iptables Masquerade - načtení stránky na 3pokus

Dobrý den, potřeboval bych radu ohledně masquerady v iptables. Mam routr s debianem, na kterém jsou dvě rozhraní eth0 (veřejna IP) a eth1 (domácí síť). Udělal jsem masquaradu a když se na PC na lokolní síti snažím dostat na internet tak se mi to povede až na 3-5 pokus. (např. zadám seznam.cz enter -> Unable to connect -> několikrat po sobě stisknu F5 a stranka se načte). Vůbec netuším čím by to mohlo být. Do iptables zadávám při spuštění routeru toto:

# Generated by iptables-save v1.4.4 on Wed Dec  9 19:23:08 2009
*nat
:PREROUTING ACCEPT [46:5742]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [9:771]
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Wed Dec  9 19:23:08 2009
# Generated by iptables-save v1.4.4 on Wed Dec  9 19:23:08 2009
*filter
:INPUT ACCEPT [60286:13916970]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [42362:4213667]
-A FORWARD -i eth0 -o eth1 -j ACCEPT 
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Wed Dec  9 19:23:08 2009

výpis iptables -L

pou@server:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT)
target     prot opt source

a vypis iptables -t nat -L

pou@server:~$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere            
MASQUERADE  all  --  anywhere             anywhere            
MASQUERADE  all  --  anywhere             anywhere            
MASQUERADE  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

je zvlastní kdyz na PC zadam ping seznam.cz tak vse funguje a nevypadne žádny paket... Prosím o radu, děkuji

Odpovědi

Teď jsem přišel na zajímavou věc, nabootoval jsem do WinXP a zde všechno funguje spravně. Takže problém bude asi někde jinde. Adresu ze serveru dostavam přez dhcpd, a to mam snad nastavené spravně, když ve Win funguje všechno spravně....

8.12.2011 19:26 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

Čo hovorí príkaz ip route ?

Root v linuxe : "Root povedal, linux vykona."

8.12.2011 19:36 pou | skóre: 18
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

Děkuji za reakci.

$sudo ip route
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.9 
default via 192.168.1.1 dev eth0

8.12.2011 20:04 Milan Roubal | skóre: 25
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

problem bych zacal hledat v DNS. Je mozne, ze pouzivany DNS server nedodava odpovedi dostatecne rychle.

8.12.2011 20:20 pou | skóre: 18
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

zkoušel jsem do /etc/resolv.conf dát různé veřejné DNS (8.8.8.8,194.228.41.65 a další) ale nepomohlo to. Internet taky nevypadává (zkoušel jsem koukat na živé vysílání TV). jinak u ping na stranku funguje vždy správně, problém je jen s web. prohlížečem (a taky s apt-get install...), pidgin funguje taky vpořádku.

Mal som podobny problem - eth0 nafasovala od chello modemu "divne MTU"...

8.12.2011 20:40 pou | skóre: 18
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

A nějaké řešení??

8.12.2011 20:45 Loso | skóre: 11
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

docasne # ifconfig eth0 mtu 1500

trvale zmena dhcpclienta aby MTU nastavenie nerequestoval -# vi /etc/dhcp/dhclient.conf

vsetko samozrejme zalezi na tom ci sa jedna o tu istu issue.

8.12.2011 20:50 pou | skóre: 18
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

Tak jsem to zkusil nastavit, jak na routeru tak na pc.... opět neuspesne :-(

8.12.2011 20:55 Loso | skóre: 11
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

flush-nut iptables a zacat napr. http://www.revsys.com/writings/quicktips/nat.html

Aby to fungovalo musíš tam mať toto:

iptables -P FORWARD DROP;
iptables -A FORWARD -i eth1 -o eth0 -s (zdrojová IP) -j ACCEPT;
iptables -A FORWARD -i eth0 -o eth1 -s ! (zdrojová IP) -m state --state ESTABLISHED -j ACCEPT ;
iptables -A POSTROUTING -t nat -o eth0 -s (zdrojová IP) -j MASQUERADE;

Toto je len čásť ktorá riadi prechod z jedného do druhého interface.

Ohladom DNS ak nemáš nejaké špecialne požiadavky, tak vlož priamo do DNS alebo klientského PC vonkajšie DNS. Tým znížiš pravdepodnosť prieniku do routra a zvýšiš dostupnosť. V prípade,že by vybavoval DNS router by si mal SPOF (Single Point of Failure).

Root v linuxe : "Root povedal, linux vykona."

10.12.2011 10:26 pou | skóre: 18
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

Des jsem zapl PC a vše funguje již spravně. Je to sice dobře, ale i tak by mě zajímalo žím to mohlo být. Internet mi šel v pořádku (ping, pidgin, internet TV) pouze internet ve web. prohlížeči zlobil, jsem zkoušel to ve dvou prohlížečích a na dvou PC. Jedině kde to fungovalo spravně byly windows(chrome i IE fungovali spravně).

10.12.2011 10:36 Igor | skóre: 8
Rozbalit Rozbalit vše Re: iptables Masquerade - načtení stránky na 3pokus

Problem mohol nastat na strane providera. Ale na 99% islo o zle nastavene MTU....

Tell me again what that '-r' option to rm does...?

Dotaz: iptables Masquerade - načtení stránky na 3pokus

Odpovědi