hasuhands Posted February 10, 2005 Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском. Гугл ничего толкового не дал. Все старье или слишком муторно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted February 11, 2005 Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском. Гугл ничего толкового не дал. Все старье или слишком муторно 1. в /etc/sysctl.conf добавить/заменить строчку net.ipv4.ip_forward = 1 2. потом прочитать http://gazette.lrn.ru/rus/articles/iptable...s-tutorial.html 3. в конце есть несколько примеров. берём rc.firewall и меняем в нём ип-адреса на свои. этого достаточно чтобы выпустить локалку в инет. вся операция занимает полчаса вместе с установкой линуха. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted February 11, 2005 1. загружаем в ядро необходимые модули /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ipt_REJECT 2. включаем форвардинг пакетов в ядре echo "1" > /proc/sys/net/ipv4/ip_forward 3. Сбрасываем все текущие настройки firewall iptables -F iptables -t nat -F 4. Прописываем правила для входящих и исходящих пакетов: 4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT 4.3. ну и напоследок сделать NAT с внешнего адреса 1.2.3.4 на адреса 192.168.0.0/24 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 1.2.3.4 всё собственно, если не заморачиваться за различные поитики безопасности и т.п. А остальное - iptables howto Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted February 11, 2005 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ugnich Anton Posted February 11, 2005 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ну добавьте iptables -P FORWARD REJECT :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted February 11, 2005 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ну добавьте iptables -P FORWARD REJECT :) тогда уже лучше DROP, а заодно: iptables -P INPUT DROP iptables -P OUTPUT DROP будет мегазащищённый роутер %) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted February 11, 2005 Ходишь на http://lafox.net/docs/MDKman2/MDKman.html/ - читаешь доку, а главу 5. Как раздать интернет на локальную сеть - 2 раза. Настраиваешь, заходиш в инет ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted February 12, 2005 правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ах да, дропать FORWARD-то я и забыл :) По уму конечно надо и INPUT и OUTPUT дропать и прописывать конкретные правила, которые бы разрешали только конкретные направления, но это уже автор топика будет самостоятельно осваивать после курения соответствующих man'ов :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ugnich Anton Posted February 14, 2005 тогда уже лучше DROP, а заодно:iptables -P INPUT DROP iptables -P OUTPUT DROP будет мегазащищённый роутер %) ... на который хозяин не сможет зайти. :) IMHO, если это действительно только роутер и на нем на портах ничего, кроме ssh не висит, DROP-ать INPUT & OUTPUT ни к чему. Тем более, если человек только учится, а сервер не стоит в метре от него. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mech Posted February 14, 2005 Лучший Линукс это ФриБСД! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alcool Posted February 14, 2005 а вообще, если у человека такие вопросы - я бы посоветовал моновол. А пока моновол будет работать, человеку никто не будет мешать изучать свой линух. www.m0n0.ch Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Guest Posted February 19, 2005 Человеку читать opennet.ru ключевые слова nat iptables routing Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...