Linux: проброс по nat

[Icarstudio]

Собственно есть комп-шлюз, допустим у него апишник 192.168.12.25, с этим айпишником он подключен к провайдеру. Есть у этого компа другая сетевуха, с айпишником 192.168.100.100, к ней подключен свитч.

После iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.12.25 все работало хорошо с другого компа, но не долго.

Вопрос для знающих - мог ли провайдер пропалить и как-то это прекрыть? Или я де-то напортачил? А то сегодня долго мучался с этим, наконец сделал, а потом начал вайфай делать и не заметил от чего пропал Internet на машине которая через свитч подключена...

[zaqwsx_]

что, на ровном месте перестало работать ?

наберите iptables -t NAT -L

и посмотрите, форвард пакетов включен ?

Сделайте iptables -F, чтобы все сбросить.
а потом опять эту строку

[Icarstudio]

Это я делал, правило есть, сбрасывать тоже знаю как.

А как перестало работать я не помню))) В общем сделал - все заработало, потом куда-то отходил от компа, потом еще вайфай на этом ноуте настраивал, там были проблемы с одним модулем ядра, в общем в итоге я его отключил. Потом комп несколько раз вис намертво, это из-за этого модуля, в общем все сделал, типо работает, но потом уже не помню почему перестал работать интернет так, если все закручивать на проксю то работает, то есть другое правило в айпитейблс, но при транспарент проксе не работает все остальное, только ХТТП...

С фаерволом у меня все в норме, если надо ось - то OpenSuse11.1, айпитейблс версия что к ней в комплект идут, сквид 2.6

Мне по сути пофиг как, хоть по нату тупо хоть через проксю, просто нужны все порты чтобы пробрасывались в нет...

И вопрос еще один, который звучал в первом посте: мог ли провайдер это как-то попалить и заблокировать?

[mgbrain]

И вопрос еще один, который звучал в первом посте: мог ли провайдер это как-то попалить и заблокировать?

Врядли пров стал бы этим заниматься, хотя теоретически по другому значению TTL мог пропалить. Но это тоже можно поправить в iptables, уже не помню правило, давно не ковырял Linux

[Icarstudio]

Значить, сдается мне, что я де-то напортачил то ли с правилами, то ли на компе когда модули ядра подключал, хотя на компе маловероятно, значит буду рыть правила...

К слову я много чего делал, уже не помню что конкретно, если кто скажет что нужно сделать точно и достаточно, то против не буду Чтобы заново не начинать завтра, то есть уже сегодня...

[Icarstudio]

Вот я протормозил...

В общем все нашел де я косяк совершил, вчера просто по синиве все делал, а сегодня вот встал трезвячком Вот решение:

Задача: есть комп-сервер с доступом в нет со статическим внутренним айпишником (192.168.12.25 - eth0), есть у него другая сетевуха (192.168.100.0/24 - eth1), к которой подключен свитч. Необходимо раздавать НЭТ всем, кто после свитча.

Решение:
$su
$echo 1 > /proc/sys/net/ipv4/ip_forward
$iptables -A FORWARD -s 192.168.100.0/24 -j ACCEPT
$iptables -A FORWARD -d 192.168.100.0/24 -j ACCEPT
$iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -j SNAT --to-source 192.168.12.25

Также можно загнуть браузер (80 порт), например на проксю, тогда добавить:
$iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.100.0/24 --dport 80 -j DNAT --to-destination 192.168.100.100:3128
и настроить сквид

Пробувал другие порты через сквид, но на сколько я понял сквид в транспарент-режиме работает только с ХТТП/ХТТПС...

Тему можно убивать, решение привел, может кому интересно будет