Debian, nat
Már a DHCP szerver a hálózatban.
Most van itt az ideje, hogy az internetes számítógépek a hálózatunkba. Egyetértünk abban, hogy eth0 - külső felület, amelyen keresztül az átjáró kap interneten. eth1 - felület, amely úgy néz ki, egy átjáró a hálózathoz.
Ha a szerver csatlakozik az internethez PPPoE - eth0 ppp0 kell cserélni. És így tovább.
Nos, és alkalmazza az új konfigurációt, hogy ne indítsa újra:
root @ debian-átjáró:
Mint lehetőség -, hogy végre egy parancsot (csak akkor működik, újraindítás nélkül):
root @ debian-átjáró:
# Sysctl -w net.ipv4.ip_forward = "1"
Most elmondjuk mi szerver, ami tulajdonképpen a közvetlen forgalom beérkezik szerverünkre, mint az átjáró (eth0 helyett adja meg a felület, amely úgy néz ki, egy átjáró internet):
root @ debian-átjáró:
# Iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
A problémák diagnosztizálása. Problémák itt is két okból. Először - még nincs beállítva változó. Megyünk vissza az elejére és a kézikönyv újraolvastam. Második - iptables. Ahhoz, hogy megpróbáljuk megoldani ezt a problémát - add iptables -F az első sorban a fájl /etc/rc.local.
Ha ez nem működik - kérjük, forduljon hozzám, majd én segítek.
Köszönöm a megjegyzést. Azt illeszkednek a cikk nem, tényleg, de aztán hadd biztos, hogy élő)
Igen Vegyétek el a dhcp, törölve fayervod, sbrochils minden iptables szabályok és szerzett)
Még az is kérdéses, hogy lehetséges néhány szabályt Tipo
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
?
@RomanS
Írja pontosan mit csinált, miután az „Internet közvetlenül az elsődleges szerver nem hozták létre.” Egyes kikötőkben, amelyek kapcsolatban, hogy milyen beállítások, ahol megváltozott.
Uv.Tovarisch inkvizítor, már a következő séma szerint: az eth1 átjáró (192,168,10,254) ebből VDSL modem (192.168.10.253) lefordítva bridge módban a kábelt, az átjáró emelt pppoe kapcsolatot, járkált az utasításokat ezen az oldalon csak egy Internet átjáró .
Kérjük, jelezze, hogyan kell a dolgokat nézni (és javíts ki, ha tévedek)
modem 192,168,10,253
Gateway 192,168,10,254 eth1
eth0 beragadt egy közös hálózati kapcsoló nem rendelt ip, de a hálózat működik ki lokalki látott és lát, és ha ez a felület, hogy húzza ki a Ping eltűnik.
Meg kell dolgozni az útmutató az én áramkör? vagy kakieto jellemzői? gép a belső hálózaton (linux crunch) beszél a hálózat elérhetetlen anglitski és kikapcsol, ha kikapcsolja az átjáró csomópont hozzáférhetetlenségének.
Következő beszélgetés értelmetlen nélkül sajátosságait. Hagyja ifconfig, ip ro sh, ping, Tracy az összes gépről, ha nem érti.
gateway # ifconfig
eth0 link encap: Ethernet HWaddr f8: d1: 11: 00: 6e: 92
inet addr: 192.168.10.254 BCAST: 19
root @ GW: / home / mester # 2.168.10.255 maszk: 255.255.255.0
INET6 addr: fe80 :: fad1: 11ff: fe00: 6e92 / 64 kör: link
UP KÖZVETÍTÉS RUNNING multicast MTU: 1500 Metric: 1
RX csomagok: 98 hibák: 0 csökkent: 0 túllépését: 0 keret: 0
TX csomagok: 42 hiba: 0 leesett: 0 túllépése: 0 hordozó: 0
ütközések: 0 txqueuelen: 1000
RX bájt: 11628 (11,3 KiB) TX bájt: 6450 (6.2 KiB)
Megszakítás: 26 Base address: 0x8000
eth1 link encap: Ethernet HWaddr 8c: 89: a5: 11: 09: 9c
inet addr: 192.168.100.1 BCAST: 192.168.100.255 maszk: 255.255.255.0
INET6 addr: fe80 :: 8e89: a5ff: fe11: 99c / 64 kör: link
UP KÖZVETÍTÉS RUNNING promisc multicast MTU: 1500 Metric: 1
RX csomagok: 136 hiba: 0 leesett: 0 túllépése: 0 frame: 0
TX csomagok: 281 hibák: 0 csökkent: 0 túllépését: 0 hordozó: 4
ütközések: 0 txqueuelen: 1000
RX bájt: 21387 (20.8 KiB) TX bájt: 28474 (27.8 KiB)
Megszakítás: 27
lo link encap: Helyi visszacsatoló
inet addr: 127.0.0.1 maszk: 255.0.0.0
INET6 cím lehetőséget. 1/128 kör: Host
UP LOOPBACK RUNNING MTU: 16436 Metric: 1
RX csomagok: 0 hiba: 0 leesett: 0 túllépése: 0 frame: 0
TX csomagok: 0 hiba: 0 leesett: 0 túllépése: 0 hordozó: 0
ütközések: 0 txqueuelen: 0
RX bájt: 0 (0.0 B) TX bájt: 0 (0.0 B)
ppp0 link encap: Point-to-Point Protocol
. Kihagytam.
