FormaCvt
-
Постов
13 -
Зарегистрирован
-
Посещение
Никогда
Сообщения, опубликованные FormaCvt
-
-
спасибо что направили в нужное русло
ставил то я с минимальным набором программ
я уже и сам подумывал
использовать родные конфигураторы
завтра принесу еще один винт
поставлю с графической оболочкой
так что вечерком заглядываете в тему
напишу чем все закончилось
есть конечно у меня еще кое-какие мыслишки
но завтра...
а на сегодня всем спасибо кто
не дал сгинуть одиноко в пучине конфигов.
-
hunk писал(а) Втр, 13 Июня 2006 18:07 Ну, вот, я успел сбегать за водкой,
теперь можно приступать
я пожалуй сделаю тоже самое
потому как пока выхода не вижу
может с похмеля что то и проясниться
бо на трезвую голову мысли умные не лезут
Цитата: Вам нужно добавить в iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
не фига
где то и в чем то еще собака порылась
-
hunk писал(а) Втр, 13 Июня 2006 17:21 Если я внимательно просмотрел
Ваш iptables, то у Вас маскарадинг
настроен только для ppp0, а как же
eth0 и eth2? Точнее, а почему не
наоборот?
А с таблицей маршрутизации вроде все впорядке
прошу прощения ( что то я туплю )
я не совсем понял Ваш вопрос.
если у Вас есть возможность уделить
несколько драгоценных минут
покажите на примере где я не прав
и в чем ошибаюсь
-
а вот route
что то я совсем запутался
и не чего понять не могу
Destination Gateway Genmask Flags Metric Ref Use Iface
x-yy.zzz * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
default x-yy.zzz 0.0.0.0 UG 0 0 0 ppp0
-
Цитата: Давайте сначала разберемся со структурой сети
Давайте...
eth0 - 192.168.0.111 в локалку
eth2 - по dhcp прова назначается адрес 192.168.1.4
в нее (eth2) воткнут adsl-модем настроенный как мост
к прову подключение по PPPoE
#ifup ppp0
ppp0 назначается белый IP
-
hunk писал(а) Втр, 13 Июня 2006 15:49 1. С windows машины сайт провайдера
Вы пингуете как www.prov... или через ip-адрес?
2. установлен ли кеширующий DNS-сервер, ведь,
как я понял, с самого сервера Вы в инет выходите?
1 dns-сервер не установлен
с самого сервера спокойно выхожу в инет
2. пингую я по ip
если бы я поинговал по www.адрес без dns-сервера
то получил бы
не удалось обнаружить узел
а я получаю
Превышен интервал ожидания для запроса
хотя прикрутить dns-сервер не долго
но пока хочу без него разобраться
-
]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-
Уважаемый Dr.Spectre и другие не менее уважаемые коллеги
очень прошу Вас поправить меня где не прав
цель
как я уже говорил
что бы компы с адресами 192.168.0.1 192.168.0.23
могли пинговать
адреса интернета
я удалил файл /etc/sysconfig/iptables
дальше пишу
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -p all -i eth0 -s 192.168.0.1/24
iptables -A INPUT -j ACCEPT -p all -i eth0 -s 192.168.0.23/24
iptables -A FORWARD -j ACCEPT -s 192.168.0.1/24
iptables -A FORWARD -j ACCEPT -d 192.168.0.1/24
iptables -A FORWARD -j ACCEPT -s 192.168.0.23/24
iptables -A FORWARD -j ACCEPT -d 192.168.0.23/24
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.1/24
iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.23/24
#это можно было бы и не писать пока но у меня
#через PuTTY мне работать удобнее
iptables -A INPUT -s 192.168.0.10 -p tcp --dport ssh -j ACCEPT
все выполняю
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT tcp -- 192.168.0.1 anywhere tcp dpt:ssh
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere 192.168.0.0/24
ACCEPT all -- anywhere 192.168.0.0/24
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere 192.168.0.0/24
ACCEPT all -- anywhere 192.168.0.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 192.168.0.0/24
ACCEPT all -- anywhere 192.168.0.0/24
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@localhost ~]#
и как я уже писал
с машины под windows XP
шлюз по умолчанию 192.168.0.111
ping 192.168.0.111 проходит (eth0 - в локалку)
ping 192.168.1.4 проходит (eth2 - в инет динамически
выделеляется провом )
ping статический ( белый IP ) проходит
adsl модем настоеный как МОСТ
ping сайт провайдера ----- не проходит
Превышен интервал ожидания для запроса.
хотя с машины где стоит adsl под linux
все адреса локалки или инета пингуются
нормально
и да кстати
про вот это
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
что это означает я знаю
а вот почему это появляется нет
надо ли это отключить
и самое главное как...
спасибо
-
хочется добавить
я конечно хотел бы услышать мнение
специалистов по поводу моего iptables
и еще #ifup ppp0
я запускаю от имени root
может быть из за этот клинты не выходят в инет
вопрос конечно вам покажется ламерским
раскажите как заставить
запускаться ppp0 от имени пользователя
если можно то подробнее
это мои первые шаги в linux
-
EvilShadow писал(а) Птн, 09 Июня 2006 17:45 Форвардинг разрешен?
а как же
#cat /proc/sys/net/ipv4/ip_forward
#1
-
помогите разобраться
установлен redhat en4
eth0 192.168.0.111 в локальную сеть
eth2 192.168.1.4 в инет (dhcp от провайдера)
ppp0 adsl модем PPPoE
подключаюсь под root #ifup ppp0
пингую адрес сайта провайдера
нормально проходит ну и остальные инет адреса тоже
файл /etc/sysconfig/iptables
# Generated by iptables-save v1.2.11 on Fri Jun 9 12:12:49 2006
*filter
:INPUT ACCEPT [339:33015]
:FORWARD DROP [8:480]
:OUTPUT ACCEPT [276:23887]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i ppp+ -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p udp -m udp --dport 0:1023 -j DROP
-A INPUT -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp+ -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -s 192.168.0.1 -p tcp -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Jun 9 12:12:49 2006
# Generated by iptables-save v1.2.11 on Fri Jun 9 12:12:49 2006
*nat
:PREROUTING ACCEPT [137:17680]
:POSTROUTING ACCEPT [10:1146]
:OUTPUT ACCEPT [62:5352]
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Fri Jun 9 12:12:49 2006
с машины под windows XP
шлюз по умолчанию 192.168.0.111
ping 192.168.0.111 проходит
ping 192.168.1.4 проходит
ping статический белый IP проходит
ping сайт провайдера ----- не проходит
Превышен интервал ожидания для запроса.
и вот эти строки не понятны
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
цель
что бы компы с адресами 192.168.0.1 192.168.0.23
могли пинговать
адреса интернета
-
что ж чуваку не помогли прогу поставить...
если конечно тебе еще надо
если сам не разобрался
просто я сам такой
хожу задаю вопросы такого плана
иногда люди добрые помогают
подмонтируй диск с инсталяцией
( просто я не знаю сколько у тебя дисков )
но для начала
# что бы узнать установлен ли у тебя пакет mc
rpm -q mc
# если не установлен
# как я уже писал примонтирую диск
# если не знаешь как в любом руководстве написано
# и про установку программ тоже
# так вот на диске находишь каталог RPMS
# или чтото в этом роде и ещешь там файл
# который начинается на mc
# если есть то пишешь
rpm rpm –ivh mc
и все
ну а про то как ставить проги
в любой книжке написано да и по поиску тоже
можно валом найти
удачи
red hat en4 iptables
в Linux RedHat/Fedora Core/CentOS
Опубликовано
ЗАРАБОТАЛО!!!
минимальная цель достигнута
пишу в чем была трабла
в кратце напомню структуру
eth0 - 192.168.0.111 в локалку
eth2 - по dhcp прова назначается адрес 192.168.1.4
в нее (eth2) воткнут adsl-модем настроенный как мост
к прову подключение по PPPoE
по руководству настройки соединения PPPoE скрипт adsl-setup
было написано что интерфейс в который воткнут модем
во время работы скрипта должен быть ОТКЛЮЧЕН.
вот я его и запретил стартовать при загрузке
потом начинаю работу
#ifup eth2
#ifup ppp0
но
мной было замечано что даже если не стартовать eth2
то при поключении
#ifup ppp0
я все равно с сервера хожу в инет .......
вот кусок ifconfig после #ifup ppp0
с остановленым eth2
eth0 Link encap:Ethernet
inet addr:192.168.0.111 Bcast:192.168.0.255
Mask:255.255.255.0
eth2 Link encap:Ethernet HWaddr 00:...
inet6 addr: .................... Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
ppp0 Link encap:Point-to-Point Protocol
inet addr:x.y.qqq.www P-t-P:x.y.ttt.ккк
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492
Metric:1
после этого через настройка уровня безопасности
сделал доверенными ssh и eth0
вот полученый iptables после установки системы
и поднастройки уровня безопасности
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
после этого ввожу с коммандной строки
#iptables -A FORWARD -j ACCEPT -s 192.168.0.1/24
#iptables -A FORWARD -j ACCEPT -d 192.168.0.1/24
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.1/24
#iptables -A OUTPUT -j ACCEPT -p all -d 192.168.0.23/24
и все побежало
вот iptables после того как
# Generated by iptables-save v1.2.11 on Thu Jun 15 16:35:59 2006
*nat
:PREROUTING ACCEPT [134:21009]
:POSTROUTING ACCEPT [1:60]
:OUTPUT ACCEPT [9:674]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Jun 15 16:35:59 2006
# Generated by iptables-save v1.2.11 on Thu Jun 15 16:35:59 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1759:3326869]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Jun 15 16:35:59 2006
а теперь вопрос?
почему eth2 не должен быть включен ( хотя если включить
то с сервера в инет хожу а маскарад пропадает )
возможно если прописать и маскарад на eth2
то тоже будет работать но это я попробую потом
а всетаки
как в данном случает работает железо при выключеном eth2
да что еще хотел спросить
как насчет продолжить обсуждение iptables
в новой теме?