COMMIT
# Completed on Sun Mar 29 10:20:23 2020

За web-gui спасибо, попробую. Да и за все спасибо

[Ivan Zhuravlev]

fara_ib, еще раз огромное спасибо. Через web-gui все получилось! Причем сразу с дефолтными настройками. Веб-приложение теперь доступно и через точку доступа и через белый ip-адрес сим-карты. Я так и не понял, что я делал не так, пытаясь настроить все сам, но тем не менее задача решена. Спасибо за содействие!