Никакой клиентский доступ в Интернет при устанавливании этих iptables правил
Я прочитал много других сообщений, но не могу понять это.
eth0 является моим внешним, подключенным к модему Comcast. Сервер имеет доступ в Интернет без проблем.
eth1 является внутренний и рабочий DHCP для клиентов. У меня есть работающий просто великолепно DHCP, все мои клиенты могут получить IP и проверить с помощью ping-запросов сервер, но они не могут получить доступ к Интернету.
Я использую СЕРВЕР DHCP ISC и установил/etc/default/isc-dhcp-server для ВЗАИМОДЕЙСТВИЯ ЧЕРЕЗ ИНТЕРФЕЙС = "eht1"
Вот мой dhcpd.conf файл, расположенный в/etc/dhcp/dhcpd.conf
ddns-update-style interim;
ignore client-updates;
subnet 10.0.10.0 netmask 255.255.255.0 {
range 10.0.10.10 10.0.10.200;
option routers 10.0.10.2;
option subnet-mask 255.255.255.0;
option domain-name-servers 208.67.222.222, 208.67.220.220; #OpenDNS
# option domain-name "example.com";
default-lease-time 21600;
max-lease-time 43200;
authoritative;
}
Я сделал *сеть ipv4.ip_forward=1* изменение в/etc/sysctl.conf
вот мой файл интерфейсов:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
iface eth1 inet static
address 10.0.10.2
netmask 255.255.255.0
network 10.0.10.0
auto eth1
И наконец - вот мой iptables.conf файл:
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.0.10.0/24 -o eth0 -j MASQUERADE
#-A PREROUTING -i eth0 -p tcp --dport 59668 -j DNAT --to-destination 10.0.10.2:59668
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A FORWARD -s 10.0.10.0/24 -o eth0 -j ACCEPT
-A FORWARD -d 10.0.10.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
#-A FORWARD -i eth0 -m state --state NEW -m tcp -p tcp -d 10.0.10.2 --dport 59668 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Я полностью застреваю. Я не могу выяснить, почему клиенты не могут получить доступ к Интернету. Я пропускаю сервис? Разве услуга не работает? Любая справка значительно ценилась бы. Я пытался быть максимально полным, но сообщите мне, пропустил ли я что-то.Спасибо!
1 ответ
Проблема находится в моем iptables, хотя я не уверен где. Полная победа зафиксировала данный, чтобы быть моим джентльмен на форумах человечности.
iptables --flush
iptables --table nat --flush
iptables --delete-chain
#
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
Я надеюсь, что это помогает другим! Я теперь должен добавить каждое правило один за другим снова. Спасибо всем за справку.
Кроме того, необходимо сохранить iptables с iptables-сохранением>/somewhere/iptables.conf (или некоторое имя файла) и затем добавлять пред iptables-восстановление </somewhere/iptables.conf (или безотносительно) под eth0 в/etc/network/interfaces.
Это удостоверится, что список правила загружается, прежде чем nic активен. Удостоверьтесь, что повторно сохранили при внесении изменений в iptables.