Автор Тема: iptables  (Прочетена 6013 пъти)

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
iptables
« -: May 10, 2003, 21:47 »
Току що разбрах че има начин да пусна интернет на друго ПС в локалната мрежа чрез iptables или ipchains.. Въпроса ми е къде точно мога да прочета повече по въпроса освен в man-a, щото там не са го писали като за ламери като мене '<img'>
Та?
Активен

  • Гост
iptables
« Отговор #1 -: May 11, 2003, 00:59 »
Masquerading-Simple-HOWTO v internet ili
/usr/doc/Linux-HOWTOs/Masquerading-Simple-HOWTO pone pri men v slackware mislia 4e be6e tam '<img'>))), ako si config pravilno dvete NIC(LAN) i eth0 ti e internetskata karta moje da dobavi6 slednite redove v rc.local :
modprobe ipt_MASQUERADE
iptables -F; iptables -t nat -F; iptables -t mangle -F
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
ot proba HE boli glava '<img'>))
Активен

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
iptables
« Отговор #2 -: May 11, 2003, 11:57 »
Въобще не мога да си намеря HOWTOтата. С rh8 съм. А на modprobe ми вика:
$ modprobe ipt_MASQUERADE
bash: modprobe: command not found
Имах предвид да прочета нещо по темата от нета.
ПП. Може ли да обясниш подробно всеки ред от горния пример?
ППП. Порових се из manualа и да видим дали съм разбрал горния пример поне '<img'> :
iptables -F; - изтрива всички таблици
ptables -t nat -F; - изтрива таблица nat
ptables -t mangle -F; - изтрива таблица mangle
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE - използва таблица nat, като добавя правило POSTROUTING от източник 192.168.0.0 (тук накрая не трябва ли да е 0.1? IPто на gateway-a ни завършва на 0.1), с маска 255.255.255.0, използва за изходящ интерфейс eth0 (мрежовата ми карта) и... тук вече продължението ми се губи... Може би прескача на правило MASQUERADE, ама точно как и защо не мога да разбера.
Какво трябва да се направи по тоя пример ако получавам интернет от 192.168.0.1 и искам да изпратя на 192.168.0.5? И това MASQUERADE не се ли ползва само за dial-up клиенти!?

Ъъъм, май аз не съм задал правилно въпроса '<img'>
Искам да пусна интернет през мойто ПС на ПС от мрежата ни като при това искам и АЗ да имам нет, все пак '<img'>
Активен

mrvoland

  • Напреднали
  • *****
  • Публикации: 382
    • Профил
iptables
« Отговор #3 -: May 11, 2003, 14:27 »
http://www.linuxguruz.org/iptables/
Активен

no pain no gain!

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
iptables
« Отговор #4 -: May 11, 2003, 15:12 »
Сайтът е невероятно подробен, поне си намерих материал за четене за седмици напред '<img'> Дори прекалено подоробен, може би.. Но не можах да намеря за мойта ситуация. Така че, ако може, дайте ми точен пример, все пак едвам онзи ден научих за тези iptables и би могло да мине ДООооста време докато се оправя сам '<img'>
Активен

n_antonov

  • Напреднали
  • *****
  • Публикации: 1185
    • Профил
    • WWW
iptables
« Отговор #5 -: May 11, 2003, 15:41 »
На сайта, посочен от колегата, почти във всеки скрипт го има твоя случай'<img'> Трябва само да си редактираш променливите (адреси, мрежови маски, интерфейси...). Където виждаш да пише IP Forwarding и NAT (SNAT), значи е за теб. Хубавото не тези скриптове е, че се грижат и за сигурността.

Да, маскарад се ползва при динамични IP-адреси (не само dial-up), иначе ползваш SNAT. Пробвай скрипта "NAT and blocking all but port 22", но си въведи данните на мрежовата конфигурация в началото, както е описано.
Активен

-------------------------------------------------------------------------
./debian/rules

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
iptables
« Отговор #6 -: May 12, 2003, 10:46 »
Ошашавен съм тотално. ':0'
Гледам променливите в горепосочения скрипт и се чудя и мая.. dev_world и dev_int предполагам че са входящ и изходящ интерфейс.. ами като имам само едничка лан карта eth0 ли да сложа и на двете? Няма ли да се бърка?
Примерен код
# Firewall IP
addr_int=192.168.1.1

това IPто към което ще препращам нет ли е?
Примерен код
# Internal Net
net_int=192.168.1.0/24

това гетауейа от който получавам нет ли е?
Примерен код
# Port Forwarding
#iptables -A PREROUTING -t nat -p tcp -d 192.168.1.1 --dport 5901 --to
192.168.1.2:5901 -j DNAT