RX csomagok: 109 hiba: 0 leesett: 0 túllépése: 0 frame: 0
TX csomagok: 211 hiba: 0 leesett: 0 túllépése: 0 hordozó: 0
ütközések: 0 txqueuelen: 3
RX bájt: 17245 (16.8 KiB) TX bájt: 15536 (15.1 KiB)
használó
root @ GÉP1: / home / jenny # ifconfig
eth0 link encap: Ethernet HWaddr 00: 25: 22: 1c: f6: 07
inet addr: 192.168.10.101 BCAST: 192.168.10.255 maszk: 255.255.255.0
INET6 addr: fe80 :: 225: 22. oldaltól: fe1c: f607 / 64 kör: link
UP KÖZVETÍTÉS RUNNING multicast MTU: 1500 Metric: 1
RX csomagok: 710 hiba: 0 leesett: 0 túllépése: 0 frame: 0
TX csomagok: 617 hiba: 0 leesett: 0 túllépése: 0 hordozó: 0
ütközések: 0 txqueuelen: 1000
RX bájt: 188.098 (183,6 KiB) TX bájt: 59.491 (58.0 KiB)
Megszakítás: 26 Base address: 0xe000
lo link encap: Helyi visszacsatoló
inet addr: 127.0.0.1 maszk: 255.0.0.0
INET6 cím lehetőséget. 1/128 kör: Host
UP LOOPBACK RUNNING MTU: 16436 Metric: 1
RX csomagok: 40 hiba: 0 leesett: 0 túllépése: 0 frame: 0
TX csomagok: 40 hiba: 0 leesett: 0 túllépése: 0 hordozó: 0
ütközések: 0 txqueuelen: 0
RX bájt: 3808 (3.7 KiB) TX bájt: 3808 (3.7 KiB)
root @ GÉP1: / home / jenny # ping ya.ru
ping: unknown host ya.ru
root @ GÉP1: / home / jenny #
192,168,10,254 a felhasználó regisztrált, mint egy átjáró, az átjáró eth1 eth0 inet néz be a hálózatba. miért csomagok nem megy nem értem. az átjáró a „Net
Rendben van. Megvan. után alkalmazza a szabályokat aypitables, internet leállt. mondja meg a szabályokat? Itt config
#! / Bin / sh
/ Sbin / depmod -a
/ Sbin / modprobe ip_tables
/ Sbin / modprobe ip_conntrack
/ Sbin / modprobe iptables_filter
/ Sbin / modprobe iptables_nat
echo «1" > / proc / sys / net / ipv4 / ip_forward
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mángorló -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -t mángorló -F
iptables -X
iptables -t nat -X
iptables -t mángorló -X
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i ppp0 -j ACCEPT
#iptables -A FORWARD -i ppp1 -j ACCEPT
#iptables -t nat -A POSTROUTING -s 10.10.10.2 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.10 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.7 -j MARK -set-mark 103
iptables -t nat -A POSTROUTING -s 10.10.10.3 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.3 -j MARK -set-mark 106
iptables -t nat -A POSTROUTING -s 10.10.10.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.5 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.6 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.7 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.9 -j MARK -set-mark 105
#iptables -t mangle -A FORWARD -s 10.10.10.6 -j MARK -set-mark 101
iptables -t nat -A POSTROUTING -s 10.10.10.8 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.8 -j MARK -set-mark 102
iptables -t nat -A POSTROUTING -s 10.10.10.9 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.11 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.12 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.13 -o ppp0 -j MASQUERADE
lo link encap: Helyi visszacsatoló
inet addr: 127.0.0.1 maszk: 255.0.0.0
UP LOOPBACK RUNNING MTU: 16436 Metric: 1
RX csomagok: 957 hiba: 0 leesett: 0 túllépése: 0 frame: 0
TX csomagok: 957 hiba: 0 leesett: 0 túllépése: 0 hordozó: 0
ütközések: 0 txqueuelen: 0
RX bájt: 52.515 (51,2 KiB) TX bájt: 52.515 (51,2 KiB)
Előre is köszönöm
Amennyiben ez az opus letöltött?
