forum.opennet.ru - "рутинг в isp, " (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"рутинг в isp, "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"рутинг в isp, "
Сообщение от junior on 12-Окт-03, 19:10 (MSK)
ситуация такая с города на модемный=пул дозваниваются клиенты получают ip из модемного пула< modem_pool > рутер подключен в коммутатор, в коммутатор подключен также файрвол < firewall_router_ip> другой конец подключен к радиус серверу для авторизации клиентов <firewall_radius_ip> на радиусе < radius_ip > так вот прописываю такие правила # Эти правила позволяют пройти авторизацию клиентам iptables -A FORWARD -p udp -i eth1 -o eth2 -s <router_ip> -d <radius_ip> --dport 1645 -j ACCEPT iptables -A FORWARD -p udp -i eth2 -o eth1 -s <radius_ip> -d <router_ip> --sport 1645 -j ACCEPT # У модемного пула нереальные айпи чтоб ходить # в инет я должен их замаскарадить на реальный айпи /sbin/iptables -t nat -D POSTROUTING -s < modem_pool_net /255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -s < modem_pool_net /255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQUERADE после этого правила клиенты немогут выйти в нет хотя дозваниваются до пула проходят авторизацию но не открывают страницы то есть крутятся в пределах локалы
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

рутинг в isp, , junior, 19:20 , 12-Окт-03, (1)
- рутинг в isp, , us.master, 08:59 , 13-Окт-03, (2)
  - рутинг в isp, , junior, 12:05 , 13-Окт-03, (3)
    - рутинг в isp, , Михаил, 12:26 , 13-Окт-03, (4)
      - рутинг в isp, , us.master, 12:36 , 13-Окт-03, (5)
        
        рутинг в isp, , Михаил, 13:51 , 13-Окт-03, (6)
        
        рутинг в isp, , us.master, 13:58 , 13-Окт-03, (7)
        
        рутинг в isp, , us.master, 14:01 , 13-Окт-03, (8)
        
        рутинг в isp, , junior, 15:31 , 13-Окт-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "рутинг в isp, "

Сообщение от junior on 12-Окт-03, 19:20  (MSK)

cхемка
<modem_pool>
     |
     |
   <router>     <billing>
     | |
     | |
   <switch>-------<linuxRedHat> ------- inet


Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "рутинг в isp, "

Сообщение от us.master on 13-Окт-03, 08:59  (MSK)

#!/bin/sh
IPTABLES = "/sbin/iptables"
LAN_IP_RANGE = "192.168.0.0/30"
ANYWHERE = "0/0"
LAN_IFACE = "eth1"
INET_IFACE = "eth0"
UNPRIVPORTS = "1024:65535"
INET_IP = "223.222.221.220"
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -d $ANYWHERE -o $INET_IFACE
-p TCP --dport $UNPRIVPORTS -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -s $LAN_IP_RANGE -d $ANYWHERE -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "рутинг в isp, "

Сообщение от junior on 13-Окт-03, 12:05  (MSK)

нужно открыть форвард для одной сетки и запретить ip из той же сетки
/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j DROP
/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j ACCEPT

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "рутинг в isp, "

Сообщение от Михаил on 13-Окт-03, 12:26  (MSK)

>
> нужно открыть форвард для одной сетки и запретить ip из той
>же сетки
>
>/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j DROP
>
>/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j ACCEPT
а разве не наоброт:
/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j DROP
/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j ACCEPT
думаю, это получится запрет форварда с 192.168.160.1 на 192.168.2.2,
а остальной форвард из подсетки 192.168.160.0/24 в подсетку 192.168.2.0/24 разрешен.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "рутинг в isp, "

Сообщение от us.master on 13-Окт-03, 12:36  (MSK)

