Iptables или ЧТО ? (РЕШЕНО)
vlakar 18 декабря, 2013 - 10:44
Пытаюсь настроить NAT по этой статье http://www.gentoo.org/doc/ru/home-router-howto.xml
сделал это
csu ~ # /etc/init.d/iptables start
* Loading iptables state and starting firewall ... [ ok ]
csu ~ # iptables -P INPUT ACCEPT
csu ~ # iptables -P OUTPUT ACCEPT
csu ~ # iptables -P FORWARD DROP
csu ~ # export LAN=enp1s9
csu ~ # export WAN=enp1s8
csu ~ # iptables -I INPUT 1 -i ${LAN} -j ACCEPT
csu ~ # iptables -I INPUT 1 -i lo -j ACCEPT
csu ~ # iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
Bad argument `enp1s9'
Try `iptables -h' or 'iptables --help' for more information.
csu ~ # iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
Bad argument `enp1s9'
Try `iptables -h' or 'iptables --help' for more information.
csu ~ # iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT
csu ~ # iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
Bad argument `enp1s9'
Try `iptables -h' or 'iptables --help' for more information.
csu ~ # iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
Bad argument `enp1s9'
Try `iptables -h' or 'iptables --help' for more information.
csu ~ # iptables -I FORWARD -i ${LAN} -d 10.66.77.0/255.255.0.0 -j DROP
csu ~ # iptables -A FORWARD -i ${LAN} -s 10.66.77.0/255.255.0.0 -j ACCEPT
csu ~ # iptables -A FORWARD -i ${LAN} -d 10.66.77.0/255.255.0.0 -j ACCEPT
csu ~ # iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
iptables v1.4.20: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
csu ~ # echo 1 > /proc/sys/net/ipv4/ip_forward
csu ~ # for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
Непонятка с интерфейсами, в статье eth0,eth1 а у меня enp1s8, enp1s8 наверное по этому и ругается
Bad argument `enp1s9 ?
если да то как ему объяснить ?
А эта строчка
iptables v1.4.20: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
как я понял требует обновления iptables или ядра так они у меня свеженькие.
здесь вроде все прописал
csu# nano /etc/sysctl.conf net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 1
Ядро компилировал genkernel там это
CONFIG_NETFILTER=y # CONFIG_NETFILTER_DEBUG is not set CONFIG_NETFILTER_ADVANCED=y CONFIG_BRIDGE_NETFILTER=y # Core Netfilter Configuration CONFIG_NETFILTER_NETLINK=m # CONFIG_NETFILTER_NETLINK_ACCT is not set CONFIG_NETFILTER_NETLINK_QUEUE=m CONFIG_NETFILTER_NETLINK_LOG=m # CONFIG_NETFILTER_NETLINK_QUEUE_CT is not set # CONFIG_NETFILTER_TPROXY is not set CONFIG_NETFILTER_XTABLES=m CONFIG_NETFILTER_XT_MARK=m CONFIG_NETFILTER_XT_CONNMARK=m # CONFIG_NETFILTER_XT_TARGET_AUDIT is not set # CONFIG_NETFILTER_XT_TARGET_CHECKSUM is not set CONFIG_NETFILTER_XT_TARGET_CLASSIFY=m CONFIG_NETFILTER_XT_TARGET_CONNMARK=m CONFIG_NETFILTER_XT_TARGET_CONNSECMARK=m CONFIG_NETFILTER_XT_TARGET_CT=m CONFIG_NETFILTER_XT_TARGET_DSCP=m CONFIG_NETFILTER_XT_TARGET_HL=m # CONFIG_NETFILTER_XT_TARGET_HMARK is not set # CONFIG_NETFILTER_XT_TARGET_IDLETIMER is not set # CONFIG_NETFILTER_XT_TARGET_LED is not set # CONFIG_NETFILTER_XT_TARGET_LOG is not set CONFIG_NETFILTER_XT_TARGET_MARK=m CONFIG_NETFILTER_XT_TARGET_NFLOG=m CONFIG_NETFILTER_XT_TARGET_NFQUEUE=m CONFIG_NETFILTER_XT_TARGET_NOTRACK=m # CONFIG_NETFILTER_XT_TARGET_RATEEST is not set # CONFIG_NETFILTER_XT_TARGET_TEE is not set CONFIG_NETFILTER_XT_TARGET_TRACE=m CONFIG_NETFILTER_XT_TARGET_SECMARK=m CONFIG_NETFILTER_XT_TARGET_TCPMSS=m # CONFIG_NETFILTER_XT_TARGET_TCPOPTSTRIP is not set # CONFIG_NETFILTER_XT_MATCH_ADDRTYPE is not set # CONFIG_NETFILTER_XT_MATCH_BPF is not set # CONFIG_NETFILTER_XT_MATCH_CLUSTER is not set CONFIG_NETFILTER_XT_MATCH_COMMENT=m CONFIG_NETFILTER_XT_MATCH_CONNBYTES=m # CONFIG_NETFILTER_XT_MATCH_CONNLABEL is not set CONFIG_NETFILTER_XT_MATCH_CONNLIMIT=m CONFIG_NETFILTER_XT_MATCH_CONNMARK=m CONFIG_NETFILTER_XT_MATCH_CONNTRACK=m # CONFIG_NETFILTER_XT_MATCH_CPU is not set CONFIG_NETFILTER_XT_MATCH_DCCP=m # CONFIG_NETFILTER_XT_MATCH_DEVGROUP is not