Отношений между вланами пост.
Есть Centos6 как шлюз. В него по eth0 входит инет. На eth1 подняты три vlan — vlan10 (192.168.10.0/24), vlan11(11.0), vlan12(12.0). Используется snat, так как ип статические. Форвардинг включен. SELinux отключен. Домена нет. Инет на компах есть, дхцп раздает исправно, днс внутренний работает. Но не ходит трафик между подсетями между рабочими станциями. Странно, что сетевой принтер, стоящий в 11й подсети на запросы из 12й спокойно отвечает.
[[email protected] ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.12.0 192.168.12.1 255.255.255.0 UG 0 0 0 vlan12
192.168.11.0 192.168.11.1 255.255.255.0 UG 0 0 0 vlan11
192.168.10.0 192.168.10.1 255.255.255.0 UG 0 0 0 vlan10
0.0.0.0 WAN_IP 0.0.0.0 UG 0 0 0 eth0
*filter
:INPUT ACCEPT [343:21595]
:FORWARD ACCEPT [4917:2076981]
:OUTPUT ACCEPT [1893:131410] -A INPUT -i lo -j ACCEPT -A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m state —state NEW -m tcp —dport 22 -j ACCEPT -A FORWARD -m state —state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [8748:709831]
:POSTROUTING ACCEPT [1328:146809]
:OUTPUT ACCEPT [632:49005] -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT —to-source WAN_IP -A POSTROUTING -s 192.168.11.0/24 -o eth0 -j SNAT —to-source WAN_IP -A POSTROUTING -s 192.168.12.0/24 -o eth0 -j SNAT —to-source WAN_IP -A POSTROUTING -s 192.168.12.0/24 -o vlan12 -j SNAT —to-source 192.168.12.96 — тупой LTE роутер на случай падения основного канала -A POSTROUTING -s 192.168.10.0/24 -o vlan12 -j SNAT —to-source 192.168.12.96 -A POSTROUTING -s 192.168.11.0/24 -o vlan12 -j SNAT —to-source 192.168.12.96
COMMIT
В чем может быть дело? Не могу понять 🙁 Помогите разобраться, пожалуйста.
черт, съехала разметка 🙁
*filter
:INPUT ACCEPT [343:21595]
:FORWARD ACCEPT [4917:2076981]
:OUTPUT ACCEPT [1893:131410]
–A INPUT –i lo –j ACCEPT
–A INPUT –m state ––state RELATED,ESTABLISHED –j ACCEPT
–A INPUT –p tcp –m state ––state NEW –m tcp ––dport 22 –j ACCEPT
–A FORWARD –m state ––state NEW,RELATED,ESTABLISHED –j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [8748:709831]
:POSTROUTING ACCEPT [1328:146809]
:OUTPUT ACCEPT [632:49005]
–A POSTROUTING –s 192.168.10.0/24 –o eth0 –j SNAT ––to–source WAN_IP
–A POSTROUTING –s 192.168.11.0/24 –o eth0 –j SNAT ––to–source WAN_IP
–A POSTROUTING –s 192.168.12.0/24 –o eth0 –j SNAT ––to–source WAN_IP
–A POSTROUTING –s 192.168.12.0/24 –o vlan12 –j SNAT ––to–source 192.168.12.96 — тупой LTE роутер на случай падения основного канала
–A POSTROUTING –s 192.168.10.0/24 –o vlan12 –j SNAT ––to–source 192.168.12.96
–A POSTROUTING –s 192.168.11.0/24 –o vlan12 –j SNAT ––to–source 192.168.12.96
COMMIT
зачем последние три правила?
Stephan-V: когда падает основной провайдер, скрипт переключает на шлюзе основной маршрут на 12.96 — там роутер. Соответственно, меняется интерфейс и основной нат перестает работать.
так, вот допустим щас произошла такая ситуация. дефолт роут на сервере переключился на 192.168.12.96. я сижу в 11ой сети, отправляю пакет в инторнет. он попадает под последнее правило. зачем тут снат на 12.96 внутренний адрес другого роутера? или это внутренний адрес линуксовой машины в 12ой сети?
в vlan12 весь трафик будет натится, так и задумано?
