Форумы
Kalina LUG :: Форумы :: Основной :: Администрирование |
|
<< Предыдущая тема | Следующая тема >> |
Проблемка с iptables |
Модераторы: kalina, sanitar, NaTty, COMRADE_ARTYOM, variable, Solaris, az, Andreyf1
|
Автор | Добавил | ||
beloz |
|
||
ID пользователя #26
Зарегистрирован: Птн Фев 29 2008, 00:27Сообщений: 26 |
Может даже и не файрволом.. Ну, всё по порядку: Подключён я к Диалогу. Дома схема такая: витая пара от диалога приходит в шлюз (старый ящик в качестве качалки, итд), кторый смотрит интерфейсом eth0 (172.20.*.*) к провайдеру, а eth1 (192.168.0.1) к десктопу (eth0 192.168.0.2). Т.к. раньше не разбирался с правилами файрвола и проч, чтобы осуществить форвардинг пакетов, просто поставил ipmasq и dnsmasq. И всё бы хорошо (инет есть на десктопе), но вот в локалку провайдера с десктопа ходу нет. Долго читал руководство по iptables и по route, так ни к чему и не пришёл. Вроде бы всё правильно, и должно работать. Правила файрвола:
kibron:~# iptables -L
Помогоите кто разбирается. П.С. Думаю не принципиально, но всё же. На шлюзе стоит Debian Etch. |
||
Наверх |
|
||
overmind88 |
|
||
ID пользователя #25
Зарегистрирован: Чтв Фев 28 2008, 23:58Сообщений: 221 |
net.ipv4.ip_forward=1 в /etc/sysctl.conf на шлюзе есть? | ||
Наверх |
|
||
beloz |
|
||
ID пользователя #26
Зарегистрирован: Птн Фев 29 2008, 00:27Сообщений: 26 |
Хм. Было net.ipv4.conf.default.forwarding=1 закоментированое. Раскаментил.. С виду толку нет | ||
Наверх |
|
||
az |
|
||
ID пользователя #30
Зарегистрирован: Сбт Мар 01 2008, 13:42Сообщений: 273 |
можете уточнить что значит "в локалку провайдера с десктопа ходу нет" |
||
Наверх |
|
||
overmind88 |
|
||
ID пользователя #25
Зарегистрирован: Чтв Фев 28 2008, 23:58Сообщений: 221 |
в общем у него есть на шлюзе два интерфейса - eth0 и ppp0 - локалка и инет, так вот с ppp0 у него пакеты форвардятся на второй комп, а с eth0 - нет, я так понял. ещё хотелось бы узнать, как именно он форвардинг делал | ||
Наверх |
|
||
beloz |
|
||
ID пользователя #26
Зарегистрирован: Птн Фев 29 2008, 00:27Сообщений: 26 |
overmind88, всё верно. А как делал? Вот как тут писали) Давно это было. [-link-] [ Редактирование Вск Май 25 2008, 01:11 ] |
||
Наверх |
|
||
overmind88 |
|
||
ID пользователя #25
Зарегистрирован: Чтв Фев 28 2008, 23:58Сообщений: 221 |
хм, в приведённой тобой ссылке расшаривают через сквид, а у тебя что-то его не видно. в моих линуксах рекомендуют такую схему: [-link-] ещё можно почитать [-link-] а ещё можешь обратится на тис-диалоге к шакледу, у него вроде тоже линуксовый шлюз на отдельном компе |
||
Наверх |
|
||
beloz |
|
||
ID пользователя #26
Зарегистрирован: Птн Фев 29 2008, 00:27Сообщений: 26 |
Не через сквид. Сквид там в качестве кеширующего прокси и не больше. Используются пакетики ipmasq и dnsmasq. Выдержки из манов: ipmasq sets up IP Masquerading firewall rules using the ipfwadm, ipchains or iptables command, depending on the kernel version. dnsmasq is a lightweight DNS and DHCP server. It is intended to provide coupled DNS and DHCP service to a LAN. За ссылки спасибо, про iptables почитаю |
||
Наверх |
|
||
Freeman |
|
||
ID пользователя #32
Зарегистрирован: Вск Мар 02 2008, 23:04Сообщений: 47 |
Собрат по несчастью | ||
Наверх |
|
||
beloz |
|
||
ID пользователя #26
Зарегистрирован: Птн Фев 29 2008, 00:27Сообщений: 26 |
Freeman, хе Вручную настроив правила как в руководстве по одной из ссылок Овермайнда, пакеты таки ходят во внешнюю локалку, но в инет не хотят Будем думать дальше. |
||
Наверх |
|
||
beloz |
|
||
ID пользователя #26
Зарегистрирован: Птн Фев 29 2008, 00:27Сообщений: 26 |
Разобрался я наконец Сидел по вечерам читал руководство по iptables (взял с opennet.ru). Сегодня вот сел и написал небольшой скриптик, который не претендует на правильность и обеспечение безопасности, но "it's work!" Скрипт: [ Редактирование Птн Июн 06 2008, 13:34 ] |
||
Наверх |
|
||
Solaris |
|
||
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Много правил, но может быть и правильно. В одной конторе где я раньше работал была мегазащищенная сеть с помощью IPTABLES, и то столько правил не было. Сам хотел автору порекомендовать ссылку по IPTABLES с opennet.ru, но он меня опередил. Считаю что в этой ссылке очень хорошо все написано, сам по ней правила составлял. | ||
Наверх |
|
||
Powered by e107 Forum System