iptables

[billykrakow]

Witam

potrzebuje pomocy odnośnie wpisów do iptables,  próbuje to zrobić na raspberry pi


tak wygląda sieć

neostrada - router - (wifi) - wlan0 (raspberry) eth0 - kilka urządzeń po kablu przez switch

na raspberry potrzebuje no-ip działąjący + folder dostępny do zapisu dostepny dla urządzeń, no i te urządzenia mają mieć dostęp do internetu - dhcp już postawiony.
 
na raspberry mam internet, ale urządzienia nie mają internetu , jokoś moje wpisy do iptables nie chcą działać .

proszę o jakieś podpowiedzi.

[Paweł Kraszewski]

Podpowiedź #1: pokaż te wpisy do IpTables.
Podpowiedź #2: net.ipv4.ip_forward jest oczywiście ustawione na 1?

[billykrakow]

Witam

net.ipv4.ip_forward jest oczywiście ustawione na 1

mój jedyny wpis który po wyczyszczeniu tablicy i ponownym wpisie sprawił że mam internet na PC

iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

ale mam ciągle pare rzeczy do zrobienia

jedną z nich jest przekierowanie portów, konkretnie 80
na routerze 1 mam przekierowane na router 2 (raspberry)
i teraz potrzebuje  to dalej puścić do PC za routerem2

pi@raspberrypi ~ $ sudo iptables -nL -v --line-numbers -t nat
Chain PREROUTING (policy ACCEPT 85 packets, 24784 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 8 packets, 2496 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 14 packets, 961 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       32  2039 MASQUERADE  all  --  *      wlan0   0.0.0.0/0            0.0.0.0/0
2        0     0 MASQUERADE  all  --  *      wlan0   0.0.0.0/0            0.0.0.0/0

[Paweł Kraszewski]

DNAT na PREROUTINGU służy do przekierowywania portów

Kod: [Zaznacz]

iptables -t nat -A PREROUTING -i wlan0 -p tcp -d IP_RASPBERRY  --dport 80 -j DNAT --to IP_PC:PORT

[roobal]

Witam
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Jak pierwszy raz widziałem wątek, korciło mnie, aby podać Ci podpowiedź #3, że NAT pomiędzy routerem a RPi nie jest Ci potrzebny, ale myślałem, że to rzecz oczywista i o tym wiesz. No chyba że z jakiegoś powodu potrzebujesz NAT w sieci LAN?

Witam
ale mam ciągle pare rzeczy do zrobienia

jedną z nich jest przekierowanie portów, konkretnie 80
na routerze 1 mam przekierowane na router 2 (raspberry)
i teraz potrzebuje  to dalej puścić do PC za routerem2

Dodaj na routerze po prostu trasę statyczną do sieci za RPi i zrób przekierowanie na IP komputera w sieci za RPi. Router przekieruje pakiet na to IP, a dzięki trasie statycznej będzie wiedział, gdzie wysłać pakiet.

Tak na wszelki wypadek. Jeśli na RPi wskazujesz router jako bramę domyślną, to na RPi nie dodajesz już żadnej trasy, bo RPi wysyłając coś do internetu korzysta z trasy domyślnej i nie interesuje go już to co jest za routerem.

[billykrakow]

Witam

nic nie było jasne dopiero zaczyna być, powoli bo czasu brakuje, ale już odkrywam jak to działa, a może lepiej powiedzieć że działa co potrzebuje ale pewnie nie tak jak sztuka nakazuje

podstawowa rzecz mi działa tzn  na PC mam internet, na routerze(RPI) tez (bez wpisów)

jak dodam

iptables -t nat -A PREROUTING -p tcp -i wlan0 --dport 80 -j DNAT --to PC

neostrada - (wifi) - wlan0(RPI) eth0 - PC

z sieci wifi mam www z PC ale to jest chyba NAT bo wrzucam IP wlan0 i mnie przekierowuje

ale to nie jest tak jak to powinno wyglądać  bo raczej powinienem użyć ip z PC a router powinien mnie przekierować do PC z sieci wifi

z pc ping do sieci wifi działa (wifiPC i brama) ale z  sieci wifi nie działa ping do sieci za RPI (PC)

nie rozumiem dlaczego domyślnie z sieci PC wszystko działa ale nie z sieci wifi
ciągle brakuje mi podstaw

walczę ale czasu brakuje.  jestem laikiem w tym temacie (linux też) i wszystko dla mnie to nowe rzeczy.

podpowiedzi mile widziane, ale że weekend idzie to sobie to rozjaśnię jak dzieciaki dadzą żyć


pi@raspberrypi ~ $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         modem.home      0.0.0.0         UG    0      0        0 wlan0
192.168.1.0     *               255.255.255.0   U     0      0        0 wlan0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0



iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

[roobal]

Wywal te reguły i wstaw takie (wstaw sobie do skryptu i jak będzie wszystko działać, dasz sobie go do skryptów startowych).

Kod: [Zaznacz]

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wlan0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
ipatbles -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Reguł dla NAT nie ustawiasz. Zakładając, że PC ma adres 192.168.2.1, to w Livebox przekierowanie robisz na 192.168.2.1. Na RPi NAT nie jest Ci potrzebny.

[billykrakow]

witam

smiga jak malowanie.

ostatnią rzeczą do zrobienia był routing statyczny na pierwszym routerze

Dzięki