натиться само собой
причём, походу, на чужой ип
Stephan-V: не машина, просто роутер. Но суть верная, внутренний адрес его — это 12.96, внешний — уже динамика.
ip addr list еще покажи
удали 3 нижних правила и проверь
короче эту хуету нужно убрать, а на LTE-роутере прописать маршрут к префиксам 192.168.10.0/24 и 192.168.11.0/24 через адрес линуксового сервера в 12ой сети. либо если он так не умеет, то сделать SNAT на адрес линуксового сервера в 12ой сети для всего трафика от внутренних сетей, который выходит в 12ый влан и адресован НЕ сети 192.168.12.0/24. первый вариант грамотнее
Stephan-V: опередил ))
вообще должно выглядеть примерно так:
–A POSTROUTING –s 192.168.0.0/16 -d 192.168.12.0/16 –j ACCEPT
–A POSTROUTING –s 192.168.12.0/24 –o vlan12 –j SNAT ––to–source 192.168.12.1
–A POSTROUTING –s 192.168.10.0/24 –o vlan12 –j SNAT ––to–source 192.168.12.1
–A POSTROUTING –s 192.168.11.0/24 –o vlan12 –j SNAT ––to–source 192.168.12.1
А еще лучше на тупом LTE роутере прописать маршрут на 192.168.0.0/16 через 192.168.12.1 и эти правила нахер снести
все по-прежнему
тогда tcpdump тебе в помощь
я бы начал с traceroute
Stephan-V: роутер не умеет, мда. ок, спасибо завтра тогда сделаю
Stephan-V: да что там, приходит на основной шлюз 12.1, дальше тишина
[[email protected] ~]# ip addr list
1: lo: mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc mq state UP qlen 1000
link/ether 00:1b:78:07:38:da brd ff:ff:ff:ff:ff:ff
inet WAN_IP/29 brd WAN_IP7 scope global eth0
inet6 fe80::21b:78ff:fe07:38da/64 scope link
valid_lft forever preferred_lft forever
3: eth1: mtu 1500 qdisc mq state UP qlen 1000
link/ether 00:1b:78:07:38:db brd ff:ff:ff:ff:ff:ff
inet6 fe80::21b:78ff:fe07:38db/64 scope link
valid_lft forever preferred_lft forever
41: [email protected]: mtu 1500 qdisc noqueue state UP
link/ether 00:1b:78:07:38:db brd ff:ff:ff:ff:ff:ff
inet 192.168.10.1/24 brd 192.168.10.254 scope global vlan10
inet6 fe80::21b:78ff:fe07:38db/64 scope link
valid_lft forever preferred_lft forever
42: [email protected]: mtu 1500 qdisc noqueue state UP
link/ether 00:1b:78:07:38:db brd ff:ff:ff:ff:ff:ff
inet 192.168.11.1/24 brd 192.168.11.254 scope global vlan11
inet6 fe80::21b:78ff:fe07:38db/64 scope link
valid_lft forever preferred_lft forever
43: [email protected]: mtu 1500 qdisc noqueue state UP
link/ether 00:1b:78:07:38:db brd ff:ff:ff:ff:ff:ff
inet 192.168.12.1/24 brd 192.168.12.254 scope global vlan12
inet6 fe80::21b:78ff:fe07:38db/64 scope link
valid_lft forever preferred_lft forever
какие адреса, маски и маршруты на клиентах?
и приложи ещё сейчас вывод iptables -L FORWARD -n -v ; iptables -L POSTROUTING -t nat -n -v
Stephan-V: винда
192.168.12.21 255.255.255.0 192.168.12.1
0.0.0.0 0.0.0.0 192.168.12.1 192.168.12.21 20
ну и то же самое для машины в 11й подсети
Stephan-V: [[email protected] ~]# iptables -L FORWARD -n -v
Chain FORWARD (policy ACCEPT 86 packets, 3476 bytes)
pkts bytes target prot opt in out source destination
700K 364M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
[[email protected] ~]# iptables -L POSTROUTING -t nat -n -v
Chain POSTROUTING (policy ACCEPT 5909 packets, 628K bytes)
pkts bytes target prot opt in out source destination
4 276 SNAT all — * eth0 192.168.10.0/24 0.0.0.0/0 to:WAN_IP
3506 188K SNAT all — * eth0 192.168.11.0/24 0.0.0.0/0 to:WAN_IP
3359 250K SNAT all — * eth0 192.168.12.0/24 0.0.0.0/0 to:WAN_IP
пришло время охуительных тисипидампов
а ларчик просто открывался — фаервол на машине 11й подсети резал ответные пинги. Но спасибо большое за советы со вторым натом.