Для начала, Я в сетях полный чайник.
И так мы имеем 2 компутера.
первый имеет сетевые интерфейсы.
[root@localhost /]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:XXX.XXX.XXX.XXX
inet6 addr: fe80::219:5bff:fe86:d635/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:271578 errors:0 dropped:0 overruns:0 frame:0
TX packets:273744 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:379195012 (361.6 MiB) TX bytes:22032420 (21.0 MiB)
Interrupt:16 Base address:0xec00eth1 Link encap:Ethernet HWaddr 00:19:DB:66:8C:C8
inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::219:dbff:fe66:8cc8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9083 errors:0 dropped:0 overruns:0 frame:0
TX packets:11482 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3397608 (3.2 MiB) TX bytes:1040156 (1015.7 KiB)
Interrupt:17lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:92 errors:0 dropped:0 overruns:0 frame:0
TX packets:92 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4988 (4.8 KiB) TX bytes:4988 (4.8 KiB)ppp0 Link encap:Point-to-Point Protocol
inet addr:XXX.XXX.XXX.XXX P-t-P:XXX.XXX.XXX.XXX Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:264423 errors:0 dropped:0 overruns:0 frame:0
TX packets:266537 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:372948332 (355.6 MiB) TX bytes:15925761 (15.1 MiB)[root@localhost /]#
eth0 имеет статический IP и смотрит в сеть провайдера.
ppp0 pppoe соеденение. выход в Inet осуществляется через интерфейс ppp0 через eth0.
eth1 смотрит в локальную сеть.
и второй
[root@downloader ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:1B:11:03:E0:E9
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:214 errors:0 dropped:0 overruns:0 frame:0
TX packets:154 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:22010 (21.4 Kb) TX bytes:17449 (17.0 Kb)
Interrupt:11 Base address:0x8000lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)[root@downloader ~]#
Что надо сделать чтобы со второго войти в нет.
>[оверквотинг удален]
>errors:0 dropped:0 overruns:0 frame:0
> TX packets:0
>errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:0
>
> RX bytes:0
>(0.0 b) TX bytes:0 (0.0 b)
>
>[root@downloader ~]#
>Что надо сделать чтобы со второго войти в нет.Ты на правильном пути - на этом сайте полно документации.
с первого компа в студию
uname -a
cat /proc/sys/net/ipv4/ip_forward
iptables -L FORWARD -vn
iptables -t nat -L POSTROUTING -vn
route -nс второго
route -n
>с первого компа в студию
>uname -a
>cat /proc/sys/net/ipv4/ip_forward
>iptables -L FORWARD -vn
>iptables -t nat -L POSTROUTING -vn
>route -n
>
>с второго
>route -nfrom first
[root@localhost ~]# uname -a
Linux localhost.localdomain 2.6.22-6.i386smp #1 SMP Fri Aug 31 20:29:39 UTC 2007 i686 i686 i386 GNU/Linux
[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@localhost ~]# iptables -L FORWARD -vn
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@localhost ~]# iptables -t nat -L POSTROUTING -vn
iptables v1.3.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[root@localhost ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.113.63.110 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
[root@localhost ~]#
from second
[root@downloader ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
[root@downloader ~]# uname -a
Linux downloader 2.6.16.27 #1 SMP Sun Sep 2 08:28:30 GMT 2007 i686 pentium3 i386 GNU/Linux
[root@downloader ~]#
>[root@localhost ~]# uname -aя так понимаю, это Ubuntu
>Linux localhost.localdomain 2.6.22-6.i386smp #1 SMP Fri Aug 31 20:29:39 UTC 2007 i686
>i686 i386 GNU/Linux
>[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
>0выполняем
echo 1 >/proc/sys/net/ipv4/ip_forward
для текущего разрешения forward
в файле /etc/sysctl.conf устанавливаем опцию
net.ipv4.ip_forward = 1
что б посе перезагрузки forward был включён>[root@localhost ~]# iptables -L FORWARD -vn
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in
> out sourceв ptables форвард разрешён, пока ни чего не меняй
как только роутер заработает будешь включать фильтры> destination
>[root@localhost ~]# iptables -t nat -L POSTROUTING -vn
>iptables v1.3.7: can't initialize iptables table `nat': Table does not exist (do
>you need to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.данное сообщение говорит о том, что в ядре отсутствует модуль `nat'
я пересобираю ядро включая в него все модули iptables
кое кто подлючает их модульно с помощью modprobe, я этим не занимался почитай ман
вместо этого можно поставить сквиду, но сквида ограничивает пользователей в локалке
решать тебе, что юзать>[root@localhost ~]# route -n
