Используя Ubuntu 14.04 как маршрутизатор с iptables, клиенты не могут пойти онлайн. Вероятно, проблема DNS, iptables необходимая [закрытая] установка
ИСПРАВЛЕНИЕ 3: РЕШЕННЫЙ! Я должен был добавить официальный сервер DNS VLAN своего departement как DNS клиентам.
Я прочитал большое количество сообщений о проблемах iptables при использовании Linux в качестве маршрутизатора, но ни один не мог помочь мне со следующим:
Я настраиваю много студенческих рабочих станций в нашем университетском отделе, где мы ограничили IP в VLAN. Рабочие станции должны общаться друг с другом и пойти онлайн. Они явно не должны быть достижимыми из Интернета. Вместо того, чтобы дать каждой рабочей станции один из редкого IP в университете VLAN я хочу использовать следующую установку:
У нас есть сервер, который выполняет сервер Ubuntu 14.04 с 4 портами Ethernet (я использую 2 для этой установки).
1-й порт является em1 и включается в L2-переключатель вместе со всеми рабочими станциями.
2-й порт является em2 и включается в университет VLAN.
Сначала проблема, затем моя установка:
- Я могу достигнуть сервера через ssh по сети, я могу проверить с помощью ping-запросов 8.8.8.8, www.example.com и другой 192.168.99.x клиенты в LAN от него, таким образом, для которого все хорошо работает.
- Клиенты могут проверить с помощью ping-запросов друг друга, также 8.8.8.8, но не www.example.com. Именно поэтому я думаю, что мне нужна другая iptable установка для DNS. То же в любом браузере, я не могу разрешить внешние веб-сайты. В клиентах окон, выставочном соединении Параметров сети с Интернетом, в клиентах Linux, вещи как wget и склонный - получают работу установки. Я попытался вручную установить серверы Google DNS 8.8.8.8 и 8.8.4.4 для клиентов, но напрасно, даже при том, что они могут проверить с помощью ping-запросов их. (Решение состояло в том, чтобы использовать официальный DNS от VLAN),
ИСПРАВЛЕНИЕ: материал wget/apt-get, кажется, работает только иногда.
ИСПРАВЛЕНИЕ 2: у Меня была опечатка в по крайней мере одной из записей DNS для одного клиента, я попробую остальных завтра и затем отмечу это, как закрыто.
Настройки и т.д.:
Я активировал передачу в ядре путем некомментария net.ipv4.ip_forward=1 в /etc/sysctl.conf.
Мой /etc/network/interfaces записи для 2 портов Ethernet похожи на это:
auto em2
iface em2 inet static
address x.x.x.x
netmask x.x.x.x
network x.x.x.x
gateway x.x.x.x
dns-nameservers x.x.x.x x.x.x.x
dns-search x.example.com
pre-up iptables-restore < /etc/network/iptables.up.rules
post-down iptables-save > /etc/network/iptables.up.rules
auto em1
iface em1 inet static
address 192.168.99.252
netmask 255.255.255.128
pre-up iptables-restore < /etc/network/iptables.up.rules
post-down iptables-save > /etc/network/iptables.up.rules
(em2 параметры редактируются по причинам конфиденциальности, но я не думаю, что они играют роль здесь. Обратите внимание, что у нас есть два внутренних сервера DNS, это могло бы играть роль в проблеме?)
У меня также есть установка iptables с sudo iptables -t nat -A POSTROUTING -o em2 -j MASQUERADE так sudo iptables -t nat -L дает мне:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere
(что вторая запись, должно быть, произошла случайно, но не должна касаться, правильно?)
У всех клиентов есть статический IP со следующими настройками:
- IP: 192.168.99.22 или подобный
- Подсетевая маска: 255.255.255.128
- Шлюз: 192.168.99.252
Решение состояло в том, чтобы добавить официальную запись DNS от VLAN моего departement до клиентов записи DNS. Маршрутизатор не был настроен, чтобы использоваться в качестве DNS на своем собственном и не перенаправил запросы DNS к внешнему DNS. Таким образом для каждого клиента: - DNS: Официальный VLAN DNS внешней сети