hasuhands Опубликовано 10 февраля, 2005 · Жалоба Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском. Гугл ничего толкового не дал. Все старье или слишком муторно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 11 февраля, 2005 · Жалоба Задача тривиальна: нужно на базе современного дистрибутива линукса с 2.4-2.6 ядром настроить шлюз в инет (в компе два сетевых интерфейса, один - внутренняя сеть, другой - инет). Посоветуйте хорошую и актуальную статью по теме, пускай даже на английском. Гугл ничего толкового не дал. Все старье или слишком муторно 1. в /etc/sysctl.conf добавить/заменить строчку net.ipv4.ip_forward = 1 2. потом прочитать http://gazette.lrn.ru/rus/articles/iptable...s-tutorial.html 3. в конце есть несколько примеров. берём rc.firewall и меняем в нём ип-адреса на свои. этого достаточно чтобы выпустить локалку в инет. вся операция занимает полчаса вместе с установкой линуха. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 11 февраля, 2005 · Жалоба 1. загружаем в ядро необходимые модули /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ipt_REJECT 2. включаем форвардинг пакетов в ядре echo "1" > /proc/sys/net/ipv4/ip_forward 3. Сбрасываем все текущие настройки firewall iptables -F iptables -t nat -F 4. Прописываем правила для входящих и исходящих пакетов: 4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT 4.3. ну и напоследок сделать NAT с внешнего адреса 1.2.3.4 на адреса 192.168.0.0/24 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 1.2.3.4 всё собственно, если не заморачиваться за различные поитики безопасности и т.п. А остальное - iptables howto Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 11 февраля, 2005 · Жалоба 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ugnich Anton Опубликовано 11 февраля, 2005 · Жалоба 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ну добавьте iptables -P FORWARD REJECT :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 11 февраля, 2005 · Жалоба 1. загружаем в ядро необходимые модули4.1. форвардить все пакеты из локальной сети (-s 192.168.0.0/24 -i eth1) на внешний интерфейс (-o eth0) iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT 4.2. форвардить все пакеты с внешнего интерфейса в локальную сеть iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.0/24 -j ACCEPT правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ну добавьте iptables -P FORWARD REJECT :) тогда уже лучше DROP, а заодно: iptables -P INPUT DROP iptables -P OUTPUT DROP будет мегазащищённый роутер %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 11 февраля, 2005 · Жалоба Ходишь на http://lafox.net/docs/MDKman2/MDKman.html/ - читаешь доку, а главу 5. Как раздать интернет на локальную сеть - 2 раза. Настраиваешь, заходиш в инет ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 12 февраля, 2005 · Жалоба правила FORWARD никчему в данном контексте так как политика по умолчанию ACCEPT. Ах да, дропать FORWARD-то я и забыл :) По уму конечно надо и INPUT и OUTPUT дропать и прописывать конкретные правила, которые бы разрешали только конкретные направления, но это уже автор топика будет самостоятельно осваивать после курения соответствующих man'ов :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ugnich Anton Опубликовано 14 февраля, 2005 · Жалоба тогда уже лучше DROP, а заодно:iptables -P INPUT DROP iptables -P OUTPUT DROP будет мегазащищённый роутер %) ... на который хозяин не сможет зайти. :) IMHO, если это действительно только роутер и на нем на портах ничего, кроме ssh не висит, DROP-ать INPUT & OUTPUT ни к чему. Тем более, если человек только учится, а сервер не стоит в метре от него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mech Опубликовано 14 февраля, 2005 · Жалоба Лучший Линукс это ФриБСД! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 14 февраля, 2005 · Жалоба а вообще, если у человека такие вопросы - я бы посоветовал моновол. А пока моновол будет работать, человеку никто не будет мешать изучать свой линух. www.m0n0.ch Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 19 февраля, 2005 · Жалоба Человеку читать opennet.ru ключевые слова nat iptables routing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...