S
Size: a a a
2020 October 22
MF
да у вас просто правила iptables кривые
Нуда нуда "Ты никто и звать тебя никак"
Маршрут есть, например
# ip r g 188.х.х.х
188.х.х.х via 172.19.0.1 dev bond0.10 src 172.19.0.2 uid 0
cache
iptables
:FORWARD DROP
...
-A FORWARD -m set --match-set accel-ppp-allowed src ! -m set --match-set internal_networks dst -j ACCEPT
-A FORWARD -m set --match-set accel-ppp-allowed dst ! -m set --match-set internal_networks src -j ACCEPT
...
Подсеть соседнего браса входит internal_networks
Маршрут есть, например
# ip r g 188.х.х.х
188.х.х.х via 172.19.0.1 dev bond0.10 src 172.19.0.2 uid 0
cache
iptables
:FORWARD DROP
...
-A FORWARD -m set --match-set accel-ppp-allowed src ! -m set --match-set internal_networks dst -j ACCEPT
-A FORWARD -m set --match-set accel-ppp-allowed dst ! -m set --match-set internal_networks src -j ACCEPT
...
Подсеть соседнего браса входит internal_networks
Ⓜ
proxy_arp включен?
S
Нуда нуда "Ты никто и звать тебя никак"
Маршрут есть, например
# ip r g 188.х.х.х
188.х.х.х via 172.19.0.1 dev bond0.10 src 172.19.0.2 uid 0
cache
iptables
:FORWARD DROP
...
-A FORWARD -m set --match-set accel-ppp-allowed src ! -m set --match-set internal_networks dst -j ACCEPT
-A FORWARD -m set --match-set accel-ppp-allowed dst ! -m set --match-set internal_networks src -j ACCEPT
...
Подсеть соседнего браса входит internal_networks
Маршрут есть, например
# ip r g 188.х.х.х
188.х.х.х via 172.19.0.1 dev bond0.10 src 172.19.0.2 uid 0
cache
iptables
:FORWARD DROP
...
-A FORWARD -m set --match-set accel-ppp-allowed src ! -m set --match-set internal_networks dst -j ACCEPT
-A FORWARD -m set --match-set accel-ppp-allowed dst ! -m set --match-set internal_networks src -j ACCEPT
...
Подсеть соседнего браса входит internal_networks
так NAT есть или нет?
MF
так NAT есть или нет?
Ната нет.
Ⓜ
надо все входные данные, что выдается клиенту1, клиенту2, ходят ли пакеты, если клиенты на одном сервере, полный вывод iptables-save, ipset -L, включен ли proxy_arp
Ⓜ
задача из серии "угадай почему"
MF
accel-ppp-1
10.1.0.0/20
accel-ppp-2
10.2.0.0/20
ipset for accel = allowed
iptables
:FORWARD DROP
-A FORWARD -m set --match-set allowed src -m set --match-set allowed dst -j ACCEPT
-A FORWARD -m set --match-set allowed src ! -m set --match-set internal_networks dst -j ACCEPT
-A FORWARD -m set --match-set allowed dst ! -m set --match-set internal_networks src -j ACCEPT
ipset list
Name: internal_networks
Type: hash:net
Revision: 6
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 600
References: 1
Number of entries: 4
Members:
172.19.0.0/24
172.19.3.0/24
192.168.1.0/24
172.19.2.0/24
10.1.0.0/20
10.2.0.0/20
"ходят ли пакеты, если клиенты на одном сервере"
Да
10.1.0.0/20
accel-ppp-2
10.2.0.0/20
ipset for accel = allowed
iptables
:FORWARD DROP
-A FORWARD -m set --match-set allowed src -m set --match-set allowed dst -j ACCEPT
-A FORWARD -m set --match-set allowed src ! -m set --match-set internal_networks dst -j ACCEPT
-A FORWARD -m set --match-set allowed dst ! -m set --match-set internal_networks src -j ACCEPT
ipset list
Name: internal_networks
Type: hash:net
Revision: 6
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 600
References: 1
Number of entries: 4
Members:
172.19.0.0/24
172.19.3.0/24
192.168.1.0/24
172.19.2.0/24
10.1.0.0/20
10.2.0.0/20
"ходят ли пакеты, если клиенты на одном сервере"
Да
MF
то что вы через forward разрешили это не отменяет того что оно пронатится
Оно не "пронатиться" т.к. абоненты не выходят в аплинк.
S
Оно не "пронатиться" т.к. абоненты не выходят в аплинк.
смотря как написать правила для натирования
MF
Нат у меня простой, только на аплинке
-A POSTROUTING ! -s 46.х.х.х/х -o wan0 -j SNAT --to-source 46.х.х.х-46.х.х.х --persistent
-A POSTROUTING ! -s 46.х.х.х/х -o wan0 -j SNAT --to-source 46.х.х.х-46.х.х.х --persistent