>Kernel IP routing table
>Destination Gateway
> Genmask
>Flags Metric Ref Use Iface
>85.113.63.110 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
>192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
>169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
>10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
>0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0я вижу ты ручками пытался забить маршруты,
сомневаюсь, что провайдер выдал тебе ИП в локалку с маской 255.0.0.0 т.е. строка
>10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0не верна, и наверное к твоему ИП провайдер дал ещё и шлюз, вот он нужен для указания маршрута в локальную сеть провайдера, а я его не вижу
вот это
>0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0вообще лишнее, здесь должно быть
>0.0.0.0 85.113.63.110 0.0.0.0 UG 0 0 0 ppp0это добавляется с помощью комманды
route add default gw 85.113.63.110 dev ppp0
если не ошибаюсь на ррр0 у тебя другой ИП>from second
>[root@downloader ~]# route -n
>Kernel IP routing table
>Destination Gateway
> Genmask
>Flags Metric Ref Use Iface
>192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0сюда добавь маршрут
route add default gw 192.168.1.10 dev eth0
тогда клиент будет знать, что за инетом стучаться на роутер
для атоматической загрузки шлюза по умолчанию, добавь в файл
/etc/sysconfig/network
GATEWAY=192.168.1.10
GATEWAYDEV=eth0на первой машине (роутере) для указания всех шлюзов лучше написать скрипт который будет загружатся при старте
Не угадал FC7 Ядро самосборное из за этого не найду параметров
описанных в статье http://www.opennet.me/docs/RUS/iptables/ из за того что поменялись не перенеслись со старого конфига а сеть я обычно не трогаю по пречине "закипающего чайника"
Что ковырять в новых ядрах.????
На
я вижу ты ручками пытался забить маршруты,
сомневаюсь, что провайдер выдал тебе ИП в локалку с маской 255.0.0.0 т.е. строка
>10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0отвечю настраивал с помощю графической утилиты FC7 сеть и не чего не трогал ест как есть.
а по адресам вот
eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35
inet addr:10.62.61.12 Bcast:10.255.255.255 Mask:255.0.0.0
inet6 addr: fe80::219:5bff:fe86:d635/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:241558 errors:0 dropped:0 overruns:0 frame:0
TX packets:242236 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:343369818 (327.4 MiB) TX bytes:18102344 (17.2 MiB)
Interrupt:16 Base address:0xc00eth1 Link encap:Ethernet HWaddr 00:19:DB:66:8C:C8
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::219:dbff:fe66:8cc8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:52 errors:0 dropped:0 overruns:0 frame:0
TX packets:136 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7359 (7.1 KiB) TX bytes:17920 (17.5 KiB)
Interrupt:17lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:66 errors:0 dropped:0 overruns:0 frame:0
TX packets:66 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3460 (3.3 KiB) TX bytes:3460 (3.3 KiB)ppp0 Link encap:Point-to-Point Protocol
inet addr:10.68.0.179 P-t-P:85.113.63.110 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:235202 errors:0 dropped:0 overruns:0 frame:0
TX packets:235822 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:337813940 (322.1 MiB) TX bytes:12696817 (12.1 MiB)[alexsy@localhost ~]$
>Не угадал FC7 Ядро самосборное из за этого не найду параметров
>описанных в статье http://www.opennet.me/docs/RUS/iptables/ из за того что поменялись не перенеслись со
>старого конфига а сеть я обычно не трогаю по пречине "закипающего
>чайника"
>Что ковырять в новых ядрах.????да лучше ни чего не ковырять, оставь то ядро которое становится по дефолту, там всё включено
>>10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
>
>отвечю настраивал с помощю графической утилиты FC7 сеть и не чего не
>трогал ест как есть.да видно кривой у вас пров если раздаёт такую маску
>eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35
> inet addr:10.62.61.12
> Bcast:10.255.255.255 Mask:255.0.0.0
>ppp0 Link encap:Point-to-Point Protocol
> inet addr:10.68.0.179 P-t-P:85.113.63.110 Mask:255.255.255.255всё правильно
route add default gw 85.113.63.110 dev ppp0
>[оверквотинг удален]
>
>да видно кривой у вас пров если раздаёт такую маску
>>eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35
>> inet addr:10.62.61.12
>> Bcast:10.255.255.255 Mask:255.0.0.0
>>ppp0 Link encap:Point-to-Point Protocol
>> inet addr:10.68.0.179 P-t-P:85.113.63.110 Mask:255.255.255.255
>
>всё правильно
>route add default gw 85.113.63.110 dev ppp0У меня в нвых ядрах называются nf_nat.
