> Собственно, почитал вот это http://www.opennet.me/docs/RUS/iptables/#HOWARULEISBUILT
> и много другого, но толком ничего не понял.
> Стоит задача:
> 1)настроить шлюз на debian
> 2)настроить проброс портов для всяких внешних приложений
> 3)настроить маршрутизацию внутри сети (если это нужно, потому как я не догоняю,
> как шлюз будет и будет ли вообще (все компы и точки
> доступа в локале подключены через тупой свитч) пересылать пакеты от
> одного локального клиента другому локальному клиенту)в таблице маршрутизации есть маршрут для локальной подсети согласно которому клиенты будут обмениваться пакетами на прямую, даже если прописан шлюз
>[оверквотинг удален]
> только готовые правила отсюда http://howitmake.ru/blog/ubuntu/86.html
> раскомментил строку net.ipv4.ip_forward=1 в файле /etc/sysctl.conf
> iptables -F
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> iptables -A FORWARD -i eth0 -o eth0 -j REJECT
> iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> с этими настройками интернет заработал на одном ноутбуке подключенном через точку доступа->свитч->шлюз,
> кучу других в интернет не пустило, большинство подключены к свитчу
> настройки iptables загружаю через строку в /etc/network/interfaces # iptables-restore
> > /etc/iptables-save
это не загрузка ,а перенаправление вывода iptables-restore в файл /etc/iptables-save
> есть примерные наборы правил, но в каком порядке их писать и
> будут ли они работать как надо, и где ошибка, не могу
> сейчас разобраться
> подскажите, пожалуйста, какие правила написаны не правильно, и где бы почитать мануал
> попроще чем по ссылке в начале
там и так просто и понятно для понимающих как работает сеть, после первого прочтения может получится каша в голове, но как только начинаете сами писать правила все проясняется.
> # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> это правило подменяет адрес пакетам из локальной сети?
да
> для обратных пакетов нужно ли что либо еще?
автоматом, в мануале сказано
> #iptables -A FORWARD -i eth0 -o eth0 -j REJECT
> это правило для маршрутизации пакетов в локалке, без интернета?
блокирует с уведомлением пакеты которые пришли и должны были уйти через eth0
> # iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> вот это правило вообще не понимаю
при проблемах с mtu, если проблем нет то не нужно его вставлять, ну и логичней было бы -A, а не -I
> хочу добавить проброс портов правилом
> iptables -t nat -A PREROUTING -d "внешний ip" -p tcp -m tcp
> --dport "внешний порт" -j DNAT --to-destination "локальный компьютер":"внутренний порт"
> заработает ли оно и куда ставить все эти пробросы портов?
да если в таблице фильтров разрешено прохождение для этих пакетов и для ответов
> # правила для прокси, вроде бы перенаправляют, раз один компьютер сайты открывал
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
> DNAT --to "ipпрокси_и_шлюза":3128
да
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
> REDIRECT --to-port 3128
заварачивать на прокси то что пришло с инета опасно
> будет ли их достаточно для открывания страничек в том числе по https?
https будет идти через MASQUERADE
> #для ssh, достаточно ли этого правила для подключения с обеих сторон от
> шлюза?
> iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
есть политики по умолчанию, если они в ACCEPT, то не имеет значения, а так да разрешит обращения через все сетевые интерфейсы
> я понимаю, что никто не обязан мне помогать или что нибудь объяснять,
> буду благодарен за любую помощь, ссылки, объяснения, критику и прочее.
Вариант для распечатки
(ok) on 04-Июн-14, 11:47 
