forum.opennet.ru - "Iptables-как заставить работать NAT в самой простой конфигур..." (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Iptables-как заставить работать NAT в самой простой конфигур..."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Iptables-как заставить работать NAT в самой простой конфигур..."
Сообщение от Newsha on 23-Сен-03, 11:06 (MSK)
Есть стандартная ситуация-сетка типа 192.168.3.ххх из 20 компов.Надо на них раздать инет,из под RedHat'a 9-го.На машине,которая должна быть проксей стоят 2 сетевухи- eth0 смотрит в Инет,eth1-внутрь сети.Есть статический IP-адрес в Инете.С будущей прокси можно ходить и в Инет,и в локалку нормально. Просмотрел мануалки,почитал форумы ,создал скрипт на основе RC.firewall.txt. Инет из сети не появился.Помучался я,помучался,попробовал кучу вариантов-не помогло.Если ставить,например,отключение протоколов-оно работает.А инета в сети нет. Попробовал упростить скрипт до предела,вылился он в следующий- (Пока о безопасности речь не идет) #!/bin/sh /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ip_nat_ftp #---- /sbin/modprobe ipt_owner /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc echo "1">/proc/sys/net/ipv4/ip_forward #Тут начинается содержательная часть. INET_IP="x.x.x.x" INET_IFACE="eth1" LAN_IP="192.168.3.24" LAN_IFACE="eth0" LO_IFACE="lo" LO_IP="127.0.0.1" IPTABLES="iptables" $IPTABLES -A OUTPUT -p ALL -j ACCEPT $IPTABLES -A INPUT -p ALL -j ACCEPT $IPTABLES -A FORWARD -p ALL -j ACCEPT $IPTABLES -t nat -A POSTROUTING -p ALL -s 192.168.3.0/24 -o $INET_IFACE -j SNAT --to-source $INET_IP ----------------- Подскажите,в чем может быть проблема?? Да,смотрел статистику-по всем таблицам (включая nat) пакеты проходят,за исключением FORWARD-там пустота
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Iptables-как заставить работать NAT в самой простой конфигур..., zoomber, 13:35 , 23-Сен-03, (1)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Iptables-как заставить работать NAT в самой простой конфигур..."

Сообщение от zoomber on 23-Сен-03, 13:35 (MSK)

Начни с малого. Т.е. - eth0 и eth1 подняты и им нормально отконфигурены.
Затем (пример)
#iptables -F
#iptables -t nat -F
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source xxx.xxx.xxx.xxx
#echo "1" > /proc/sys/net/ipv4/ip_forward
Где xxx.xxx.xxx.xxx IP интерфейса (в данном примере это eth0) смотрящего в мир
Т.е. для тебя получается:
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.3.0/24 -j SNAT --to-source $INET_IP
Почему eth0? Потому, что он смотрит у тебя в Инет. Т.е. ты их путаешь судя по всему. Теперь к прокси. Если делать прокси, то СНАТ на всю сетку не нужен, они у тебя будут проскальзывать мимо прокси. Допустим прокси у тебя будет на этой же машине:
#iptables -t nat -A PREROUTING --dport 80 -j REDIRECT --to-ports 8080
Это получается прозрачное проксирование, т.е. ты не настраеваешь пользовательский бразер, а iptables заворачивает все пакеты на 80 порт на порт прокси 8080. Это работает, но если юзер ломится на ftp - тот тут я честно говоря не справился. Штатно не получилось.
Это мой тред на эту тему: http://www.opennet.me/openforum/vsluhforumID12/1184.html
А вот хорошая дока:
http://www.opennet.me/docs/RUS/iptables/

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Iptables-как заставить работать NAT в самой простой конфигур..."
Сообщение от zoomber on 23-Сен-03, 13:35 (MSK)
Начни с малого. Т.е. - eth0 и eth1 подняты и им нормально отконфигурены. Затем (пример) #iptables -F #iptables -t nat -F #iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source xxx.xxx.xxx.xxx #echo "1" > /proc/sys/net/ipv4/ip_forward Где xxx.xxx.xxx.xxx IP интерфейса (в данном примере это eth0) смотрящего в мир Т.е. для тебя получается: #iptables -t nat -A POSTROUTING -o eth0 -s 192.168.3.0/24 -j SNAT --to-source $INET_IP Почему eth0? Потому, что он смотрит у тебя в Инет. Т.е. ты их путаешь судя по всему. Теперь к прокси. Если делать прокси, то СНАТ на всю сетку не нужен, они у тебя будут проскальзывать мимо прокси. Допустим прокси у тебя будет на этой же машине: #iptables -t nat -A PREROUTING --dport 80 -j REDIRECT --to-ports 8080 Это получается прозрачное проксирование, т.е. ты не настраеваешь пользовательский бразер, а iptables заворачивает все пакеты на 80 порт на порт прокси 8080. Это работает, но если юзер ломится на ftp - тот тут я честно говоря не справился. Штатно не получилось. Это мой тред на эту тему: http://www.opennet.me/openforum/vsluhforumID12/1184.html А вот хорошая дока: http://www.opennet.me/docs/RUS/iptables/
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх