Перейти к содержимому
Калькуляторы

Шлюз в инет на основе linux

Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском.

 

Гугл ничего толкового не дал. Все старье или слишком муторно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость
Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском.  

 

Гугл ничего толкового не дал. Все старье или слишком муторно

 

1. в /etc/sysctl.conf добавить/заменить строчку net.ipv4.ip_forward = 1

2. потом прочитать http://gazette.lrn.ru/rus/articles/iptable...s-tutorial.html

3. в конце есть несколько примеров. берём rc.firewall и меняем в нём ип-адреса на свои.

 

этого достаточно чтобы выпустить локалку в инет. вся операция занимает полчаса вместе с установкой линуха.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость

1. загружаем в ядро необходимые модули

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ipt_REJECT

 

2. включаем форвардинг пакетов в ядре

echo "1" > /proc/sys/net/ipv4/ip_forward

 

3. Сбрасываем все текущие настройки firewall

iptables -F

iptables -t nat -F

 

4. Прописываем правила для входящих и исходящих пакетов:

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

4.3. ну и напоследок сделать NAT с внешнего адреса 1.2.3.4 на адреса 192.168.0.0/24

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 1.2.3.4

 

всё собственно, если не заморачиваться за различные поитики безопасности и т.п. А остальное - iptables howto

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Ну добавьте

iptables -P FORWARD REJECT

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость
1. загружаем в ядро необходимые модули

4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0)

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть  

iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT

правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

Ну добавьте

iptables -P FORWARD REJECT

:)

тогда уже лучше DROP, а заодно:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

будет мегазащищённый роутер %)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость

Ходишь на http://lafox.net/docs/MDKman2/MDKman.html/ - читаешь доку, а главу 5. Как раздать интернет на локальную сеть - 2 раза. Настраиваешь, заходиш в инет ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость
правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT.

 

Ах да, дропать FORWARD-то я и забыл :)

 

По уму конечно надо и INPUT и OUTPUT дропать и прописывать конкретные правила, которые бы разрешали только конкретные направления, но это уже автор топика будет самостоятельно осваивать после курения соответствующих man'ов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда уже лучше DROP, а заодно:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

будет мегазащищённый роутер %)

... на который хозяин не сможет зайти. :)

IMHO, если это действительно только роутер и на нем на портах ничего, кроме ssh не висит, DROP-ать INPUT & OUTPUT ни к чему. Тем более, если человек только учится, а сервер не стоит в метре от него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вообще, если у человека такие вопросы - я бы посоветовал моновол. А пока моновол будет работать, человеку никто не будет мешать изучать свой линух.

www.m0n0.ch

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.