този ред не трябва ли да се промени? в нашата мрежа нямаме IP 192.168.1.1
Активен

n_antonov

  • Напреднали
  • *****
  • Публикации: 1185
    • Профил
    • WWW
iptables
« Отговор #7 -: May 12, 2003, 13:05 »
addr_int=192.168.1.1 - това е ip-адреса на машината, на която се стартира скриптът

net_int=192.168.1.0/24 - това е адресът на мрежата, от която е част хостът, на който се стартира скриптът

#iptables -A PREROUTING -t nat -p tcp -d 192.168.1.1 --dport 5901 --to
192.168.1.2:5901 -j DNAT - този ред е комнетиран, не ти трябва и няма да се изпълни

Кои са ти двата мрежови интерфейса? Единият е външен (отива към интернет), а другият - вътрешен (отива към локалната мрежа). Трябва да ги посочиш в раздела с променливите.
Активен

-------------------------------------------------------------------------
./debian/rules

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
iptables
« Отговор #8 -: May 12, 2003, 13:34 »
Хмм. Имам само един мрежов интерфейс -eth0. Все пак аз не съм рутер. Може ли при това положение да стане номера? Т.е. нета да идва от доставчика, да минава през гетауейа на локалната мрежа, да минава И през мен по пътя за един от компютрите в същата локална мрежа. Причина си имам '<img'>
Активен

n_antonov

  • Напреднали
  • *****
  • Публикации: 1185
    • Профил
    • WWW
iptables
« Отговор #9 -: May 12, 2003, 15:31 »
Как ще направиш така интернетът да минава през теб и да отива към друга машина, като имаш само един мрежов интерфейс?
Активен

-------------------------------------------------------------------------
./debian/rules

KNK

  • Напреднали
  • *****
  • Публикации: 49
    • Профил
iptables
« Отговор #10 -: May 12, 2003, 15:40 »
mislia, che te razbrah. triabva da nastroish vtoroto PC da polzva kato gateway tvoeto (PC1), a za teb
Примерен код
iptables -t nat -A POSTROUTING -s <PC2IP> -o eth0 -j SNAT <PC1IP>
vmesto SNAT stava i MASQUERADE, no za statichno IP e za predpochitane da polzvash SNAT
naj-vazhnoto e da nastroish vtoroto PC, che ti si mu gateway.
Активен

  • Гост
iptables
« Отговор #11 -: May 12, 2003, 18:10 »
Цитат (ivanatora @ Май 12 2003,14:34)
Хмм. Имам само един мрежов интерфейс -eth0. Все пак аз не съм рутер. Може ли при това положение да стане номера? Т.е. нета да идва от доставчика, да минава през гетауейа на локалната мрежа, да минава И през мен по пътя за един от компютрите в същата локална мрежа. Причина си имам '<img'>

'<img'>)) o6te ot na4aloto si misleh 4e ne6to HE e kakto triabva, no kakto i da e . . . '<img'>))http://www.linux.org/docs/ldp/howto/Masquerading-Simple-HOWTO/index.html
Активен

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
iptables
« Отговор #12 -: May 12, 2003, 19:02 »
Примерен код

sbin]# ./iptables -t nat -A POSTROUTING -s 192.168.0.6 -o eth0 -j SNAT 192.168.0.10
Bad argument `192.168.0.10'

А ся, де '<img'>
Не трябва ли да е -s <MYip> -o eth0 -j SNAT --to-source <PC2ip> ?
Активен

KNK

  • Напреднали
  • *****
  • Публикации: 49
    • Профил
iptables
« Отговор #13 -: May 12, 2003, 19:31 »
Цитат (ivanatora @ Май 12 2003,19<!--emo&':0')
Bad argument `192.168.0.10'

ami ne. po-skoro triabva da e
Примерен код
iptables -t nat -A POSTROUTING -s 192.168.0.6 -o eth0 -j SNAT --to-source 192.168.0.10
propusnal sam --to-source prosto
podrazbiram, che 192.168.0.6 e IPto na drugoto PC, a 192.168.0.10 e tvoeto PC. Ako ne e taka korigiraj go - tova znachi da zamenia adresa na drugoto PC s tvoeto, koeto se iska vsashtnost za da minavat zaiavkite prez gateway-a vse edno sa ot tebe, a ne ot drugoto ip (saotvetno da se vrashtat pri teb, no za da mozhe drugoto PC da si gi nameri pri teb, ponezhe si mu gateway)
Активен

ivanatora

  • Напреднали
  • *****
  • Публикации: 658
  • Distribution: Ubuntu 10.04
  • Window Manager: Fluxbox
    • Профил
    • WWW
iptables
« Отговор #14 -: May 12, 2003, 20:11 »
Добри новини '<img'>
Интернета вече върви '<img'>
Проблема какъв беше:
cat /proc/sys/net/ipv4/ip_forward
0
'<img'> '<img'> '<img'>
Сърдечно благодаря на всички помогнали '<img'>
Активен