gogi
Members-
Постов
547 -
Зарегистрирован
-
Посещение
-
Победитель дней
1
Весь контент gogi
-
Алексей писал(а) Thu, 10 December 2009 21:42 Карточка на базе чипа Realtek 8169. Собрал модуль r8169 , загрузил - все равно не определяется... Сколько у вас все сетевых карт? lspci её не видит, или не правильно выдаёт информацию? Если не видит, попробуйте в другой слот поставить, контакты спиртом протереть... А если серьёзно, поставьте другую карту, если, конечно, у вас не большая партия закуплена. Про эту я слышал, что были проблемы не только у вас.
-
CAEman писал(а) Fri, 04 December 2009 21:47 Так у меня же ldapsearch не работает... Или в winbind_nss забит именно ldapsearch (может, поэтому winbind и мрёт)? А kinit никак нельзя использовать для этой цели? 1. kinit нет, поскольку на этом этапе не знаем пароля. 2. Я сам не пробовал делать ldap запросы к АД (АД у меня нет), но пишут, эта схема работает, причем без ввода машины в домен. В одной из ссылок, которые Вы рассматривали, приводится настройка ldap клиента для этого случая. 3. Можно ещё какую-нибудь схему придумать, напр. создавать пользователя не проверяя его в АД, а потом удалять, если не прошел аутентификацию.
-
CAEman писал(а) Fri, 04 December 2009 20:09 Так значит мне нужно начинать пробовать редактировать исходники с "winbind_nss_linux.c" а не "Смотреть в первую очередь надо pam_winbind.c", как Вы мне советовали ранее. Или я опять что-то не так понимаю? Думаю, что именно так. Приблизительная схема аутентификации: 1. Пользователь вводит логин - пароль. 2. Система pam использует nss для поиска пользователя и получения uid. 3. Если найден локальный пользователь, то из nss берется его uid. Если нет, то вновь написанный модуль nss использует анонимный вызов ldapsearch для поиска пользователя в AD. 4. Если пользователь найден, то создаёт локального пользователя без пароля с uid из предопределённого диапазона и возвращает системе pam. 5. Система pam в соответствии со своей конфигурацией вызывет модуль pam_smb (или pam_kerberos, или свой модуль pam) для аутентификации пользователя в AD.
-
CAEman писал(а) Fri, 04 December 2009 18:31 Таким образом, остаётся только редактирование исходников winbind'a Да. Или подыскать для nss модуль, подобный тому, что Вы нашли для pam. Цитата: (чтобы, для начала, при security=ADS хотя бы не умирал, или здесь тогда должно будет быть не ADS?). Если доступ к рессурсам предполагается через mount.cifs, то ни winbind, ни smb.conf вовсе не нужны. Нужен будет nss модуль, написанный "по мотивам" nss_winbind.
-
CAEman писал(а) Fri, 04 December 2009 12:27 А нельзя ли на шелле переделать исходники этого модуля так, чтобы после запроса таинственного вопрошателя системы, если упомянутый Вами модуль говорит не ОК, то запрос передался бы на сервер (через, например, kinit или что в этом случае можно использовать в данной ситуации), Во-первых, найденный Вами модуль, написан, как и должно быть, на C и исходников на шелле не имеет. Его особенность в том, что он способен вызывть шелл скрипты. Во-вторых, как я понимаю, даже переработка C исходников в данном случае не даст нужного результата. Модуль не сможет провести аутентификацию на сервере, поскольку ему система pam передёт пароль только в том случае, если пользователь существует. Если бы Вы ещё нашли подобный модуль для nss, тогда задачу можно бы было решать на шелле. Ещё можно поэкспериментировать, вдруг nss_winbind выдаёт нужную информацию (создаёт виртуального пользователя) и без ввода машины в домен. Просто подключите winbind к системе nss (/etc/nsswitch.conf) и проверьте утилитой getent.
-
TrUcA4 писал(а) Wed, 02 December 2009 17:40 Но и на openvpn нужно, настроить, так же как и squid) Выхода в инет нету? Или клиенты через openvpn подключаются? В любом случае сначала настройте одно, а потом приступайте к другому. Цитата: На squid не нашел как запретить скачивать файлы с данных адресов. Ищите внимательнее. Здесь не по адресу, а по доменному имени удобнее фильтровать.
