[megoldva]iptables pronléma

Debian GNU/Linux

Van egy kis vállalati hálózat. Két szegmens 192.168.1.x és 192.168.2.x. A 2-es kapcsolódik egy kis kábeles routerre TP-LINK és ki az internetre, az 1-es alapvetően nem kapcsolódik az internetre. A két szegmens között van egy kis Debian szerverke (samba, MySQL, Apache2, Exim4 és Squirrelmail - szóval semmi extra) benne két hálókártya, a két szegmensre, egy-egy. Persze ahogy ez lenni szokott mégis kellett néhány gépnek a belső 1-es hálózatból internetet biztosítani. Jó :(
Írtam egy kis scritet, amivel aktiváltam az iptablest és a forwardot, valahogy így: 


echo 1 > /proc/sys/net/ipv4/ip_forward
#
iptables -AFORWARD -i eth1 --match mac --macsource xx:xx:xx:xx:xx:xx -o eth0 -j ACCEPT
# ... minden munkaállomás kap egy ilyen bejegyzést ...
iptables -A FORWARD -i eth1 -o eth0 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 192.168.2.250

Ahol a "250" végű címek mindenütt a szerverke IP címe.
Az eth0 a 2-es szegmens és az eth1 az 1 szegmens.
Sok éve jól működik és kibírta a Lenny migrálást is - most épp Squeeze.
Na persze a dolgok elfajulásának nincs korlátja - távoli hozzáférés is kellet (leginkább nekem) az egyik "belső" belső windows géphez, ez született: 


iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 15900 -j DNAT --to-destination 192.168.1.80:5900
iptables -A INPUT -p tcp --sport 15900 -d 192.168.2.250 - j ACCEPT

A portszámból gondolom rájöttetek, ez a tightvnc default -ja. A routeren is be lett a port állítva (a 15900 -as) - ez is évek óta működik.
Megint változnak a szelek kell még egy távoli hozzáférés ... nem probléma ott a minta lemásoljuk és ... nem működik :[
Nem tudok rájönni miért. Ami a gyanús, hogy most belenéztem az iptables -L -vn kimenetébe és ezt tapasztalom: 


chain INPUT (policy ACCEPT 17637 packets, 11M bytes)
  pkts  bytes  target  port opt in   out source     destination
     0      0  ACCEPT  tcp  --   *   *   0.0.0.0/0  192.168.2.250  tcp spt:15900
     0      0  ACCEPT  tcp  --   *   *   0.0.0.0/0  192.168.2.250  tcp spt:15910

Chain FORWARD (policy ACCEPT 28528, 26 M bytes)
  pkts  bytes  target  port opt in   out  source     destination
  4516   752K  ACCEPT  all  --  eth1 eth0 0.0.0.0/0  0.0.0.0/0  MAC xx:xx:xx:xx:xx:xx

Az OUTPUT chain üres.
A MAC címes soroknál értem hogy nincs IP, de az INPUT láncban megadtam az IP címet. Most mi van?
Van valami ötlet miért nem működik ez egy második gépnél?

  • 4631 megtekintés

( tovis v | 2013. 05. 07., k – 17:01 )

Csak egy egész kicsit vagyok lökött :(
A másik gépnek szintén engedélyezem kell a csomagjait, MAC alapján.

* Én egy indián vagyok. Minden indián hazudik.