hasuhands Posted February 10, 2005 · Report post Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском. Гугл ничего толкового не дал. Все старье или слишком муторно Share this post Link to post Share on other sites
Guest Posted February 11, 2005 · Report post Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском. Гугл ничего толкового не дал. Все старье или слишком муторно 1. в /etc/sysctl.conf добавить/заменить строчку net.ipv4.ip_forward = 1 2. потом прочитать http://gazette.lrn.ru/rus/articles/iptable...s-tutorial.html 3. в конце есть несколько примеров. берём rc.firewall и меняем в нём ип-адреса на свои. этого достаточно чтобы выпустить локалку в инет. вся операция занимает полчаса вместе с установкой линуха. Share this post Link to post Share on other sites
Guest Posted February 11, 2005 · Report post 1. загружаем в ядро необходимые модули /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ipt_REJECT 2. включаем форвардинг пакетов в ядре echo "1" > /proc/sys/net/ipv4/ip_forward 3. Сбрасываем все текущие настройки firewall iptables -F iptables -t nat -F 4. Прописываем правила для входящих и исходящих пакетов: 4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT 4.3. ну и напоследок сделать NAT с внешнего адреса 1.2.3.4 на адреса 192.168.0.0/24 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 1.2.3.4 всё собственно, если не заморачиваться за различные поитики безопасности и т.п. А остальное - iptables howto Share this post Link to post Share on other sites
Guest Posted February 11, 2005 · Report post 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Share this post Link to post Share on other sites
Ugnich Anton Posted February 11, 2005 · Report post 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ну добавьте iptables -P FORWARD REJECT :) Share this post Link to post Share on other sites
Guest Posted February 11, 2005 · Report post 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ну добавьте iptables -P FORWARD REJECT :) тогда уже лучше DROP, а заодно: iptables -P INPUT DROP iptables -P OUTPUT DROP будет мегазащищённый роутер %) Share this post Link to post Share on other sites
Guest Posted February 11, 2005 · Report post Ходишь на http://lafox.net/docs/MDKman2/MDKman.html/ - читаешь доку, а главу 5. Как раздать интернет на локальную сеть - 2 раза. Настраиваешь, заходиш в инет ... Share this post Link to post Share on other sites
Guest Posted February 12, 2005 · Report post правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ах да, дропать FORWARD-то я и забыл :) По уму конечно надо и INPUT и OUTPUT дропать и прописывать конкретные правила, которые бы разрешали только конкретные направления, но это уже автор топика будет самостоятельно осваивать после курения соответствующих man'ов :) Share this post Link to post Share on other sites
Ugnich Anton Posted February 14, 2005 · Report post тогда уже лучше DROP, а заодно:iptables -P INPUT DROP iptables -P OUTPUT DROP будет мегазащищённый роутер %) ... на который хозяин не сможет зайти. :) IMHO, если это действительно только роутер и на нем на портах ничего, кроме ssh не висит, DROP-ать INPUT & OUTPUT ни к чему. Тем более, если человек только учится, а сервер не стоит в метре от него. Share this post Link to post Share on other sites
Mech Posted February 14, 2005 · Report post Лучший Линукс это ФриБСД! Share this post Link to post Share on other sites
alcool Posted February 14, 2005 · Report post а вообще, если у человека такие вопросы - я бы посоветовал моновол. А пока моновол будет работать, человеку никто не будет мешать изучать свой линух. www.m0n0.ch Share this post Link to post Share on other sites
Guest Posted February 19, 2005 · Report post Человеку читать opennet.ru ключевые слова nat iptables routing Share this post Link to post Share on other sites
.png.ab91e50800b6e33188f8e588605101a4.png)