Как правильно построить роуты?

Question

[jajabin]

Имеется сеть 172.16.100.0/24 которой нужно дать доступ в интернет через интерфейс ens19, его адрес 10.0.88.111/24 шлюз 10.0.88.254, я прописал следующее:

default via 10.0.88.254 dev ens19
ip route add 172.16.100.0/24 via 10.0.88.111
iptables -A POSTROUTING -t nat -s 172.16.100.0/24 -o ens19 -j MASQUERADE

Форвардинг включил, но при сниффинге пакетов не видно, интернет с ens19 имеется,в чём может быть проблема ?

Answer 1

[S-trace]

Попробуйте так:

echo > /etc/iproute2/rt_tables 200 ens19
ip rule add from 172.16.100.0/24 lookup ens19
ip route add default via 10.0.88.254 table ens19
iptables -A POSTROUTING -t nat -s 172.16.100.0/24 -o ens19 -j MASQUERADE

echo > /etc/iproute2/rt_tables 200 ens19 - создание новой таблицы роутинга ens19 с приоритетом 200

ip rule add from 172.16.100.0/24 lookup ens19 - создание нового правила роутинга, в котором пакеты от 172.16.100.0/24 роутятся через таблицу ens19

ip route add default via 10.0.88.254 table ens19 - добавление default роута в таблицу ens19

iptables -A POSTROUTING -t nat -s 172.16.100.0/24 -o ens19 -j MASQUERADE - маскарадинг пакетов

По идее это должно сработать.

Answer 2

[Дмитрий]

что в FORWARD ? (iptables -L FORWARD -vnx)

Comments

[jajabin]

в forward очередь которая обрабатывает пакет.

Answer 3

[Alexey Dmitriev]

Вы неправильно прописали.
Сети 172.16.100.0/24 не нужно вообще знать ничего про "интерфейс ens19, его адрес 10.0.88.111/24 шлюз 10.0.88.254"
Для нее шлюзом может быть только адрес из ее же подсети, так что эта запись "ip route add 172.16.100.0/24 via 10.0.88.111" в корне неверная.

Опишите интерфейсы на сервере подробнее.

Comments

[jajabin]

ens19 10.0.88.111 gw 10.0.88.254
veth88 172.30.100.100 gw 172.300.100.254
на veth88 прилеает пакеты из сети узанной выше и менются заголовки на 172.16.100.0/24 и dst любой интернет адрес,их надо перенаправить на ens19, роуты были все работало, пока виртуалка не упала и роуты пропали,а инженер,что их делал уже уволился, и не отвечает)

[Alexey Dmitriev]

Подробнее об этом "на veth88 прилеает пакеты из сети узанной выше и менются заголовки на 172.16.100.0/24".
Как меняются, чем меняются?
Из какой сети, указанной выше?
Где вообще физически сеть 172.16.100.0/24 расположена?

Непонятен ни смысл этого, ни реализация.

[jajabin]

спасибо за помощь, разобрался)