set CONFIG_NETFILTER_XT_MATCH_DSCP=m CONFIG_NETFILTER_XT_MATCH_ECN=m CONFIG_NETFILTER_XT_MATCH_ESP=m CONFIG_NETFILTER_XT_MATCH_HASHLIMIT=m CONFIG_NETFILTER_XT_MATCH_HELPER=m CONFIG_NETFILTER_XT_MATCH_HL=m # CONFIG_NETFILTER_XT_MATCH_IPRANGE is not set # CONFIG_NETFILTER_XT_MATCH_IPVS is not set CONFIG_NETFILTER_XT_MATCH_LENGTH=m CONFIG_NETFILTER_XT_MATCH_LIMIT=m CONFIG_NETFILTER_XT_MATCH_MAC=m CONFIG_NETFILTER_XT_MATCH_MARK=m CONFIG_NETFILTER_XT_MATCH_MULTIPORT=m # CONFIG_NETFILTER_XT_MATCH_NFACCT is not set # CONFIG_NETFILTER_XT_MATCH_OSF is not set # CONFIG_NETFILTER_XT_MATCH_OWNER is not set CONFIG_NETFILTER_XT_MATCH_POLICY=m CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m CONFIG_NETFILTER_XT_MATCH_PKTTYPE=m CONFIG_NETFILTER_XT_MATCH_QUOTA=m # CONFIG_NETFILTER_XT_MATCH_RATEEST is not set CONFIG_NETFILTER_XT_MATCH_REALM=m # CONFIG_NETFILTER_XT_MATCH_RECENT is not set CONFIG_NETFILTER_XT_MATCH_SCTP=m CONFIG_NETFILTER_XT_MATCH_STATE=m CONFIG_NETFILTER_XT_MATCH_STATISTIC=m CONFIG_NETFILTER_XT_MATCH_STRING=m CONFIG_NETFILTER_XT_MATCH_TCPMSS=m CONFIG_NETFILTER_XT_MATCH_TIME=m CONFIG_NETFILTER_XT_MATCH_U32=m # IP: Netfilter Configuration # IPv6: Netfilter Configuration # iptables trigger is under Netfilter config (LED target)
Подскажите где еще чего настроить ?
»
- Для комментирования войдите или зарегистрируйтесь
По первому: сколько всего у
По первому: сколько всего у вас интерфейсов? iproute установлен? Покажите ip link или ifconfig -a
По второму:
grep NAT /usr/src/linux/.config
Если CONFIG_NF_NAT=m, скорее всего нужно modprobe nf_nat
ifconfig -a enp1s8:
ifconfig -a enp1s8: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 195.211.196.130 netmask 255.255.255.0 broadcast 195.211.196.159 inet6 fe80::203:47ff:fe81:ac63 prefixlen 64 scopeid 0x20<link> ether 00:03:47:81:ac:63 txqueuelen 1000 (Ethernet) RX packets 3252 bytes 296828 (289.8 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 18531 bytes 1581076 (1.5 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 enp1s9: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 10.66.77.1 netmask 255.255.255.0 broadcast 10.66.77.255 inet6 fe80::4e00:10ff:fe54:e233 prefixlen 64 scopeid 0x20<link> ether 4c:00:10:54:e2:33 txqueuelen 1000 (Ethernet) RX packets 13482 bytes 1061198 (1.0 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 4902 bytes 485329 (473.9 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10<host> loop txqueuelen 0 (Local Loopback) RX packets 4 bytes 336 (336.0 B) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 4 bytes 336 (336.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0[code]Похоже собака зарыта здесь (Делал genkernel и думал что по умолчанию включено)
# CONFIG_NF_NAT_IPV4 is not set
# CONFIG_NF_NAT_IPV6 is not set
Но один вопрос остается, влияет ли название интерфейсов enp1s8, enp1s9 на работу ?
прописывать так
export LAN=enp1s9
export WAN=enp1s8
или так
export LAN=eth1
export WAN=eth0
для начала – ради бога, плз
для начала – ради бога, плз не загаживайте тред портянками листингов – wgetpaste делайте и ссылки постьте.
>влияет ли название интерфейсов enp1s8, enp1s9 на работу ?
Было бы весьма странно, если названия интерфейсов не влияли на работу :D LAN и WAN очевидно должны быть инициализированы именами «внутреннего» и «внешнего» интерфейсов. И вообще, отрешитесь от старой хаутушки – Вам же дали ссылку на свежую.
Цитата: Предупреждение :
Кое-что изменилось – в том же conf.d/net. И требуется переложение на сегодняшние реалии.
как минимум, у вас не собрано нужное – CONFIG_NF_NAT_IPV4. Кроме того, чехарда с адаптерами означает, что скорее всего Вы в скриптах неверное их указали.
А вообще, наверное стоило бы начать решать задачу по частям, используя понимание – вместо копипасты.
.
Перенаправление со страницы http://www.gentoo.org/doc/en/home-router-howto.xml (на https://wiki.gentoo.org/wiki/Home_Router) нагляднее.
:wq
--
Live free or die