-
TrUcA4 писал(а) Wed, 02 December 2009 16:46 Тогда задам не всю мою суть вопроса. Как запретить скачивать с сайте vkontacte музыку, видео и играть в игры? ( Для SQUID и OPENVPN) Установить и настроить squid, пользуясь, например, указанным выше руководством. Скажу в третий раз, что openvpn отношения к этому не имеет.
-
Попробуйте sudo aptitude update && sudo aptitude install tuxguitar.
-
TrUcA4 писал(а) Tue, 01 December 2009 15:37 Нужно чтобы с помощью сети proxy и vpn открывался сайт vkontacte , но чтобы нельзя было скачивать файлы (музыку, видео) и играть в игры. Может так более доступно, поправьте, если что-то не поняли. Всё равно я мало чего понял. Если доступ к интернету осуществляется через openvpn, то его, конечно, нужно настроить. Как это делается, очень хорошо описано в man openvpn Это одна задача, и к сайту vkontacte отношения не имеющая. Её решение - выход в инет. Если нужно ограничить контент (фильмы, музыка... с определённых адресов), то для этого предназначен squid, о его настройке можно почитать, например, в статье http://www.opennet.ru/base/net/squid_inst.txt.html Это вторая задача. Её решение - блокировка ненужного контента. Наконец, если это всё работает, то можно (и, скорее всего, нужно) настроить фильтрацию iptables для повышения безопасности системы. Это третья задача. Выполнять эти задачи следует ПОСЛЕДОВАТЕЛЬНО. Цитата: P.S Нужно добавить для openvpn правила в iptables. Для того чтобы сайт vkontakte открывался на openvpn . Спасибо за внимание. А это набор бессвязных слов.
-
Ansant писал(а) Tue, 01 December 2009 10:52 вот после всех ковыряний и переустановок проблема приобрела более конкретный характер. есть 2 веника. на hd0 стоят винды ХР и семерка. на hd1 мандрива 2010.0. если в биосе выбрать загрузку с hd0, то грузится винда. если в биосе выбрать hd1, то грузится GRUB и далее мандрива. тут все ок. выбираю в биосе загрузку с hd1. в GRUB добавил запись в меню - грузить винду с hd0: rootnoverify (hd0,1) makeactive chainloader +1 работает. появляется меню винды из двух пунктов: ХР и 7-ка. и тут неприятность. выбираю ХР-шку - начинает грузиться и комп уходит на ребут (примерно в тот момент когда должна бегущая полоска появиться). семерка все-таки в этом случае грузится. но в настройках свой загрузчик она не видит. и bcdedit.exe ругается, что не может найти файлы загрузчика. map (hd0) (hd1) map (hd1) (hd0) не помогает, никаких изменений. не могу понять, что за проблема. Можно поставить плюс интеллекту семёрке, что при такой конфигурации она всё таки грузится. Ведь для венды путаются диски. C: D: E:.... Я всё же советую настроить загрузчик стандартным для этого случая образом (описано выше) и не будет нужды переключаться в биосе, запутывая все три системы системы.
-
TrUcA4 писал(а) Tue, 01 December 2009 04:31 Добрый день. Стоит: ОС Linux, Debian С помощью iptables нужно ограничить доступ как на squid так и на openvpn . Пример: Дан сайт vk.com, нужно чтобы открывались толька страницы, файлы(видео,игры,музыка) НЕ СКАЧИВАЛИСЬ. Помогите решить задачу. P.S С помощью какой команды добовлять для openvpn в iptables сайты ? Спасибо за внимание. Попробуйте описать задачу с точки зрения пользователя, без упоминания непонимаемых Вами терминов: openvpn, squid, iptables.
-
CAEman писал(а) Fri, 27 November 2009 21:45 А что он вообще делает из того, что могло бы облегчить это решение с его помощью по сравнению с редактированием исходников winbind'a? Во первых, он короче и проще pam_winbind для изучения модулей pam. Во вторых, он даёт возможность писать логику на шелле или перле вместо С. Я просмотрел искходники. Модуль не виноват. Вышеуказанную строку вместо пароля передаёт ему сама система, а он переправляет её скрипту. Так что в любом случае нужен модуль nss, который говорит в ответ на запрос системы - OK. Этот пользователь есть в системе, вот его uid, gid....
-
CAEman писал(а) Fri, 27 November 2009 20:39 А каким образом? Его описание: "when using pam_script with pam "auth", in any script that pam-script runs, where the username doesn't exist on the machine, the PAM_AUTHTOK env variable is set to: "\x08\n\r\x7fINCORRECT" instead of the password the user typed (even though their username doesn't exist in /etc/passwd) if the username does exist, then pam_script returns the correct password," - я понял, как взлом имеющегося пользователя, если неизвестен его пароль, или замена введённого пароля несуществующего пользователя на какой-то системный, что-ли? Если я чего не так понял, то объясните, пожалуйста, что здесь имеется в виду. Т.е. что конкретно делает этот модуль? Здесь сказано, что модуль при аутентификации проверяет наличие пользователя в системе, и если пользователя нет, соответствующему скрипту вместо пароля передат указанную выше строку. Не зню, какой в этом смысл - может, безопасность, а может особенности архитектуры pam. Но задачу это усложнит. Придется либо править исходники этого pam модуля, либо писать соответствующий модуль nss.
-
CAEman писал(а) Fri, 27 November 2009 14:21 и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)? Я понимаю, что имеется в виду /etc/pam.d/login. Я про изменения в его содержании и спрашивал. Обычно, пропивывая другой модуль, оставляют и pam_unix.so хотя бы для того, что бы всегда мог залогиниться локальный root. Например, пишут так auth sufficient pam_unix.soauth required pam_ldap.so Цитата: Раз процесс компиляции библиотеки настолько сложен, что проще разобраться и отредактировать столь сложный исходник pam_winbind'а... Процесс компиляции не сложнее процесса написания модуля. Но умение компилировать также необходимо. Цитата: то у меня до прибегания к этой последней мере осталась лишь одна надежда: что Вы думаете насчёт модуля https://sourceforge.net/projects/pam-script/ - его никак нельзя использовать для поставленной задачи без редактирования исходников? Мне модуль показался интересным. Если нет времени/желания изучать C, то он Вам может помочь.
-
Алексей писал(а) Fri, 27 November 2009 16:11 А если использовать сквид - он способен разделять тип трафика по приоритетам? К примеру, чтобы скайп и аська имели более высокий приоритет, а фтп и торрент - более низкий? Скуид - это http прокси. Указанные Вами протоколы идут мимо него.
-
Алексей писал(а) Wed, 25 November 2009 06:03 Здравствуйте! Задача орининальна: При в ходе в систему (будь то линукс или виндовс)на любой машине в локальной сети проходить авторизацию на сервере (линукс) и монтирование на клиенте двух дисков с сервера: диск с квотами (рабочее пространство пользователя) Диск с ПО пользователя Какие есть идеи? Наиболее распространенное в данном случае решение - openldap + samba. Руководств - море, начиная с официального самбовского wiki. Для юниксовых юзеров - pam_ldap. В зависимости от особенности работы линуксовых клиентов, возможно, для них более предпочтительно поднять nfs, а если критична безопасноть - nfs4 + kerberos. Но это уже отдельный разговор.
