Jump to content
Калькуляторы

Шлюз в инет на основе linux

Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском.

 

Гугл ничего толкового не дал. Все старье или слишком муторно

Share this post


Link to post
Share on other sites
Guest
Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском.  

 

Гугл ничего толкового не дал. Все старье или слишком муторно

 

1. в /etc/sysctl.conf добавить/заменить строчку net.ipv4.ip_forward = 1

2. потом прочитать http://gazette.lrn.ru/rus/articles/iptable...s-tutorial.html

3. в конце есть несколько примеров. берём rc.firewall и меняем в нём ип-адреса на свои.

 

этого достаточно чтобы выпустить локалку в инет. вся операция занимает полчаса вместе с установкой линуха.

Share this post


Link to post
Share on other sites
Guest

1. загружаем в ядро необходимые модули

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ipt_REJECT

 

2. включаем форвардинг пакетов в ядре

echo "1" > /proc/sys/net/ipv4/ip_forward

 

3. Сбрасываем все текущие настройки firewall

iptables -F

iptables -t nat -F

 

4. Прописываем правила для входящих и исходящих пакетов:

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

4.3. ну и напоследок сделать NAT с внешнего адреса 1.2.3.4 на адреса 192.168.0.0/24

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 1.2.3.4

 

всё собственно, если не заморачиваться за различные поитики безопасности и т.п. А остальное - iptables howto

Share this post


Link to post
Share on other sites
Guest
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Share this post


Link to post
Share on other sites
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Ну добавьте

iptables -P FORWARD REJECT

:)

Share this post


Link to post
Share on other sites
Guest
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Ну добавьте

iptables -P FORWARD REJECT

:)

тогда уже лучше DROP, а заодно:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

будет мегазащищённый роутер %)

Share this post


Link to post
Share on other sites
Guest
правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

 

Ах да, дропать FORWARD-то я и забыл :)

 

По уму конечно надо и INPUT и OUTPUT дропать и прописывать конкретные правила, которые бы разрешали только конкретные направления, но это уже автор топика будет самостоятельно осваивать после курения соответствующих man'ов :)

Share this post


Link to post
Share on other sites
тогда уже лучше DROP, а заодно:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

будет мегазащищённый роутер %)

... на который хозяин не сможет зайти. :)

IMHO, если это действительно только роутер и на нем на портах ничего, кроме ssh не висит, DROP-ать INPUT & OUTPUT ни к чему. Тем более, если человек только учится, а сервер не стоит в метре от него.

Share this post


Link to post
Share on other sites

а вообще, если у человека такие вопросы - я бы посоветовал моновол. А пока моновол будет работать, человеку никто не будет мешать изучать свой линух.

www.m0n0.ch

Share this post


Link to post
Share on other sites
Guest

Человеку читать opennet.ru

 

ключевые слова nat iptables routing

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this