Írja magukat a szabályokat. Azok, akik ezt igénylik.
P / S én tévedésből postnul fel kérdését az első része a dhcp - eltávolíthatja azt onnan, majd hagyjuk?
Megnéztem újra iperf sebességgel egy nyilvános szerveren. Kiderült, hogy tévedtem, és letöltési sebesség és két nagyságrenddel kisebb, mint a számítógép, mint az átjáró.
Úgy nézett ki, mint a CPU-használat a ps aux az átjárónál.
gyökér 2343 1.9 0.0 12592 892 pont / 0 Ss + Apr18 48:50 / usr / sbin / xl2tpd
Van egy pár kworker-s 1,6%. A processzor kell i7, így az ilyen problémák nem várhatók. Egy számítógépen is minden csendes.
MAIL = mail1.ru.com
Belső hálón lévő = 192.168.10.0 / 24
LOCALNET1 = 192.168.2.0 / 24
#mail
iptables -A FORWARD -p tcp -s $ belső hálón -d $ MAIL -dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s $ MAIL -d $ belső hálón -Sport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s $ belső hálón -d $ MAIL -dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s $ MAIL -d $ belső hálón -Sport 110 -j ACCEPT
#nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s $ LOCALNET1 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s $ belső hálón -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $ belső hálón -dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $ belső hálón -dport 25 -j MASQUERADE
) De ez nem küld lokalki baht nem fogadja. mailben. Nem mindenütt fontos, de még mindig van egy átjáró osztja a hálózat két logikai keresztül dshsp.
És mindez miért építése, mondd?
És általában, úgy tűnik, csak nakopipastil valamit egy véletlenszerűen helyen. Azt javaslom, hogy kezdjük megérteni, mi az egyes vonalak, majd fektesse a küldetése, aztán majd meglátjuk, ha a hiba.
Minden épeszű alapított script egyszerű angol rám Ka és kisebb változtatásokat vualyap
Én megosztás nem a kapzsiság Rada
#! / Bin / sh
# Zárja az eredetileg MINDENT (azaz kezdetben minden, ami nem megengedett - nem engedélyezett):
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
# Established state jelzi, hogy ez nem az első csomag a kapcsolatot.
# Az összes kihagyása a már kezdeményezett kapcsolatok, valamint a leányvállalatok tőlük
iptables -A INPUT -p minden -m state -országhatár LÉTRE, KAPCSOLÓDÓ -j ACCEPT
# Figyelmen kívül hagyja az új, valamint a már megkezdett és leányvállalataik kapcsolat
iptables -A OUTPUT -p minden -m state -országhatár ÚJ, meggyökeresedett KAPCSOLATOS -j ACCEPT
# Hagyjuk továbbítást az új és a már megkezdett és leányvállalataik kapcsolatok
iptables -A FORWARD -p minden -m state -országhatár ÚJ, meggyökeresedett KAPCSOLATOS -j ACCEPT
