https://opennet.ru/openforum/vsluhforumID10/4712.html Доброго времени суток. <br><br>Пытаюсь открыть nat на несколько компов в сети, но ни чего у меня не получается... <br>Перелопатил пол инета все что нашел не помогло да и пробросы отдельных портов в основном попадаются.<br><br>схема классическая Inet-&gt;(ADSL)-&gt;("eth0"сервак"eth1")-&gt;("hub"local)<br><br>IP статика -&gt; ADSL <br>eth0 смотрит в модем (192.168.0.2)<br>eth1 локалка (192.168.1.1) воткнут в хаб<br><br>Собственно КОНФИГ<br><br>#!/bin/bash<br>IPTABLES="/sbin/iptables"<br><br>IF_OUT="eth0" <br>IF_LAN="eth1" <br>MASK_LAN="192.168.1.0/24" <br><br>IF_LO="lo"<br>ADDR_LO="127.0.0.1"<br>LOOPBACK="127.0.0.0/8"<br><br>sysctl -w net.ipv4.ip_forward=1 <br>sysctl -w net.ipv4.ip_dynaddr=1 <br>sysctl net.ipv4.conf.all.forwarding=1<br><br>modprobe ip_nat_ftp <br><br>$IPTABLES -t mangle -P OUTPUT ACCEPT<br>$IPTABLES -F<br>$IPTABLES -t nat -F<br>$IPTABLES -t mangle -F<br>$IPTABLES -X<br>$IPTABLES -t nat -X<br>$IPTABLES -t mangle -X<br>$IPTABLES -N sshguard<br><br>$IPTABLES -P INPUT DROP <br>$IPTABLES -P FORWARD ACCEPT <br>$IPTABLES -P OUT https://opennet.ru/openforum/vsluhforumID10/4712.html#11 Tue, 19 Oct 2010 03:26:37 GMT Попробуйте воспользоваться скриптом для создания конфига iptables и сравнить.<br>http://masterpro.ws/easyfwgen<br> https://opennet.ru/openforum/vsluhforumID10/4712.html#10 Fri, 15 Oct 2010 12:05:56 GMT <br>&gt; а я вам что выше предложил.<br>&gt; что значит "полный доступ"? из локалки в инет. из инета в локалку?<br><br>ипать как все просто то.... Удалил весь конфиг оставил то что посоветовали и самое необходимое.... и воуля.. работает.. осталось вернуть некоторые моменты обратно... <br>CПАСИБО.... <br><br> https://opennet.ru/openforum/vsluhforumID10/4712.html#9 Fri, 15 Oct 2010 11:17:18 GMT &gt; Пришел к слеующему... Не могу понять если закомментировать<br>&gt; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br>&gt; нат пропадает везде это все понятно, но почему не идет инет на<br>&gt; указанные ip 192.168.1.* в цепочке если закомментровать (iptables -t nat<br>&gt; -A POSTROUTING -o eth0 -j MASQUERADE)....<br><br>у вас только одно правило для SNAT (-j MASQUERADE), если его убрать ,то инета в локалке не будет<br>&gt; Вопрос остается открытым (Как открыть нат некоторым компам в сети (полный доступ))<br><br>а я вам что выше предложил. <br>что значит "полный доступ"? из локалки в инет. из инета в локалку?<br><br><br><br>&gt;[оверквотинг удален]<br>&gt; пропускаем все, что идет по установленным соединениям<br>&gt; iptables -A FORWARD -s 192.168.1.0/24 -j check_ours # Проверка<br>&gt; iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # Прошедшим проверку разрешеам передавать<br>&gt; через нас транзитный трафик<br>&gt; iptables -P FORWARD DROP # Остальных блокируем<br>&gt; iptables -P OUTPUT ACCEPT # Исходящий трафик разрешаем<br>&gt; #--------------------------------------------- https://opennet.ru/openforum/vsluhforumID10/4712.html#8 Fri, 15 Oct 2010 10:20:26 GMT Пришел к слеующему... Не могу понять если закомментировать <br>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br>нат пропадает везде это все понятно, но почему не идет инет на указанные ip 192.168.1.* в цепочке если закомментровать (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE).... <br><br>Вопрос остается открытым (Как открыть нат некоторым компам в сети (полный доступ))<br><br><br><br><br>!/bin/bash<br>IPTABLES="/sbin/iptables"<br><br>IF_OUT="eth0"<br>IF_LAN="eth1"<br>MASK_LAN="192.168.1.0/24"<br><br>IF_LO="lo"<br>ADDR_LO="127.0.0.1"<br>LOOPBACK="127.0.0.0/8"<br><br>sysctl -w net.ipv4.ip_forward=1<br>sysctl -w net.ipv4.ip_dynaddr=1<br>sysctl net.ipv4.conf.all.forwarding=1<br><br>modprobe ip_nat_ftp<br><br>$IPTABLES -t mangle -P OUTPUT ACCEPT<br>$IPTABLES -F<br>$IPTABLES -t nat -F<br>$IPTABLES -t mangle -F<br>$IPTABLES -X<br>$IPTABLES -t nat -X<br>$IPTABLES -t mangle -X<br>$IPTABLES -N sshguard<br><br>$IPTABLES -P INPUT DROP<br>$IPTABLES -P FORWARD ACCEPT<br>$IPTABLES -P OUTPUT ACCEPT<br><br>$IPTABLES -I INPUT -p tcp --dport 4000 -j DROP<br>$IPTABLES -I FORW https://opennet.ru/openforum/vsluhforumID10/4712.html#7 Fri, 15 Oct 2010 09:27:53 GMT &gt;&gt; nat сделать для всего, а в таблице фильтров уже разрешать&#124;запрещать.<br>&gt; разрешить всем и вся не проблема, раскоментировать одно правило... может дадите<br>&gt; пример фильтра? :-[ буду признателен )))<br><br>-P FORWARD DROP<br>-A FORWARD -s 192.168.1.10 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <br>-A FORWARD -s 192.168.1.11 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <br>-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT <br>со статусом INVALID через nat не пойдут, поэтому убиваем. начинать соединение будет разрешено из локалки, из инета только ответные пакеты (почти только из-за RELATED)<br><br>на время отладки что бы в логах было видно что заблокировалось.<br>-A FORWARD -j LOG --log-prefix "IPT FORWARD: " --log-level 7<br><br> https://opennet.ru/openforum/vsluhforumID10/4712.html#6 Fri, 15 Oct 2010 06:23:06 GMT &gt; nat сделать для всего, а в таблице фильтров уже разрешать&#124;запрещать.<br><br>разрешить всем и вся не проблема, раскоментировать одно правило... может дадите пример фильтра? :-[ буду признателен ))) <br> https://opennet.ru/openforum/vsluhforumID10/4712.html#5 Fri, 15 Oct 2010 06:03:03 GMT &gt;[оверквотинг удален]<br>&gt; ip у модема 192.168.0.1<br>&gt; iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports<br>&gt; 8080<br>&gt; если 192.168.1.0/24 за eth1, то почему -i eth0<br>&gt;&gt; -p tcp и -d 192.168.0.2 - убрать, и указать -o eth0<br>&gt;&gt; вместо 192.168.1.1 - 192.168.0.2<br>&gt; Благодарю... )))<br>&gt;&gt; &gt; echo 1 &gt; /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br>&gt; мне нужно не на все 30 компов открыть нат а только на<br>&gt; некоторые по ip<br><br>nat сделать для всего, а в таблице фильтров уже разрешать&#124;запрещать.<br> https://opennet.ru/openforum/vsluhforumID10/4712.html#4 Fri, 15 Oct 2010 05:09:09 GMT <br>&gt; Не пользуйтесь чужими конфигами бездумно, напишите свой с нуля, тогда будет понятно.<br><br>конфиг писал сам, пользуясь примерами других и различными примерами...<br><br><br>&gt; В точке ADSL, возможно, необходимо указазать статический маршрут до локальной сети (man route).<br><br>ip у модема 192.168.0.1<br><br>iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080<br>если 192.168.1.0/24 за eth1, то почему -i eth0<br><br>&gt; -p tcp и -d 192.168.0.2 - убрать, и указать -o eth0<br>&gt; вместо 192.168.1.1 - 192.168.0.2<br><br>Благодарю... ))) <br><br>&gt; &gt; echo 1 &gt; /proc/sys/net/ipv4/ip_forward && iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br><br>мне нужно не на все 30 компов открыть нат а только на некоторые по ip<br> https://opennet.ru/openforum/vsluhforumID10/4712.html#3 Thu, 14 Oct 2010 18:10:02 GMT &gt;[оверквотинг удален]<br>&gt; $IPTABLES -A OUTPUT -j common-check<br>&gt; $IPTABLES -A FORWARD -j common-check<br>&gt; $IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT<br>&gt; $IPTABLES -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.1.0/24 -j<br>&gt; ACCEPT #<br>&gt; iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport<br>&gt; 5555 -j DNAT --to 192.168.1.50:5555<br>&gt; iptables -A INPUT -p tcp --dport 5555 -j DROP<br>&gt; $IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 192.168.0.2 -j<br>&gt; SNAT --to-source 192.168.1.1<br><br>-p tcp и -d 192.168.0.2 - убрать, и указать -o eth0<br>вместо 192.168.1.1 - 192.168.0.2<br><br>&gt; # $IPTABLES -t nat -A POSTROUTING -s $MASK_LAN -o $IF_OUT -j MASQUERADE<br>&gt; $IPTABLES -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport<br>&gt; 80 -j REDIRECT --to-port 8080<br><br>если 192.168.1.0/24 за eth1, то почему -i eth0<br><br>и в целом, порядок следования правил имеет значение.<br>поэтому для начала оставить только SNAT и добиться работы, а потом уже добавлять по немного что захотите