>У меня в нвых ядрах называются nf_nat.сделай так что-б при попытке юзать в iptables таблицу nat небыло ругани
спрециально смотрел модули ядра 2.6.22
никто iptable_nat не отменял, причём nf_nat (netfilter)
зависит от iptable_nat
ipt_MASQUERADE 6656 15
iptable_nat 10116 1
nf_nat 19116 2 ipt_MASQUERADE,iptable_nat
>[оверквотинг удален]
>никто iptable_nat не отменял, причём nf_nat (netfilter)
>зависит от iptable_nat
>
>ipt_MASQUERADE 6656
>15
>iptable_nat
>10116 1
>nf_nat
> 19116 2 ipt_MASQUERADE,iptable_nat
>Да вот выяснил что iptable_nat сильно зависит от других опций сети но не нашол от каких.
кто знает????
>[оверквотинг удален]
> Genmask
>Flags Metric Ref Use Iface
>192.168.1.0 0.0.0.0
> 255.255.255.0 U 0
> 0
> 0 eth0
>[root@downloader ~]# uname -a
>Linux downloader 2.6.16.27 #1 SMP Sun Sep 2 08:28:30 GMT 2007 i686
>pentium3 i386 GNU/Linux
>[root@downloader ~]#На 192.168.1.1
route add default gw 192.168.1.10
+ прописать это в настройке сетевого интерфейса (/etc/sysconfig/network-scripts/ifcfg-eth0 -?): GATEWAY=192.168.1.10+ прописать nameserver в /etc/resolve.conf
скорее всего nameserver 192.168.1.10
На 192.168.1.10
/etc/sysctl.conf
net.ipv4.ip_forward = 1
+ sysctl -pВ /etc/sysconfig/iptables:
в конец:
*nat-A POSTROUTING -o eth0 -s 192.168.1.1 -p icmp -j SNAT --to-source <внеш.IP>
-A POSTROUTING -o eth0 -s 192.168.1.1 -p tcp -m multiport --dports 21,25,80,443 -j SNAT --to-source <внеш.IP>COMMIT
>На 192.168.1.1
>route add default gw 192.168.1.10
>+ прописать это в настройке сетевого интерфейса (/etc/sysconfig/network-scripts/ifcfg-eth0 -?): GATEWAY=192.168.1.10
>+ прописать nameserver в /etc/resolve.conf
>скорее всего nameserver 192.168.1.10да, можно и так
>[оверквотинг удален]
>+ sysctl -p
>
>В /etc/sysconfig/iptables:
>в конец:
>*nat
>
>-A POSTROUTING -o eth0 -s 192.168.1.1 -p icmp -j SNAT --to-source <внеш.IP>
>-A POSTROUTING -o eth0 -s 192.168.1.1 -p tcp -m multiport --dports 21,25,80,443 -j SNAT --to-source <внеш.IP>
>
>COMMITда, примерно так при условии, что загружен модули iptable_nat и ip_conntrack, а для multiport нужен модуль ipt_multiport
посмотреть загруженные модули
lsmod |grep ipя делаю просто
-A POSTROUTING -o eth0 -j SNAT --to-source <внеш.IP>
т.е. всё что уходит с eth0 получет его ИП
>[оверквотинг удален]
>errors:0 dropped:0 overruns:0 frame:0
> TX packets:0
>errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:0
>
> RX bytes:0
>(0.0 b) TX bytes:0 (0.0 b)
>
>[root@downloader ~]#
>Что надо сделать чтобы со второго войти в нет.sysctl net.ipv4.ip_forward=0
/sbin/iptables -A POSTROUTING -t nat -s 192.168.1.1 -o ppp0 -j MASQUERADE
>[оверквотинг удален]
>> collisions:0 txqueuelen:0
>>
>> RX bytes:0
>>(0.0 b) TX bytes:0 (0.0 b)
>>
>>[root@downloader ~]#
>>Что надо сделать чтобы со второго войти в нет.
