[megoldva]iptables pronléma

 ( tovis | 2013. május 7., kedd - 16:37 )

Van egy kis vállalati hálózat. Két szegmens 192.168.1.x és 192.168.2.x. A 2-es kapcsolódik egy kis kábeles routerre TP-LINK és ki az internetre, az 1-es alapvetően nem kapcsolódik az internetre. A két szegmens között van egy kis Debian szerverke (samba, MySQL, Apache2, Exim4 és Squirrelmail - szóval semmi extra) benne két hálókártya, a két szegmensre, egy-egy. Persze ahogy ez lenni szokott mégis kellett néhány gépnek a belső 1-es hálózatból internetet biztosítani. Jó :(
Írtam egy kis scritet, amivel aktiváltam az iptablest és a forwardot, valahogy így:

echo 1 > /proc/sys/net/ipv4/ip_forward
#
iptables -AFORWARD -i eth1 --match mac --macsource xx:xx:xx:xx:xx:xx -o eth0 -j ACCEPT
# ... minden munkaállomás kap egy ilyen bejegyzést ...
iptables -A FORWARD -i eth1 -o eth0 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 192.168.2.250

Ahol a "250" végű címek mindenütt a szerverke IP címe.
Az eth0 a 2-es szegmens és az eth1 az 1 szegmens.
Sok éve jól működik és kibírta a Lenny migrálást is - most épp Squeeze.
Na persze a dolgok elfajulásának nincs korlátja - távoli hozzáférés is kellet (leginkább nekem) az egyik "belső" belső windows géphez, ez született:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 15900 -j DNAT --to-destination 192.168.1.80:5900
iptables -A INPUT -p tcp --sport 15900 -d 192.168.2.250 - j ACCEPT

A portszámból gondolom rájöttetek, ez a tightvnc default -ja. A routeren is be lett a port állítva (a 15900 -as) - ez is évek óta működik.
Megint változnak a szelek kell még egy távoli hozzáférés ... nem probléma ott a minta lemásoljuk és ... nem működik :[
Nem tudok rájönni miért. Ami a gyanús, hogy most belenéztem az iptables -L -vn kimenetébe és ezt tapasztalom:

chain INPUT (policy ACCEPT 17637 packets, 11M bytes)
  pkts  bytes  target  port opt in   out source     destination
     0      0  ACCEPT  tcp  --   *   *   0.0.0.0/0  192.168.2.250  tcp spt:15900
     0      0  ACCEPT  tcp  --   *   *   0.0.0.0/0  192.168.2.250  tcp spt:15910

Chain FORWARD (policy ACCEPT 28528, 26 M bytes)
  pkts  bytes  target  port opt in   out  source     destination
  4516   752K  ACCEPT  all  --  eth1 eth0 0.0.0.0/0  0.0.0.0/0  MAC xx:xx:xx:xx:xx:xx

Az OUTPUT chain üres.
A MAC címes soroknál értem hogy nincs IP, de az INPUT láncban megadtam az IP címet. Most mi van?
Van valami ötlet miért nem működik ez egy második gépnél?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Csak egy egész kicsit vagyok lökött :(
A másik gépnek szintén engedélyezem kell a csomagjait, MAC alapján.

* Én egy indián vagyok. Minden indián hazudik.