Настроить два сетевых соединения с выходом в интернет

[San]

Всем спасибо! Разобрался вроде? Гибрид инструкций переписывать не буду, сам еще эти знания не закрепил.

На решение натолкнули ссылки ruslandh по настройке etcnet. + Отсутствие компьютера для экспериментов под рукой.

Заглянув в файла настройки etcnet-ного конфигуратора:

Код: [Выделить]

# cat /etc/net/ifaces/default/fw/iptables/nat/PREROUTING
# This file was automatically created by alterator-net-iptables.
# If you are using alterator-net-iptables then all changes
# made in this file by hands may lost!
# For more information see alterator-net-iptables(1).Интересным показался сам текст, типа это все настроил Альтератор, менять руками - бесполезно...
Раз так, то вернул все настройки к начальному состоянию + стер файлы в каталогах:

Код: [Выделить]

# ls /etc/net/ifaces/enp2s0ipv4address  options

И

Код: [Выделить]

# ls /etc/net/ifaces/enp3s6options
Сами папки интерфейсов трогать не стал... Запустил альтератор...
А далее по порядку картинок, в таком порядке и делал:
1. Настройка интерфейса enp2s0 - только ИП и Маска
2. Настройка интерфейса enp3s6 - получает по DHCP
3. Настройка ДШЦП сервера... Здесь раз НАТ пока DNS воткнул с предыдущего роутера, Шлюзом по умолчанию поставил интерфейс который смотрит в локалку... (по другому пробовал - не работает) Да и судя по выводу:

Код: [Выделить]

# ip r
default via 192.168.113.1 dev enp3s6  metric 203 
Шлюз по умолчанию прописывается в другом месте?
4. Настройка Внешней сети... Включить брэндмуар, шлюз (NAT), выбрать внешний интерфейс и доступные порты...
5. Применить, сохранить перезагрузить...

Код: [Выделить]

# iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0Все роутер без лишних телодвижений вроде готов.
Будем читать и разбирать дальше...

[San]

В итоге, сейчас чего достигнуто ?

Да начальное состояние достигнуто! Спасибо.

Всё начинает работать после исполнения команды

Без нее. Описал в следующем посте что делал. Получается:

5. Применить, сохранить перезагрузить...

Код: [Выделить]

# iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0
Все роутер без лишних телодвижений готов. Пойдем настраивать дальше...
Он сам строку добавляет в правила фаервола, вот только обнаружил:

Код: [Выделить]

# cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING
# This file was automatically created by alterator-net-iptables.
# If you are using alterator-net-iptables then all changes
# made in this file by hands may lost!
# For more information see alterator-net-iptables(1).

-o enp3s6 -j MASQUERADE


Так понять, для начала, что надо сделать. Если NAT - одно, если роутинг - другое. Если роутинг с динамической маршрутизацией - третье. Надо определиться, и делать. Все три варианта имеют право на жизнь.

Не сомневаюсь! И будет время - Выясню! :)

[ruslandh]

    Ну, а после правильного выбора?

ruslandh, без обид! Где именно В ЭТОЙ ТЕМЕ!? (по крайней мере после того как я переустановил систему с решения на systemd на решение sysvinit) Вы показали правильное решение? Ссылки на внешние ресурсы и на "сам подумай" не в счет. Мне с Линуксом тяжеловато разбираться в спокойной обстановке, а тут... напортачил... что то не так... и мысли разные... восприятие текста отключают полностью!

Я имел ввиду включить NAT

И почему для меня последний выбор "правильный"? Потому что заработало? А если вот тут глянуть:
Цитата: ruslandh от Сентябрь 13, 2015, 06:28:20

    Самое простое - через альтератор, указать внешнюю сеть и задать режим роутера

Именно Вы, и именно Роутер советуете!

Я мог и ошибиться в слове, тем более, что пока в справку не взгляну не помню, кто из них с NAT, кто без.

 
Цитата: ruslandh от Вчера в 19:39:15

    Поставьте пакет
    udev-rule-generator-net
    Что-бы имена интерфейсов были "не такие безобразные"

А без него можно? А то я привык уже к ЭТИМ жутким именам. :)

Можно, только имя интерфейса трудно запомнить.

