Перейти к содержанию

FormaCvt

Members
 Профиль  Обзор контента

  • Постов

    13

  • Зарегистрирован

  • Посещение

    Никогда

Profile Information

  • Location
    odessa

Достижения FormaCvt

Newbie

Newbie (1/14)

0

Репутация

  1. FormaCvt
    ЗАРАБОТАЛО!!! минимальная цель достигнута пишу в чем была трабла в кратце напомню структуру eth0 - 192.168.0.111 в локалку eth2 - по dhcp прова назначается адрес 192.168.1.4 в нее (eth2) воткнут adsl-модем настроенный как мост к прову подключение по PPPoE по руководству настройки соединения PPPoE скрипт adsl-setup было написано что интерфейс в который воткнут модем во время работы скрипта должен быть ОТКЛЮЧЕН. вот я его и запретил стартовать при загрузке потом начинаю работу #ifup eth2 #ifup ppp0 но мной было замечано что даже если не стартовать eth2 то при поключении #ifup ppp0 я все равно с сервера хожу в инет ....... вот кусок ifconfig после #ifup ppp0 с остановленым eth2 eth0 Link encap:Ethernet inet addr:192.168.0.111 Bcast:192.168.0.255 Mask:255.255.255.0 eth2 Link encap:Ethernet HWaddr 00:... inet6 addr: .................... Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 ppp0 Link encap:Point-to-Point Protocol inet addr:x.y.qqq.www P-t-P:x.y.ttt.ккк Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 после этого через настройка уровня безопасности сделал доверенными ssh и eth0 вот полученый iptables после установки системы и поднастройки уровня безопасности # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth0 -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT после этого ввожу с коммандной строки #iptables -A FORWARD -j ACCEPT -s 192.168.0.1/24 #iptables -A FORWARD -j ACCEPT -d 192.168.0.1/24 #iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE #iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.1/24 #iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.23/24 и все побежало вот iptables после того как # Generated by iptables-save v1.2.11 on Thu Jun 15 16:35:59 2006 *nat :PREROUTING ACCEPT [134:21009] :POSTROUTING ACCEPT [1:60] :OUTPUT ACCEPT [9:674] -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # Completed on Thu Jun 15 16:35:59 2006 # Generated by iptables-save v1.2.11 on Thu Jun 15 16:35:59 2006 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1759:3326869] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT -A FORWARD -d 192.168.0.0/255.255.255.0 -j ACCEPT -A OUTPUT -d 192.168.0.0/255.255.255.0 -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth0 -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Thu Jun 15 16:35:59 2006 а теперь вопрос? почему eth2 не должен быть включен ( хотя если включить то с сервера в инет хожу а маскарад пропадает ) возможно если прописать и маскарад на eth2 то тоже будет работать но это я попробую потом а всетаки как в данном случает работает железо при выключеном eth2 да что еще хотел спросить как насчет продолжить обсуждение iptables в новой теме?
  2. FormaCvt
    спасибо что направили в нужное русло ставил то я с минимальным набором программ я уже и сам подумывал использовать родные конфигураторы завтра принесу еще один винт поставлю с графической оболочкой так что вечерком заглядываете в тему напишу чем все закончилось есть конечно у меня еще кое-какие мыслишки но завтра... а на сегодня всем спасибо кто не дал сгинуть одиноко в пучине конфигов.
  3. FormaCvt
    hunk писал(а) Втр, 13 Июня 2006 18:07 Ну, вот, я успел сбегать за водкой, теперь можно приступать я пожалуй сделаю тоже самое потому как пока выхода не вижу может с похмеля что то и проясниться бо на трезвую голову мысли умные не лезут Цитата: Вам нужно добавить в iptables iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE не фига где то и в чем то еще собака порылась
  4. FormaCvt
    hunk писал(а) Втр, 13 Июня 2006 17:21 Если я внимательно просмотрел Ваш iptables, то у Вас маскарадинг настроен только для ppp0, а как же eth0 и eth2? Точнее, а почему не наоборот? А с таблицей маршрутизации вроде все впорядке прошу прощения ( что то я туплю ) я не совсем понял Ваш вопрос. если у Вас есть возможность уделить несколько драгоценных минут покажите на примере где я не прав и в чем ошибаюсь
  5. FormaCvt
    а вот route что то я совсем запутался и не чего понять не могу Destination Gateway Genmask Flags Metric Ref Use Iface x-yy.zzz * 255.255.255.255 UH 0 0 0 ppp0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth2 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth2 default x-yy.zzz 0.0.0.0 UG 0 0 0 ppp0
  6. FormaCvt
    Цитата: Давайте сначала разберемся со структурой сети Давайте... eth0 - 192.168.0.111 в локалку eth2 - по dhcp прова назначается адрес 192.168.1.4 в нее (eth2) воткнут adsl-модем настроенный как мост к прову подключение по PPPoE #ifup ppp0 ppp0 назначается белый IP
  7. FormaCvt
    hunk писал(а) Втр, 13 Июня 2006 15:49 1. С windows машины сайт провайдера Вы пингуете как www.prov... или через ip-адрес? 2. установлен ли кеширующий DNS-сервер, ведь, как я понял, с самого сервера Вы в инет выходите? 1 dns-сервер не установлен с самого сервера спокойно выхожу в инет 2. пингую я по ip если бы я поинговал по www.адрес без dns-сервера то получил бы не удалось обнаружить узел а я получаю Превышен интервал ожидания для запроса хотя прикрутить dns-сервер не долго но пока хочу без него разобраться
  8. FormaCvt