>>
>> нужно открыть форвард для одной сетки и запретить ip из той
>>же сетки
>>
>>/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j DROP
>>
>>/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j ACCEPT
>а разве не наоброт:
>/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j DROP
>/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j ACCEPT
>думаю, это получится запрет форварда с 192.168.160.1 на 192.168.2.2,
>а остальной форвард из подсетки 192.168.160.0/24 в подсетку 192.168.2.0/24 разрешен.
Правила у него просто местами надо поменять.
А то до второго правила дело не доходит :)
Я писал to Junior уже (мылом):
Пока не прочитаете хотя бы первый документ,
можете даже не пытаться настроить iptables.
http://www.opennet.me/docs/RUS/iptables/
http://www.opennet.me/tips/sml/41.shtml
http://www.opennet.me/search.shtml?exclude=index&words=iptables+HOWTO
В общем, Михаил, человеку как всегда поможет только RTFM...

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "рутинг в isp, "

Сообщение от Михаил on 13-Окт-03, 13:51  (MSK)

>Правила у него просто местами надо поменять.
>А то до второго правила дело не доходит :)
а я, собственно, это и предложил...
>Пока не прочитаете хотя бы первый документ,
>можете даже не пытаться настроить iptables.
>http://www.opennet.me/docs/RUS/iptables/
с этим согласен!
>http://www.opennet.me/tips/sml/41.shtml
да, тут есть интересные вещи...
хотя, при внимательном чтении пунта 1, большая часть из них очевидна...
>В общем, Михаил, человеку как всегда поможет только RTFM...
если говорить о полной картине правил, то - да, только RTFM.
а одно-два правила можно и помочь написать...

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "рутинг в isp, "

Сообщение от us.master on 13-Окт-03, 13:58  (MSK)

>>Правила у него просто местами надо поменять.
>>А то до второго правила дело не доходит :)
>а я, собственно, это и предложил...
>
>>Пока не прочитаете хотя бы первый документ,
>>можете даже не пытаться настроить iptables.
>>http://www.opennet.me/docs/RUS/iptables/
>с этим согласен!
>
>>http://www.opennet.me/tips/sml/41.shtml
>да, тут есть интересные вещи...
>хотя, при внимательном чтении пунта 1, большая часть из них очевидна...
Да всё везде очевидно если знаешь... :)
>>В общем, Михаил, человеку как всегда поможет только RTFM...
>если говорить о полной картине правил, то - да, только RTFM.
>а одно-два правила можно и помочь написать...
Помочь можно когда у человека есть желание самому во всем разобраться, но нюансы не ясны. Вот в нюансах можно и помочь.
P.S.
Иногда "помощь" так затягивается...
Особенно если вопрошающий не может (не хочет? не понимает?) как и чем (логи и т.д.) помочь тому, кто ему помогает... :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "рутинг в isp, "

Сообщение от us.master on 13-Окт-03, 14:01  (MSK)

Сорри, был не прав.
"Запретить ip" для меня
прозвучало как
add 100 deny ip from ...... :)))

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "рутинг в isp, "

Сообщение от junior on 13-Окт-03, 15:31  (MSK)