[ruslandh]

Ну в общем, вы включили маскардинг:

-o enp3s6 -j MASQUERADE

и всё заработало.

[ruslandh]

В общем:
iptab-ский

Код: [Выделить]

Chain POSTROUTING (policy ACCEPT)
MASQUERADE  -o enp3s6  --  0.0.0.0/0            0.0.0.0/0
соответствует
etcnet-ому

Код: [Выделить]

cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING
-o enp3s6 -j MASQUERADE
(если я правильно iptab-ое правило написал)

[San]

(если я правильно iptab-ое правило написал)

К своему глубочайшему стыду, я напрочь забыл куда эти правила записывать? Кажись с помощью скриптов (Но это другая история, а то опять собьюсь с "ритма" и тему потеряю) Я просто давал команды:

Код: [Выделить]

# iptables -t nat -A POSTROUTING -s 192.168.99.99/24 -o enp3s6 -j MASQUERADE

Я мог и ошибиться в слове, тем более, что пока в справку не взгляну не помню, кто из них с NAT, кто без.

Ну вот, человек который "Шарит" в Альте и то может ошибаться и путаться! :) Что говорить о нас, ламерах ушастых, у нас один шаг в сторону и ВСЕ! ПАНИКА! :)

Можно, только имя интерфейса трудно запомнить.

Ага, уже ночью разбуди... скажу что то типа еэнпэТриэсШесть и еэнпэДваэсНоль... :) Скоро начну маки их запоминать... :)

и всё заработало.

И Слава Богу.

Еще вопрос: Если НАТом перебрасывается ВСЕ на enp3s6, стоит ли заморачиваться с Bind и поднимать внутренний DNS, может он нужен будет если я соберусь поднимать OpenVPN на этом сервере?

[ruslandh]

К своему глубочайшему стыду, я напрочь забыл куда эти правила записывать?

Они ядру передаются, iptables их хранит в своей памяти, а при включении, берёт из настроек.
https://www.opennet.ru/docs/RUS/iptables/#SAVEANDRESTORE

[ruslandh]

Если НАТом перебрасывается ВСЕ на enp3s6, стоит ли заморачиваться с Bind и поднимать внутренний DNS, может он нужен будет если я соберусь поднимать OpenVPN на этом сервере?

Ну кэширующий DNS по любому трафик экономит, а если он ещё и работает, как DNS локальной сети.
Но по-моему мнению проще настроить dnsmasq, чем bind.

[asy]

Но по-моему мнению проще настроить dnsmasq, чем bind.

В теории да, но если нужен кэширующий DNS, то Bind в ALT уже настроен именно в этом виде. То есть, надо только поставить и запустить. Правда, конфигурация несколько небеопасна, если держать его на реальном IP. Надо раскомментировать "allow-recursion { localnets; };" в options.conf, как минимум.

Два бага про "DNS Amplification Attacks":
https://bugzilla.altlinux.org/29572
https://bugzilla.altlinux.org/30398

[ruslandh]

Хм,  dnsmasq не требует настройки. Кэширование у него уже него автоматом, а имена берёт из /etc/hosts. Единственно, возможно надо разрешить отдавать в локальную сеть адреса   

[San]

Хм,  dnsmasq не требует настройки

А для альта описание есть? Или он везде одинаково работает?

[ruslandh]

Да там в самом пакете есть описание вроде, во всяком случае мне для того, что-бы (первый раз) разобраться как его настраивать интернет не понадобился.

[ruslandh]

Так сейчас взглянул в содержание пакета - описание на английском, но английский, который даже я понимаю. Плюс сам /etc/dnsmasq.conf на 90% состоит из английских комментариев.
Я думаю, этот пакет в альте практически не отличается от апстримовского, иначе-бы были русские руководства и readme.

[San]

Так сейчас взглянул в содержание пакета - описание на английском, но английский, который даже я понимаю. Плюс сам /etc/dnsmasq.conf на 90% состоит из английских комментариев.

Так то оно так, но я не пойму как его от DHCP "Отстраивать"? Или он будет спокойно с dhcpb в паре работать? Если ему диапазон адресов такой же задать? Или dhcpd останавливать нужно?

[ruslandh]

Так от dhcp он "отцеплен" по-умолчанию.