Jump to content
Калькуляторы

Шлюз в инет на основе linux

Reply to this topic

hasuhands   

hasuhands
Posted

Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском.

 

Гугл ничего толкового не дал. Все старье или слишком муторно

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted
Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском.  

 

Гугл ничего толкового не дал. Все старье или слишком муторно

 

1. в /etc/sysctl.conf добавить/заменить строчку net.ipv4.ip_forward = 1

2. потом прочитать http://gazette.lrn.ru/rus/articles/iptable...s-tutorial.html

3. в конце есть несколько примеров. берём rc.firewall и меняем в нём ип-адреса на свои.

 

этого достаточно чтобы выпустить локалку в инет. вся операция занимает полчаса вместе с установкой линуха.

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted

1. загружаем в ядро необходимые модули

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ipt_REJECT

 

2. включаем форвардинг пакетов в ядре

echo "1" > /proc/sys/net/ipv4/ip_forward

 

3. Сбрасываем все текущие настройки firewall

iptables -F

iptables -t nat -F

 

4. Прописываем правила для входящих и исходящих пакетов:

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

4.3. ну и напоследок сделать NAT с внешнего адреса 1.2.3.4 на адреса 192.168.0.0/24

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 1.2.3.4

 

всё собственно, если не заморачиваться за различные поитики безопасности и т.п. А остальное - iptables howto

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Share this post

Link to post
Share on other sites

Ugnich Anton   

Ugnich Anton
Posted
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Ну добавьте

iptables -P FORWARD REJECT

:)

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Ну добавьте

iptables -P FORWARD REJECT

:)

тогда уже лучше DROP, а заодно:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

будет мегазащищённый роутер %)

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted
правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

 

Ах да, дропать FORWARD-то я и забыл :)

 

По уму конечно надо и INPUT и OUTPUT дропать и прописывать конкретные правила, которые бы разрешали только конкретные направления, но это уже автор топика будет самостоятельно осваивать после курения соответствующих man'ов :)

Share this post

Link to post
Share on other sites

Ugnich Anton   

Ugnich Anton
Posted
тогда уже лучше DROP, а заодно:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

будет мегазащищённый роутер %)

... на который хозяин не сможет зайти. :)

IMHO, если это действительно только роутер и на нем на портах ничего, кроме ssh не висит, DROP-ать INPUT & OUTPUT ни к чему. Тем более, если человек только учится, а сервер не стоит в метре от него.

Share this post

Link to post
Share on other sites

alcool   

alcool
Posted

а вообще, если у человека такие вопросы - я бы посоветовал моновол. А пока моновол будет работать, человеку никто не будет мешать изучать свой линух.

www.m0n0.ch

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы