Модераторы: powerfox, ZeeLax

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> настройка iptables 
:(
    Опции темы
RemaGe
Дата 3.12.2007, 20:55 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 89
Регистрация: 14.4.2006

Репутация: нет
Всего: нет
Доброго времени суток)

есть машина на которой стоит Linux suse 10, на ней интернет есть, нужно настроить iptables так, чтобы он раздовал интернет, и при этом блочил все нежелательное.
Нашел в инете такой код
Код

#!/bin/sh
#
# rc.firewall - DHCP IP Firewall script for Linux 2.4.x and iptables
#
# Copyright (C) 2001  Oskar Andreasson <bluefluxATkoffeinDOTnet>
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; version 2 of the License.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program or from the site that you downloaded it
# from; if not, write to the Free Software Foundation, Inc., 59 Temple
# Place, Suite 330, Boston, MA  02111-1307   USA
#

###########################################################################
#
# 1. Configuration options.
#

#
# 1.1 Internet Configuration.
#

INET_IFACE="eth0"

#
# 1.1.1 DHCP
#

#
# Information pertaining to DHCP over the Internet, if needed.
#
# Set DHCP variable to no if you don't get IP from DHCP. If you get DHCP
# over the Internet set this variable to yes, and set up the proper IP
# address for the DHCP server in the DHCP_SERVER variable.
#

DHCP="yes"
DHCP_SERVER="192.168.1.1"

#
# 1.1.2 PPPoE
#

# Configuration options pertaining to PPPoE.
#
# If you have problem with your PPPoE connection, such as large mails not
# getting through while small mail get through properly etc, you may set
# this option to "yes" which may fix the problem. This option will set a
# rule in the PREROUTING chain of the mangle table which will clamp
# (resize) all routed packets to PMTU (Path Maximum Transmit Unit).
#
# Note that it is better to set this up in the PPPoE package itself, since
# the PPPoE configuration option will give less overhead.
#

PPPOE_PMTU="no"

#
# 1.2 Local Area Network configuration.
#
# your LAN's IP range and localhost IP. /24 means to only use the first 24
# bits of the 32 bit IP address. the same as netmask 255.255.255.0
#

LAN_IP="192.168.0.100"
LAN_IP_RANGE="192.168.0.0/16"
LAN_IFACE="eth1"

#
# 1.3 DMZ Configuration.
#

#
# 1.4 Localhost Configuration.
#

LO_IFACE="lo"
LO_IP="127.0.0.1"

#
# 1.5 IPTables Configuration.
#

IPTABLES="/usr/sbin/iptables"

#
# 1.6 Other Configuration.
#

###########################################################################
#
# 2. Module loading.
#

#
# Needed to initially load modules
#

/sbin/depmod -a

#
# 2.1 Required modules
#

/sbin/modprobe ip_conntrack
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_MASQUERADE

#
# 2.2 Non-Required modules
#

#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc

###########################################################################
#
# 3. /proc set up.
#

#
# 3.1 Required proc configuration
#

echo "1" > /proc/sys/net/ipv4/ip_forward

#
# 3.2 Non-Required proc configuration
#

#echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

###########################################################################
#
# 4. rules set up.
#

######
# 4.1 Filter table
#

#
# 4.1.1 Set policies
#

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#
# 4.1.2 Create userspecified chains
#

#
# Create chain for bad tcp packets
#

$IPTABLES -N bad_tcp_packets

#
# Create separate chains for ICMP, TCP and UDP to traverse
#

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#
# 4.1.3 Create content in userspecified chains
#

#
# bad_tcp_packets chain
#

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#
# allowed chain
#

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

#
# TCP rules
#

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

#
# UDP ports
#

$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
if [ $DHCP == "yes" ] ; then
 $IPTABLES -A udp_packets -p UDP -s $DHCP_SERVER --sport 67 \
 --dport 68 -j ACCEPT
fi

#$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
#$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT

#
# In Microsoft Networks you will be swamped by broadcasts. These lines
# will prevent them from showing up in the logs.
#

#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE \
#--destination-port 135:139 -j DROP

#
# If we get DHCP requests from the Outside of our network, our logs will
# be swamped as well. This rule will block them from getting logged.
#

#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \
#--destination-port 67:68 -j DROP

#
# ICMP rules
#

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#
# 4.1.4 INPUT chain
#

#
# Bad TCP packets we don't want.
#

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#
# Rules for special networks not part of the Internet
#

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

#
# Special rule for DHCP requests from LAN, which are not caught properly 
# otherwise.
#

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

#
# Rules for incoming packets from the internet.
#

$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#
# If you have a Microsoft Network on the outside of your firewall, you may
# also get flooded by Multicasts. We drop them so we do not get flooded by
# logs
#

#$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

#
# Log weird packets that don't match the above.
#

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "

#
# 4.1.5 FORWARD chain
#

#
# Bad TCP packets we don't want
#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# Log weird packets that don't match the above.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 OUTPUT chain
#

#
# Bad TCP packets we don't want.
#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#
# Special OUTPUT rules to decide which IP's to allow.
#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT

#
# Log weird packets that don't match the above.
#

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 nat table
#

#
# 4.2.1 Set policies
#

#
# 4.2.2 Create user specified chains
#

#
# 4.2.3 Create content in user specified chains
#

#
# 4.2.4 PREROUTING chain
#

#
# 4.2.5 POSTROUTING chain
#

if [ $PPPOE_PMTU == "yes" ] ; then
 $IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN \
 -j TCPMSS --clamp-mss-to-pmtu
fi
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

#
# 4.2.6 OUTPUT chain
#

######
# 4.3 mangle table
#

#
# 4.3.1 Set policies
#

#
# 4.3.2 Create user specified chains
#

#
# 4.3.3 Create content in user specified chains
#

#
# 4.3.4 PREROUTING chain
#

#
# 4.3.5 INPUT chain
#

#
# 4.3.6 FORWARD chain
#

#
# 4.3.7 OUTPUT chain
#

#
# 4.3.8 POSTROUTING chain
#


по описанию полностью подходит к моей ситуации, далее подключаю интернет и

Код

linux-qtcp:~ # /media/disk/rc.DHCP.firewall.txt
bash: /media/disk/rc.DHCP.firewall.txt: /bin/sh^M: bad interpreter: Permission denied

 в чем проблема?
как я понял не та консоль (их в линухе вродь несколько bash, sh...) как это исправить?
PM MAIL WWW   Вверх
JackYF
Дата 3.12.2007, 21:29 (ссылка) | (голосов:2) Загрузка ... Загрузка ... Быстрая цитата Цитата


полуавантюрист
****


Профиль
Группа: Участник
Сообщений: 5814
Регистрация: 28.8.2004
Где: страна тысячи озё р

Репутация: 1
Всего: 162
Цитата(RemaGe @  3.12.2007,  20:55 Найти цитируемый пост)
bash: /media/disk/rc.DHCP.firewall.txt: /bin/sh^M: bad interpreter: Permission denied

Цитата

dos2unix /media/disk/rc.DHCP.firewall.txt

выполни.


--------------------
Пожаловаться на меня как модератора можно здесь.
PM MAIL Jabber   Вверх
RemaGe
Дата 4.12.2007, 18:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 89
Регистрация: 14.4.2006

Репутация: нет
Всего: нет
JackYF
спасиб, пошло)
только инет на клиентских машинах все равно не появился,
на сервере инет есть, кроме настроек в прикрепленном файле, ничего не делал, на клиентской машине вбил ip сервера как шлюз, в днс пробовал вбивать айпи сервера, айпи серверов которые дал пров, инет не появился) что где не так?

Присоединённый файл ( Кол-во скачиваний: 4 )
Присоединённый файл  rc.DHCP.firewall.txt 8,42 Kb
PM MAIL WWW   Вверх
ZeeLax
Дата 4.12.2007, 18:33 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88
Без понимания ВСЕГО, что написано в этом файле вам придётся туго. Поэтому, начните с чистого листа. Почитайте документацию к iptables в частности и про сети TCP/IP вообще и/или применительно к Linux. Потом, с помощью всего одной команды iptables раздадите интернет. Проверите. Потом навешаете защиты.


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
RemaGe
Дата 4.12.2007, 18:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 89
Регистрация: 14.4.2006

Репутация: нет
Всего: нет
ZeeLax,
а какая команда?) 

и собсно почему эти настройки не работают?

Это сообщение отредактировал(а) RemaGe - 4.12.2007, 18:48
PM MAIL WWW   Вверх
ZeeLax
Дата 4.12.2007, 19:06 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88
Цитата(RemaGe @  4.12.2007,  21:47 Найти цитируемый пост)
и собсно почему эти настройки не работают?

Ну, для начала потому, что "не работает" - это несуществующая причина, тема для вопроса, бесполезное предложение, вообще - ужасное словосочетание никак не описывающее проблему smile
Потом, эти настройки, точнее, этот скрипт, подключающий модули ядра, создающий правила iptables и изменяющий настройки ядра, написан для какой-то определенной, хоть и сильно обобщенной конфигурации сети. Также должна имееться определенная конфигурация хоста, выполняющего роль маршрутизатора - интерфейсы определенного типа, с предопределенными (или нет) адресами, различные маршруты, таблицы маршрутов, правила просмотра этих таблиц и т.п.
Судя по скрипту, он написан ещё и достаточно давно, под какой-нибудь старый дистрибутив, без соблюдения "морально этнический норм" (например, параметры ядра лучше именять в файле sysct.conf, а не чем-то типа "echo "1" > /proc/foo/bar"). 
Ничего неизвестно про ваш хост, про его аппаратную и программную конфигурацию. Также ничего не известно ни о физической, ни о логической (что даже более важно) топологии сети.  Ничего не известно о вашей задаче, и о результатах её решения, кроме пресловутого "не работает". Также не известно, что значит это самое "не работает" - выполняется ли скрипт с ошибками или без, заносит ли необходимые правила в цепочки файервола ядра, правильно ли изменяет (и изменяет ли вообще) его настройки и т.п.
Вот, такой, не самый полный список причин.


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
RemaGe
Дата 4.12.2007, 19:16 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 89
Регистрация: 14.4.2006

Репутация: нет
Всего: нет
ZeeLax
Вы сказали что можно 1 командой раздать, это как?
PM MAIL WWW   Вверх
ZeeLax
Дата 4.12.2007, 19:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88
Для этого надо знать то, о чём я писал выше smile А документацию лень читать, да?


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
bilbobagginz
Дата 5.12.2007, 02:21 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Naughtius Maximus
****


Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317
Цитата(RemaGe @  3.12.2007,  20:55 Найти цитируемый пост)
есть машина на которой стоит Linux suse 10, на ней интернет есть, нужно настроить iptables так, чтобы он раздовал интернет, и при этом блочил все нежелательное.

Чтоб я так жил smile
а что для вас "нежелательное" ?

Кроме того вы взяли какой-то хитрый скрипт. И для вас он не работает.
Может быть всё таки почитаете документацию ?


и просьба: можете пожалуйста ГРАМОТНО писать по-русски.


--------------------
Я ещё не демон. Я только учусь.
PM WWW   Вверх
RemaGe
Дата 5.12.2007, 18:56 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 89
Регистрация: 14.4.2006

Репутация: нет
Всего: нет
Документацию читаю, но строить свои цепочки пока тяжело, а получать втык не приятно, поэтому и тороплюсь. Попытался упростить задачу, данный скрипт по идее должен раздавать интернет, выполняется без ошибок, интернета как не было  так инет.
Код

#!/bin/bash
IPTABLES='/sbin/iptables'

EXTIF='ppp0'
INTIF1='eth0'
INTIF2='eth1'

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT

$IPTABLES -A FORWARD -i $INTIF2 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP


если говорить о сети, то она построена по топологии звезда, на всех машинах стоит Win XP. На сервере-фаерволе стоит 2 сетевых карты Reatek, eth0 подключенная к модему, и eth1 подключенная к хабу. Настройки Eth0 получает с модема по DHCP. На сервере интернет есть, на машинах в сети нету. Ping от сервера к клиентским машинам, и обратно, идет. Если подключение к интернету происходит с машины на которой установлен Win XP, то интернет нормально раздается. Если же подключение происходит из линукса, то интернет есть только на самом сервере. Скрипт выполняется без ошибок, но интернет не раздается. Следует вывод: интернета нет 1) из за некоректных настроек фаервола; 2) из за самого подключения Windows XP => Linux Suse.

Вопрос: Нужно ли производить какие либо настройки на клиентских машинах с win XP (кроме установки DNS и шлюза)?  Или что то неправильно в настройках фаервола? 
Если 2 то подскажите что исправить, что бы на клиентских машинах появился интернет (ограничивающие правила настрою позже по мере изучения iptables).




Это сообщение отредактировал(а) RemaGe - 5.12.2007, 18:59
PM MAIL WWW   Вверх
baldina
Дата 6.12.2007, 02:15 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Завсегдатай
Сообщений: 3433
Регистрация: 5.12.2007
Где: Москва

Репутация: нет
Всего: 101
А какую роль исполняет EXTIF='ppp0'?
Похоже, никакую.
Начните с простого:

Код

#!/bin/bash
IPTABLES='/sbin/iptables'

EXTIF='eth0'
INTIF='eth1'

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

# маскарад (snat) на всю внутреннюю сеть
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

# разрешаем исходящие наружу
$IPTABLES -A FORWARD -o $EXTIF -j ACCEPT
# разрешаем исходящие внутри (например, если внутри несколько подсетей, маршрутизируемых данным хостом)
$IPTABLES -A FORWARD -i  $INTIF   -j ACCEPT
# разрешаем входящие в ответ на запросы внутренней сети
$IPTABLES -A FORWARD -o $INTIF -m state --state RELATED,ESTABLISHED -j ACCEPT

# разрешаем все тоже самое, но относительно данного хоста, а не защищаемой сети
$IPTABLES -A OUTPUT -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -m state --state RELATED,ESTABLISHED -j ACCEPT

 
Если тут ошибки нет (трудно ночью с чистого листа  smile), заработает.
Разберитесь в этом. Далее читайте доки и добавляйте ограничения.

Еще проще - разрешить что угодно ($IPTABLES -P INPUT ACCEPT и т.д.)  и устроить маскарад ($IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE)
но - не рекомендую  smile 


На клиентских машинах ничего особого не надо.

Это сообщение отредактировал(а) baldina - 6.12.2007, 02:16
PM MAIL   Вверх
ZeeLax
Дата 6.12.2007, 04:45 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88
RemaGe, а что, трэйсроут и пинг отменили?

Да, по-возможности отказывайтесь от таких больших скриптов. Когда он у вас раздрастётся, вам будет очень неудобно находить нужные правила, когда такой бардак. Либо делите его на несколько скриптов, либо пишите комментарии.

Цитата(RemaGe @  5.12.2007,  21:56 Найти цитируемый пост)
данный скрипт по идее должен раздавать интернет

Скрипт, по-идее, не может раздавать интернет. Он только может выполнять последовательность внесенных в него команд. В данном случае, это в основном команды интерфейсу файервола ядра.

Цитата(RemaGe @  5.12.2007,  21:56 Найти цитируемый пост)
если говорить о сети, то она построена по топологии звезда, на всех машинах стоит Win XP. 

Если говорить о сети, НУЖНО показать
Код

ip a
ip ro sh
ip ru sh
ifconfig -a
route -n
netstat -nr
mii-tool
, а звезда там, или не звезда - это уже без разницы совершенно.
Из вашего описания следует, что у вас наистандартнейшая ситуация - модем настроек как маршрутизатор, получает внешний IP-адрес от провайдера, вам по DHCP отдаёт внутренний, вас nat'ит в мир. Вопрос: "Чего вы боитесь?"

Это сообщение отредактировал(а) ZeeLax - 6.12.2007, 04:54


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
RemaGe
Дата 6.12.2007, 06:51 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 89
Регистрация: 14.4.2006

Репутация: нет
Всего: нет
baldina
спасибо за помощь)
попробовал 
Код

#!/bin/bash
IPTABLES='/sbin/iptables'

EXTIF='eth0'
INTIF='eth1'

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE


инет так и не появился, видимо проблема не в фаерволе.


ZeeLax
ок)
Код

linux-qtcp:~ # ip a
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:e0:4d:07:22:29 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.150/24 brd 255.255.255.255 scope global eth1
    inet6 fe80::2e0:4dff:fe07:2229/64 scope link
       valid_lft forever preferred_lft forever
3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:0e:2e:29:ed:41 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::20e:2eff:fe29:ed41/64 scope link
       valid_lft forever preferred_lft forever
4: sit0: <NOARP> mtu 1480 qdisc noop
    link/sit 0.0.0.0 brd 0.0.0.0
27: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1492 qdisc pfifo_fast qlen 3
    link/ppp
    inet 10.2.5.119 peer 10.0.0.1/32 scope global ppp0
linux-qtcp:~ # ip ro sh
10.0.0.1 dev ppp0  proto kernel  scope link  src 10.2.5.119
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.150
127.0.0.0/8 dev lo  scope link
default via 10.0.0.1 dev ppp0
linux-qtcp:~ # ip ru sh
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default
linux-qtcp:~ # ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:0E:2E:29:ED:41
          inet6 addr: fe80::20e:2eff:fe29:ed41/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2041 errors:0 dropped:0 overruns:0 frame:0
          TX packets:217 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:253954 (248.0 Kb)  TX bytes:14929 (14.5 Kb)
          Interrupt:9 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 00:E0:4D:07:22:29
          inet addr:192.168.0.150  Bcast:255.255.255.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4dff:fe07:2229/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1952 errors:0 dropped:0 overruns:0 frame:0
          TX packets:433 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:207478 (202.6 Kb)  TX bytes:43906 (42.8 Kb)
          Interrupt:10 Base address:0x4000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:225 errors:0 dropped:0 overruns:0 frame:0
          TX packets:225 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:15008 (14.6 Kb)  TX bytes:15008 (14.6 Kb)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.2.5.119  P-t-P:10.0.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:12 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:2917 (2.8 Kb)  TX bytes:45 (45.0 b)

sit0      Link encap:IPv6-in-IPv4
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

linux-qtcp:~ # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 ppp0
linux-qtcp:~ # netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.0.0.1        0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         10.0.0.1        0.0.0.0         UG        0 0          0 ppp0
linux-qtcp:~ # mii-tool
bash: mii-tool: command not found


Цитата

Скрипт, по-идее, не может раздавать интернет. 


В смысле совсем не может? Для этого используется что то другое, а не iptables? Я может быть просто чего то непонял и ложкой провода паяю?)))

Цитата

Вопрос: "Чего вы боитесь?"


Имеете в виду что бояться нечего? То есть при такой ситуации фаервол вообще не требуется?



Это сообщение отредактировал(а) RemaGe - 6.12.2007, 07:00
PM MAIL WWW   Вверх
ZeeLax
Дата 6.12.2007, 12:11 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88
Цитата(RemaGe @  6.12.2007,  09:51 Найти цитируемый пост)
видимо проблема не в фаерволе.

А в вашей лени.

Цитата(RemaGe @  6.12.2007,  09:51 Найти цитируемый пост)
То есть при такой ситуации фаервол вообще не требуется?

Ситуация, конечно, немного отличается от описанной вами. но файервол всё равно не требуется. Ну то есть как, требуется, но его отсутствие не смертельно.

Цитата(RemaGe @  6.12.2007,  09:51 Найти цитируемый пост)
В смысле совсем не может?

Совсем не может.

Цитата(RemaGe @  6.12.2007,  09:51 Найти цитируемый пост)
Для этого используется что то другое, а не iptables? Я может быть просто чего то непонял и ложкой провода паяю?)))

По моему, я не говорил, что для этого используется что-то другое, нежели iptables. Я сказал что скрипт не может "раздавать интернет".


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
crashower
Дата 6.12.2007, 18:16 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 111
Регистрация: 18.5.2007
Где: Киев

Репутация: нет
Всего: 1
Ничего сложного  нет. Прочтите вниматнльно про iptables . А для раздачи интернета поможет эта статья. Даже если вы чего-то не знаете это не страшно. Человек всего знать не может. Но в таких случаях нужно знать где найти информацию.


M
ZeeLax		crashower, личные замечания пишем только в ПМ.


Это сообщение отредактировал(а) ZeeLax - 7.12.2007, 04:12
--------------------
Mess with the best, die like the rest
PM MAIL ICQ   Вверх
angel_
Дата 28.12.2007, 22:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 20
Регистрация: 10.4.2007
Где: Тамбов

Репутация: нет
Всего: нет
Бр..... насколько я понял у вас есть подключение по Ethernet к Интернету и есть локальная сеть, которой вы также (хотел сказать что без юзания PPPoE и PPtP) Хотите раздать инет, тогда советую 
1. Прочитать все таки тот мануал откуда вы взяли свой скрипт
2. Начниьте с малого, вначале настройте NAT Для раздачи инета в вашем случае это действие SNAT  а когда заработает начинайте фильтровать то что сочтете ненужным
3. Делаеться пункт 2 так
Создаете скрипт с правани на исполнение следующего содержания
Код

#!/bin/bash
#FireWall script Powered by Ang[y/el];
#
modprobe ip_conntrack;
modprobe ip_conntrack_ftp;
modprobe ip_nat_ftp;
modprobe ip_conntrack_irc;
modprobe ip_nat_irc;

#Constants
IP="ВАШ внешний адрес";
INTERFACE="ваш внешний интерфейс";


#Flush All
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X

#Police
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT


#Forwarding && Nat

#
echo "1" > /proc/sys/net/ipv4/ip_forward

#
iptables -t filter -A FORWARD -s Адеса локальной сети кому вы даете инет -j ACCEPT
iptables -t filter -A FORWARD -d Адеса локальной сети кому вы даете инет  -j ACCEPT

#
iptables -t nat -A POSTROUTING -s Адеса локальной сети кому вы даете инет -o $INTERFACE -j SNAT --to-source $IP


service iptables save;

мог опечатаЦЦо где нить
PM MAIL WWW ICQ   Вверх
Страницы: (2) [Все] 1 2 
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Linux/UNIX: Администрирование"
ZeeLax
Imple
nerezus
 Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.

  • Вы должны соблюдать правила форума.
  • Помните: какой вопрос, такой и ответ. Прежде чем задать вопрос прочитайте вот эту статью на форуме CIT.
  • Оскорблять запрещается.
  • Религиозные войны в Религиозных войнах.
  • Общение "просто так" в Клубе юнуксоидов. В отличие от многих других разделов, здесь разрешается сдержанно оффтопить и юморить в тему.

За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу).


В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим.

Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Администрирование *NIX систем | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.1300 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.