>
>sysctl net.ipv4.ip_forward=0
>/sbin/iptables -A POSTROUTING -t nat -s 192.168.1.1 -o ppp0 -j MASQUERADEupd:
sysctl net.ipv4.ip_forward=1
1. Создать скрипт "firewall":#------------------ firewall ----------------------------------------------------------#
#!/bin/bash
#
################### Переменные ############################################
# Внешний интерфейс ppp0 или eth0
EXTIF="ppp0 "# Локальный интерфейс
INTIF="eth1"# IP-Adresse локальнго интерфейса определить
LAN_IP=$(ifconfig $INTIF | head -n 2 | tail -n 1 | cut -d: -f2 | cut -d" " -f 1)############################################################################
#
case "$1" in
start)
echo "Starte IP-Paketfilter"# iptables-Modul
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# modprobe ip_nat_irc# Tabelle очистить
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X# Default-Policies установить
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP# MY_REJECT-Chain
iptables -N MY_REJECT# MY_REJECT заполнить
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP# все пакеты протоколировать
iptables -A INPUT -j LOG --log-prefix "INPUT LOG "
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT LOG"
iptables -A FORWARD -j LOG --log-prefix "FORWARD LOG "# Битые пакеты выбросить
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP# Stealth Scans etc. запретить
# Flags не установлен
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP# SYN и FIN установить
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP# SYN и RST одновременно установить
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP# FIN и RST одновременно установить
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP# FIN без ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP# PSH без ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP# URG без ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP# Loopback-Netzwerk-Kommunikation разрешить
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT# Maximum Segment Size (MSS) для Forwarding на PMTU разрешить
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu# Connection-Tracking активировать
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ! $EXTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# Допуск из LAN к локальному интерфейсу разрешить
iptables -A INPUT -m state --state NEW -i $INTIF -j ACCEPT# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT
iptables -A FORWARD -j MY_REJECT# Routing разрешить
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null# Masquerading разрешить
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE# SYN-Cookies разрешить
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null# Stop Source-Routing
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done# Stop Redirecting
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done# Reverse-Path-Filter
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done# Log Martians
for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done# BOOTP-Relaying отключить
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done# Proxy-ARP выключить
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done# Негодные ICMP-ответы игнорировать
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null# ICMP Echo-Broadcasts игнорировать
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null# Max. 500/Sekunde (5/Jiffie) посылать
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit# Оптимизация памяти и времени для IP-дe/-фрагментации
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time# TCP-FIN-Timeout защиту от DoS-Attacken установить
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout# Maximal 3 ответа на один TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1# TCP-Pakete maximal 15x повторить
echo 15 > /proc/sys/net/ipv4/tcp_retries2;;
stop)
echo "Stoppe IP-Paketfilter"
# Tabelle очистить
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward# Default-Policies установить
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;*)
echo "Bad run IP-Paketfilter "
echo "Syntax: $0 {start|stop|status}"
exit 1
;;esac
#---------------------------------------------------------------------#
сp firewall /etc/init.d
cd /etc/init.d
chmod 755 firewall
ln -s firewall /sbin/myfirewall
chkconfig -a firewall
myfirewall start
myfirewall status
myfirewall stop
2. Настроить 2-ой комп:eth0 192.168.1.1
gateway 192.168.1.10
DNS 141.1.1.1