Я извиняюсь зделал все сразу
просто в ядре осталась строчка

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "рутинг в isp, "
Сообщение от junior on 12-Окт-03, 19:20 (MSK)
cхемка <modem_pool> \| \| <router> <billing> \| \| \| \| <switch>-------<linuxRedHat> ------- inet
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "рутинг в isp, "
	Сообщение от us.master on 13-Окт-03, 08:59 (MSK)
	#!/bin/sh IPTABLES = "/sbin/iptables" LAN_IP_RANGE = "192.168.0.0/30" ANYWHERE = "0/0" LAN_IFACE = "eth1" INET_IFACE = "eth0" UNPRIVPORTS = "1024:65535" INET_IP = "223.222.221.220" /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc $IPTABLES -F $IPTABLES -X $IPTABLES -Z $IPTABLES -t nat -F $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -d $ANYWHERE -o $INET_IFACE -p TCP --dport $UNPRIVPORTS -j SNAT --to-source $INET_IP $IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -s $LAN_IP_RANGE -d $ANYWHERE -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "рутинг в isp, "
	Сообщение от junior on 13-Окт-03, 12:05 (MSK)
	нужно открыть форвард для одной сетки и запретить ip из той же сетки /sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j DROP /sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j ACCEPT
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "рутинг в isp, "
	Сообщение от Михаил on 13-Окт-03, 12:26 (MSK)
	> > нужно открыть форвард для одной сетки и запретить ip из той >же сетки > >/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j DROP > >/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j ACCEPT а разве не наоброт: /sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j DROP /sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j ACCEPT думаю, это получится запрет форварда с 192.168.160.1 на 192.168.2.2, а остальной форвард из подсетки 192.168.160.0/24 в подсетку 192.168.2.0/24 разрешен.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "рутинг в isp, "
	Сообщение от us.master on 13-Окт-03, 12:36 (MSK)
	>> >> нужно открыть форвард для одной сетки и запретить ip из той >>же сетки >> >>/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j DROP >> >>/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j ACCEPT >а разве не наоброт: >/sbin/iptables -A FORWARD -s 192.168.160.1 -d 192.168.2.2 -j DROP >/sbin/iptables -A FORWARD -s 192.168.160.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -j ACCEPT >думаю, это получится запрет форварда с 192.168.160.1 на 192.168.2.2, >а остальной форвард из подсетки 192.168.160.0/24 в подсетку 192.168.2.0/24 разрешен. Правила у него просто местами надо поменять. А то до второго правила дело не доходит :) Я писал to Junior уже (мылом): Пока не прочитаете хотя бы первый документ, можете даже не пытаться настроить iptables. http://www.opennet.me/docs/RUS/iptables/ http://www.opennet.me/tips/sml/41.shtml http://www.opennet.me/search.shtml?exclude=index&words=iptables+HOWTO В общем, Михаил, человеку как всегда поможет только RTFM...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "рутинг в isp, "
	Сообщение от Михаил on 13-Окт-03, 13:51 (MSK)
	>Правила у него просто местами надо поменять. >А то до второго правила дело не доходит :) а я, собственно, это и предложил... >Пока не прочитаете хотя бы первый документ, >можете даже не пытаться настроить iptables. >http://www.opennet.me/docs/RUS/iptables/ с этим согласен! >http://www.opennet.me/tips/sml/41.shtml да, тут есть интересные вещи... хотя, при внимательном чтении пунта 1, большая часть из них очевидна... >В общем, Михаил, человеку как всегда поможет только RTFM... если говорить о полной картине правил, то - да, только RTFM. а одно-два правила можно и помочь написать...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "рутинг в isp, "
	Сообщение от us.master on 13-Окт-03, 13:58 (MSK)
	>>Правила у него просто местами надо поменять. >>А то до второго правила дело не доходит :) >а я, собственно, это и предложил... > >>Пока не прочитаете хотя бы первый документ, >>можете даже не пытаться настроить iptables. >>http://www.opennet.me/docs/RUS/iptables/ >с этим согласен! > >>http://www.opennet.me/tips/sml/41.shtml >да, тут есть интересные вещи... >хотя, при внимательном чтении пунта 1, большая часть из них очевидна... Да всё везде очевидно если знаешь... :) >>В общем, Михаил, человеку как всегда поможет только RTFM... >если говорить о полной картине правил, то - да, только RTFM. >а одно-два правила можно и помочь написать... Помочь можно когда у человека есть желание самому во всем разобраться, но нюансы не ясны. Вот в нюансах можно и помочь. P.S. Иногда "помощь" так затягивается... Особенно если вопрошающий не может (не хочет? не понимает?) как и чем (логи и т.д.) помочь тому, кто ему помогает... :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "рутинг в isp, "
	Сообщение от us.master on 13-Окт-03, 14:01 (MSK)
	Сорри, был не прав. "Запретить ip" для меня прозвучало как add 100 deny ip from ...... :)))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "рутинг в isp, "
	Сообщение от junior on 13-Окт-03, 15:31 (MSK)
	Я извиняюсь зделал все сразу просто в ядре осталась строчка
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх