дропаются транзитные пакеты (linux/iptables)

[EARL]

Есть линукс с одной сетевкой. На ней подняты туннели ipip.

Код: Выделить всё

%ifconfig

eth0      Link encap:Ethernet  HWaddr 00:13:77:00:05:2f  
          inet addr:10.1.0.80  Bcast:10.1.0.127  Mask:255.255.255.128
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:668062 errors:0 dropped:0 overruns:0 frame:0
          TX packets:656255 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:465383856 (443.8 MiB)  TX bytes:428262659 (408.4 MiB)
          Interrupt:10 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:122 errors:0 dropped:0 overruns:0 frame:0
          TX packets:122 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:9273 (9.0 KiB)  TX bytes:9273 (9.0 KiB)

tun0      Link encap:IPIP Tunnel  HWaddr   
          inet addr:192.168.7.2  P-t-P:192.168.7.1  Mask:255.255.255.252
          UP POINTOPOINT RUNNING NOARP  MTU:1480  Metric:1
          RX packets:413501 errors:0 dropped:0 overruns:0 frame:0
          TX packets:257357 errors:10 dropped:0 overruns:0 carrier:10
          collisions:0 txqueuelen:0 
          RX bytes:409685310 (390.7 MiB)  TX bytes:19701689 (18.7 MiB)

tun1      Link encap:IPIP Tunnel  HWaddr   
          inet addr:192.168.135.18  P-t-P:192.168.135.17  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1480  Metric:1
          RX packets:76 errors:0 dropped:0 overruns:0 frame:0
          TX packets:84 errors:3 dropped:0 overruns:0 carrier:3
          collisions:0 txqueuelen:0 
          RX bytes:5029 (4.9 KiB)  TX bytes:5505 (5.3 KiB)

С этого роутера через bgp анонсируются некоторые сети. Пакеты, прилетающие через tun1 с хоста 192.168.135.17 прекрасно достигают анонсируемых сетей, а вот если пакеты прилетают с хоста, расположенного за роутером 192.168.135.17, то они дропаются прямо на интерфейсе tun1 (в tcpdump вижу как пакеты прилетают на tun1, но на eth0 ничего не наблюдаю).

правила iptables

Код: Выделить всё

%sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

%sudo iptables -t nat -S
-P PREROUTING ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -d 91.X.X.X/32 -p tcp -m tcp --dport 45044 -j DNAT --to-destination 192.168.5.100:45044 
-A PREROUTING -d 91.X.X.X/32 -p udp -m udp --dport 45044 -j DNAT --to-destination 192.168.5.100:45044 
-A POSTROUTING -o lo -j ACCEPT 
-A POSTROUTING -o tun0 -j ACCEPT 
-A POSTROUTING -o tun1 -j ACCEPT 
-A POSTROUTING -s 192.168.5.150/32 -j ACCEPT 
-A POSTROUTING -d 10.0.0.0/8 -j MASQUERADE 
-A POSTROUTING -d 192.168.0.0/16 -j MASQUERADE 
-A POSTROUTING -d 193.X.X.X/32 -j MASQUERADE 
-A POSTROUTING -d 193.X.X.X/32 -j MASQUERADE 
-A POSTROUTING -j SNAT --to-source 91.202.20.252 

таблица маршрутов

Код: Выделить всё

%sudo route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.135.17  0.0.0.0         255.255.255.255 UH    0      0        0 tun1
192.168.135.5   192.168.7.1     255.255.255.255 UGH   20     0        0 tun0
91.202.X.X      192.168.7.1     255.255.255.255 UGH   0      0        0 tun0
78.132.X.X      192.168.7.1     255.255.255.255 UGH   0      0        0 tun0
192.168.7.0     0.0.0.0         255.255.255.252 U     0      0        0 tun0
192.168.2.4     192.168.7.1     255.255.255.252 UG    20     0        0 tun0
192.168.2.0     192.168.7.1     255.255.255.240 UG    20     0        0 tun0
192.168.2.16    192.168.7.1     255.255.255.240 UG    20     0        0 tun0
192.168.6.0     192.168.7.1     255.255.255.192 UG    20     0        0 tun0
192.168.6.64    192.168.7.1     255.255.255.192 UG    20     0        0 tun0
10.1.0.0        0.0.0.0         255.255.255.128 U     0      0        0 eth0
192.168.5.0     192.168.7.1     255.255.255.0   UG    20     0        0 tun0
83.234.X.X      192.168.135.17  255.255.255.0   UG    0      0        0 tun1
91.211.X.X      192.168.135.17  255.255.252.0   UG    0      0        0 tun1
193.203.X.X     192.168.135.17  255.255.252.0   UG    0      0        0 tun1
77.93.X.X       192.168.135.17  255.255.252.0   UG    0      0        0 tun1
93.186.X.X      192.168.135.17  255.255.240.0   UG    0      0        0 tun1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         10.1.0.1        0.0.0.0         UG    0      0        0 eth0

Почему пакеты, например с адреса 192.168.130.2 летяшие в сеть 193.34.x.x дропаются сразу на tun1?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

в раздел соответствующий надо постить
там добрые линупсоеды помогут )

[lap]

Может надо форвардинг включить?

Код: Выделить всё

[root@localhost ~]# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0
[root@localhost ~]# sysctl -w net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

если поможет, воткнуть это в сисцтл.конф

[EARL]

lap, форвардинг включен. На данный момент для меня этот вопрос уже не актуален, т.к. структура сети поменялась, точнее ipip туннель поменялся на openvpn, в остальном всё примерно также, но проблема исчезла. Думаю где-то мой косяк был всё таки, т.к. я больше бсдшник, чем линупсоид