###
iptables -P INPUT DROP
iptables -P OUTPUT DROP
####
iptables -P FORWARD DROP
## ************************************************ *********************
# Itt elvileg nem kell mindezt, de ez nem akadály
# Hirtelen egy modul nincs betöltve, vagy továbbítási nincs engedélyezve
#echo «1" > / proc / sys / net / ipv4 / ip_forward
echo «1" > / proc / sys / net / ipv4 / ip_dynaddr
#modprobe iptables_nat
#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
# Interface amely úgy néz ki, hogy az internet
WAN = eth0
# Helyi hálózat
LAN = eth1
LAN_IP_RANGE = 192.168.10.0 / 24
LAN_IP2_RANGE = 192.168.2.0 / 24
# Tiszta láncokat iptables
$ IPT -F
$ IPT -F -t nat
$ IPT -F -t mángorló
$ IPT -X
$ IPT -t nat -X
$ IPT -t mangle -X
# Zárja az eredetileg MINDENT (azaz kezdetben minden, ami nem megengedett - nem engedélyezett):
$ IPT -P INPUT DROP
$ IPT -P OUTPUT DROP
$ IPT -P FORWARD DROP
# Hagyjuk helyi forgalmat loopback és a belső hálózat
$ IPT -A INPUT -i lo -j ACCEPT
$ IPT -A INPUT -i $ LAN -j ACCEPT
$ IPT -A OUTPUT -o lo -j ACCEPT
$ IPT -A OUTPUT -o $ LAN -j ACCEPT
# Established state jelzi, hogy ez nem az első csomag a kapcsolatot.
# Az összes kihagyása a már kezdeményezett kapcsolatok, valamint a leányvállalatok tőlük
$ IPT -A INPUT -p minden -m state -országhatár LÉTRE, KAPCSOLÓDÓ -j ACCEPT
# Figyelmen kívül hagyja az új, valamint a már megkezdett és leányvállalataik kapcsolat
$ IPT -A OUTPUT -p minden -m state -országhatár ÚJ, meggyökeresedett KAPCSOLATOS -j ACCEPT
# Hagyjuk továbbítást az új és a már megkezdett
# Csatlakozások és leányvállalataik
$ IPT -A FORWARD -p minden -m state -országhatár ÚJ, meggyökeresedett KAPCSOLATOS -j ACCEPT
# Engedélyezi csomag töredezettség. Szükséges, mert a különböző értékek MTU
$ IPT -I FORWARD -p tcp TCP-zászlók SYN, RST SYN -j TCPMSS -clamp-MSS-to-PMTU
# Dobd a csomagokat, amelyek nem azonosíthatók
# És ezért nem lehet egy bizonyos állapotot.
$ IPT -A INPUT -m state -országhatár érvénytelen -j DROP
$ IPT -A FORWARD -m state -országhatár érvénytelen -j DROP
# Vezet kötődését a rendszer erőforrásait, hogy az igazi
# Adatcsere lehetővé válik.
$ IPT -A INPUT -p tcp. -syn -m state -országhatár NEW -j DROP
$ IPT -A OUTPUT -p tcp. -syn -m state -országhatár NEW -j DROP
# Hozzáférés engedélyezése a belső hálózaton kívülről
$ IPT -A FORWARD -i $ LAN -o $ WAN -j ACCEPT
# Blokk kívülről hozzáférést a belső hálózathoz
$ IPT -A FORWARD -i $ WAN -o $ LAN -j REJECT
Az álcázás #
$ IPT -t nat -A POSTROUTING -o $ WAN -s $ LAN_IP_RANGE -j MASQUERADE
$ IPT -t nat -A POSTROUTING -o $ WAN -s $ LAN_IP2_RANGE -j MASQUERADE
# Következő, példaként a nyílás kívülről portok:
# ************************************************* *********************
# Nyissa meg a port ssh
# $ IPT -A INPUT -i $ WAN -p tcp -dport 22 -j ACCEPT
# Portok megnyitása torrent (mint például meghatározott torrent-kliens)
# $ IPT -A INPUT -i $ WAN -p tcp -m multiport -ports 49152: 65535 -j ACCEPT
# 443 nyitva port
$ IPT -A INPUT -p tcp -dport 443 -j ACCEPT
# Nyitott 80-as portot webhelyek
$ IPT -A INPUT -i $ WAN -p tcp -dport 80 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 80 -j ACCEPT
# Portok megnyitása a játék szerverek
$ IPT -A INPUT -i $ WAN -p tcp -dport 27010: 27030 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 27010: 27030 -j ACCEPT
# Portok megnyitása a Team Speak hang szerver
$ IPT -A INPUT -i $ WAN -p tcp -dport 9987 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 9987 -j ACCEPT
# Nyisd meg az e-mail portok
$ IPT -A INPUT -i $ WAN -p tcp -dport 25 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 25 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p tcp -dport 110 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 110 -j ACCEPT
# ************************************************* *********************
#
## iptables -A INPUT -i lo -j ACCEPT
#iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j MASQUERADE
#