    ]# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere MASQUERADE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination
  9. FormaCvt
    Уважаемый Dr.Spectre и другие не менее уважаемые коллеги очень прошу Вас поправить меня где не прав цель как я уже говорил что бы компы с адресами 192.168.0.1 192.168.0.23 могли пинговать адреса интернета я удалил файл /etc/sysconfig/iptables дальше пишу iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -j ACCEPT -i lo iptables -A INPUT -j ACCEPT -p all -i eth0 -s 192.168.0.1/24 iptables -A INPUT -j ACCEPT -p all -i eth0 -s 192.168.0.23/24 iptables -A FORWARD -j ACCEPT -s 192.168.0.1/24 iptables -A FORWARD -j ACCEPT -d 192.168.0.1/24 iptables -A FORWARD -j ACCEPT -s 192.168.0.23/24 iptables -A FORWARD -j ACCEPT -d 192.168.0.23/24 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.1/24 iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.23/24 #это можно было бы и не писать пока но у меня #через PuTTY мне работать удобнее iptables -A INPUT -s 192.168.0.10 -p tcp --dport ssh -j ACCEPT все выполняю # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.0/24 anywhere ACCEPT all -- 192.168.0.0/24 anywhere ACCEPT tcp -- 192.168.0.1 anywhere tcp dpt:ssh Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 192.168.0.0/24 anywhere ACCEPT all -- anywhere 192.168.0.0/24 ACCEPT all -- anywhere 192.168.0.0/24 ACCEPT all -- 192.168.0.0/24 anywhere ACCEPT all -- anywhere 192.168.0.0/24 ACCEPT all -- anywhere 192.168.0.0/24 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere 192.168.0.0/24 ACCEPT all -- anywhere 192.168.0.0/24 Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere icmp any ACCEPT ipv6-crypt-- anywhere anywhere ACCEPT ipv6-auth-- anywhere anywhere ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353 ACCEPT udp -- anywhere anywhere udp dpt:ipp ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED REJECT all -- anywhere anywhere reject-with icmp-host-prohibited [root@localhost ~]# и как я уже писал с машины под windows XP шлюз по умолчанию 192.168.0.111 ping 192.168.0.111 проходит (eth0 - в локалку) ping 192.168.1.4 проходит (eth2 - в инет динамически выделеляется провом ) ping статический ( белый IP ) проходит adsl модем настоеный как МОСТ ping сайт провайдера ----- не проходит Превышен интервал ожидания для запроса. хотя с машины где стоит adsl под linux все адреса локалки или инета пингуются нормально и да кстати про вот это ACCEPT ipv6-crypt-- anywhere anywhere ACCEPT ipv6-auth-- anywhere anywhere что это означает я знаю а вот почему это появляется нет надо ли это отключить и самое главное как... спасибо
  10. FormaCvt
    хочется добавить я конечно хотел бы услышать мнение специалистов по поводу моего iptables и еще #ifup ppp0 я запускаю от имени root может быть из за этот клинты не выходят в инет вопрос конечно вам покажется ламерским раскажите как заставить запускаться ppp0 от имени пользователя если можно то подробнее это мои первые шаги в linux
  11. FormaCvt
    EvilShadow писал(а) Птн, 09 Июня 2006 17:45 Форвардинг разрешен? а как же #cat /proc/sys/net/ipv4/ip_forward #1
  12. FormaCvt
    помогите разобраться установлен redhat en4 eth0 192.168.0.111 в локальную сеть eth2 192.168.1.4 в инет (dhcp от провайдера) ppp0 adsl модем PPPoE подключаюсь под root #ifup ppp0 пингую адрес сайта провайдера нормально проходит ну и остальные инет адреса тоже файл /etc/sysconfig/iptables # Generated by iptables-save v1.2.11 on Fri Jun 9 12:12:49 2006 *filter :INPUT ACCEPT [339:33015] :FORWARD DROP [8:480] :OUTPUT ACCEPT [276:23887] :RH-Firewall-1-INPUT - [0:0] -A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j DROP -A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j DROP -A INPUT -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP -A INPUT -i ppp+ -p icmp -m icmp --icmp-type 8 -j DROP -A INPUT -s 192.168.0.1 -p tcp -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Fri Jun 9 12:12:49 2006 # Generated by iptables-save v1.2.11 on Fri Jun 9 12:12:49 2006 *nat :PREROUTING ACCEPT [137:17680] :POSTROUTING ACCEPT [10:1146] :OUTPUT ACCEPT [62:5352] -A POSTROUTING -o ppp+ -j MASQUERADE COMMIT # Completed on Fri Jun 9 12:12:49 2006 с машины под windows XP шлюз по умолчанию 192.168.0.111 ping 192.168.0.111 проходит ping 192.168.1.4 проходит ping статический белый IP проходит ping сайт провайдера ----- не проходит Превышен интервал ожидания для запроса. и вот эти строки не понятны -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT цель что бы компы с адресами 192.168.0.1 192.168.0.23 могли пинговать адреса интернета
  13. FormaCvt
    что ж чуваку не помогли прогу поставить... если конечно тебе еще надо если сам не разобрался просто я сам такой хожу задаю вопросы такого плана иногда люди добрые помогают подмонтируй диск с инсталяцией ( просто я не знаю сколько у тебя дисков ) но для начала # что бы узнать установлен ли у тебя пакет mc rpm -q mc # если не установлен # как я уже писал примонтирую диск # если не знаешь как в любом руководстве написано # и про установку программ тоже # так вот на диске находишь каталог RPMS # или чтото в этом роде и ещешь там файл # который начинается на mc # если есть то пишешь rpm rpm –ivh mc и все ну а про то как ставить проги в любой книжке написано да и по поиску тоже можно валом найти удачи
×
×
  • Создать...