-
CAEman писал(а) Sat, 21 November 2009 13:29 gogi писал(а) Fri, 20 November 2009 23:05 Тогда задача сводится к переносе базы пользователей с паролями. Для этого как раз предназначался pam_ntlm, но ... см. ниже. Если перенести базу пользователей с ntlm паролями с сервера windows на юникс машину, то аудентификацию по этой перенесенной базе и предназначен выполнять модуль pam_ntlm http://sourceforge.net/projects/pamntlm Но для того, чтобы эту базу перенести, без пароля win админа не обойтись (не взламывая сервер ). Но в Виндоусе из-под своей простой учётной записи, если выставляю права на свои ресурсы, то вижу весь список пользователей сервера (вернее, частями по 1000)... Но паролей Вы там не увидите. Цитата: хотелось бы узнать, в чём пошагово заключается "соберем его как библиотеку", Результатом компиляции должна стать библиотека. Подробнее см. документацию по программированию на C под linux. Цитата: и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)? Здесь имеется в виду настройка /etc/pam.d Цитата: Цитата: Того, что вы просили, сервер и не мог найти. Попробуйте просто ldapsearch -x При этом лдап сервер должен выдать всю информацию, доступную анонимно. Конкретно в случае АД - не знаю. Абсолютно тот же результат. Вообще-то эта же ошибка выдаётся, когда в Ясте в дополнительных настройках ЛДАП клиента пытаешься в административных настройках анонимно сконфигурировать настройки управления пользователями... Впрочем, если там же, но не в административных, а в клиентских настройках нажимаешь "Обзор" у Map'ов (не знаю, как это слово правильно в данном случае перевести на русский) пользователей, паролей и групп, то открываются окна с пустым содержанием (списками?)... Либо неправильно настроен ldap клиент, либо венда только машинам домена даёт такую информацию. Цитата: Цитата: В /var/log/auth.log должны отображаться попытки нуудачных входов уже при настройках по умолчанию. Я это понимаю. Но дело в том, что у меня нет такого файла вообще. И я не помню, чтобы менял какие-нибудь подобные настройки. Вопрос же заключается в том, что если именно этот файл должен быть и в openSUSE, то какой настройкой это устанавливается? Читайте документацию по дистрибутиву. У меня нет openSUSE В redhat, centos, fedora - /var/log/secure В debian - /var/log/auth.log Если Вы решились писать свой pam модуль, то я всё же советую за основу взять pam_winbind, поскульку он уже 1) проводит аутентификацию и по ntlm, и по kerberos. 2) создаёт юниксовых юзеров. А вышеуказанную статью рассматривать как вводное руководство. В этом случае при возникновении вопросов уместно создать тему в разделе программирования на языке C.
-
Да, немного недопонимаете. Следует различать понятия аутентификации (проверка пароля), которая в данном случае реализуется через керберос и авторизации (получение uid, gid, home...), которая осуществляется посредством ldap. Kerberos - это система аутентификации, LDAP может и то и другое. Поэтому nss модуля для керберос нет и быть не может.
-
CAEman писал(а) Fri, 20 November 2009 15:11 Могу только уточнить, что если локальный пользователь уже создан, то проверка его актуального наличия на сервере уже не обязательна. Монтирование ресурсов - задача вторичная (так или иначе она решаема, просто не хотелось бы иметь повторный запрос пароля, но это уже, как говорится, "причёсывание" последующее). Тогда задача сводится к переносе базы пользователей с паролями. Для этого как раз предназначался pam_ntlm, но ... см. ниже. Цитата: В связи с этим у меня возникло 2 вопроса: 1) А что насчёт pam_ntlm? Если перенести базу пользователей с ntlm паролями с сервера windows на юникс машину, то аудентификацию по этой перенесенной базе и предназначен выполнять модуль pam_ntlm http://sourceforge.net/projects/pamntlm Но для того, чтобы эту базу перенести, без пароля win админа не обойтись (не взламывая сервер ). Цитата: 2) Можно ли, в принципе, ограничиться локальным pam'ом, но написать сценарий аутентификации в /etc/pam.d/login (наподобие того, как это описано в статье http://www.citforum.ru/operating_systems/articles/pam.shtml, ссылку на которую Вы приводили), использующий kinit, useradd, passwd? Но как мы тогда проверим пароль на win сервере? Если вы заметили, в файле /etc/pam.d/login указываются как раз pam модули, проводящие аутентификацию, а это - отнюдь не скрипты. Цитата: Так же у меня ещё вопросы возникли по статье http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication (также - Вашей ссылки):" It is assumed Active Directory is configured with an AD realm of EXAMPLE.COM and we will create one user: account name: wendy UID: 1002 GID: 1002 home directory: /home/wendy shell: /bin/bash ", - это в AD или локального? У них AD сконфигурирована таким образом, что соденжит юниксовых юзеров. Цитата: И в чём здесь проблема:" ldapsearch -x -H ldap://server.domain "(objectClass=posixAccount)" sAMAccountName # extended LDIF # # LDAPv3 # base <dc=domain> (default) with scope subtree # filter: (objectClass=posixAccount) # requesting: sAMAccountName # # search result search: 2 result: 1 Operations error text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope ration a successful bind must be completed on the connection., data 0, vece # numResponses: 1 ", - ведь, согласно тексту статьи, ничего особенного, кроме настройки ldap, до этого делать, вроде, не нужно было? Того, что вы просили, сервер и не мог найти. Попробуйте просто ldapsearch -x При этом лдап сервер должен выдать всю информацию, доступную анонимно. Конкретно в случае АД - не знаю. Цитата: И последний вопрос, что и где нужно прописать, чтобы "monitor /var/log/auth.log, this should explain why you cannot login"? В /var/log/auth.log должны отображаться попытки нуудачных входов уже при настройках по умолчанию.
-
CAEman писал(а) Fri, 13 November 2009 18:45 Можете ли Вы мне подсказать, хотя бы, команду, с помощью которой создаётся новый пользователь (я занимался этим только в графике), а также как она считает введённые имя и пароль? useradd - создание пользоватеся passwd - задание пароля О этих утилитах всё необходимое написано в мане. Цитата: Я понял, что нужно подключить ещё какой-то модуль (или см. выше) для создания пользователя (я, естественно, не буду вручную создавать тысячу пользователей с неизветными мне паролями), но вопрос состоит в том, можно ли будет использовать при этом kerberos, как в упомянутом выше случае postfix использует sasl? Нужно использовать либо керберос, либо нтлм. sasl добавляет в процедуру аутентификации ещё одно звено, в котором нет необходимости. Ввиду затянувшегося обсуждения, чтобы не потерять основную нить этой экзотической задачи, предлагаю подвести промежуточные итоги. Если что-то не так, поправьте. 1. Задача Нужно логиниться на компьютере линукс под учетной записью из АД. При этом необходимо использовать как рессурсы локального компьютера, так и виндоус сервера (или серверов) - в основном разделяемые каталоги. 2. Особенность задачи Нет возможности делать какие-либо изменения в АД, поскольку нет ни пароля, ни связи с администратором. Нельзя 1) Всести компьютер в домен; 2) Добавть в АД юниксовые параметры (uid, gid...). Также не представляется возможным продублировать пользователей в юникс, поскольку их тысячи и точного списка логинов нет. 3. Обсуждение Поскольку аудентификацией и авторизацией в линукс занимаются модули пам, то нужно найти подходящий модуль. pam_winbind - не требует базы пользователей юникс, но требует ввода машины в домен. Может использовать либо kerberos либо ntlm аутентификацию. pam_krb5 - требует наличия юникс пользователя (аутент. kerberos). pam_smb - требует наличия юникс пользователя (аутент. ntlm). pam_ldap - требует наличия юникс пользователя (аутент. по паролю, хранящемуся в ldap, в последних версиях также возможен sasl). Аутентификация ntlm более предпочтительна, поскольку у Вас не решена задача монтирования cifs ресурсов по билету kerberos. 4. Пути решения. 1) Написать свой pam модуль, который будет проводить аутентификацию в АД и, если нужно, создавать юниксового пользователя. Недостаток - сложность решения. 2) Попытаться найти в сети подходящий модуль, но нет никакой гарантии, что он найдется. 3) Отказаться от какого-либо из условий задачи. Например, если раздобыть список пользователей (даже без паролей), то их можно разместить в базе ldap на какой-либо машине линукс, после чего настроить один из перечесленных выше модулей. Других путей решения я пока не вижу. Когда выберете конкретное направление, впору создавать новую тему.
-
Sleeping Daemon писал(а) Fri, 13 November 2009 15:18 Тем не менее, у меня, например эти сети показаны в таблицах явно, не в мнемоническом виде. либо route -n либо их нет в /etc/networks Честно говоря, в явном виде, действительно, более информативно.
-
Sleeping Daemon писал(а) Fri, 13 November 2009 13:10 Как пакеты попадут в сеть 192.168.222.0/24 ? Через какой интерфейс, или через чего, в таблице рутинга должна быть запись. Это у него, вроде бы было в таблице. localnet * 255.255.255.0 U 0 0 0 eth0 Сеть localnet обычно описывается в /etc/networks, как и сети default, loopback...
-
Thomas XIII писал(а) Thu, 12 November 2009 23:37 Ничего не понимаю... Прописал команды, теперь шлюз и ноут перестали друг друга пинговать. Линк есть - пинга нет. Хотя с утра, точно помню, пинговалось. Уж и кабель переобжимал, и сеть перенастраивал... Мож в таблицу маршрутизации надо что-то добавить? Хотя что, они ж напрямую соединены... Нелегко быть телепатом, но могу предположить следующее. 1. На xp по умолчанию фаревол не пропускает пинги, поэтому пинг в сторону ноута может блокироваться. Пингуйте комп с ноута. 2. Очистите фаревол и проверьте пинг. iptables -F iptables -t nat -F 3. Если пинги пошли, добавьте в фаревол одно правилло iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.222.0/24 -j MASQUERADE и проверьте пинги в инет. 4. Теперь добавляйте (если нужно) правила для локальной сети провайдера. iptables -t nat -I POSTROUTING -o eth1 -s 192.168.222.0/24 -d 10.0.0.0/8 -j SNAT --to-source 192.168.51.24 iptables -t nat -I POSTROUTING -o eth1 -s 192.168.222.0/24 -d 192.168.0.0/16 -j SNAT --to-source 192.168.51.24 Заметьте, что ключ стал -I - вставить правило впереди, а также то, что в прошлый раз я неправильно указал выходной интерфейс - у Вас он eth1. Думаю, Вы сами исправили эту опечатку. 5. Если всё работает, напишите скрипт, состоящий из открытия форвардинга и пяти выше указанных правил, включая правила очищения таблиц. Сделайте этот скрипт запускаемым при загрузке. Детали зависят от дистрибутива. 5a. Форвардинг можно открыть и другим способом - раскомментиравать в файле переменных ядра /etc/sysctl.conf строку net.ipv4.ip_forward=1
-
Дополню. Для доступа со своей локальной сети (с ноутбука) к локальной сети провайдера нужно перед iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.222.0/24 -j MASQUERADE добавить ещё две строки iptables -t nat -A POSTROUTING -o eth0 -s 192.168.222.0/24 -d 10.0.0.0/8 -j SNAT --to-source 192.168.51.24 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.222.0/24 -d 192.168.0.0/16 -j SNAT --to-source 192.168.51.24
-
Thomas XIII писал(а) Thu, 12 November 2009 20:24 Ключевые настройки? Извольте: tomas13:/home/thomasxiii# ifconfigeth0 Link encap:Ethernet HWaddr 00:e0:51:5b:00:0c inet addr:192.168.222.1 Bcast:192.168.222.255 Mask:255.255.255.0 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 TX bytes:0 (0.0 Interrupt:19 Base address:0xe800 eth1 Link encap:Ethernet HWaddr 00:1b:fc:32:0d:f5 inet addr:192.168.51.24 Bcast:192.168.51.255 Mask:255.255.255.0 inet6 addr: fe80::21b:fcff:fe32:df5/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3737 errors:0 dropped:0 overruns:0 frame:0 TX packets:2506 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1706417 (1.6 MiB) TX bytes:392485 (383.2 KiB) Interrupt:220 Base address:0xa000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:12 errors:0 dropped:0 overruns:0 frame:0 TX packets:12 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:800 (800.0 TX bytes:800 (800.0 B)ppp0 Link encap:Point-to-Point Protocol inet addr:94.158.210.36 P-t-P:10.100.100.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:1730 errors:0 dropped:0 overruns:0 frame:0 TX packets:1752 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:1460552 (1.3 MiB) TX bytes:230985 (225.5 KiB) tomas13:/home/thomasxiii# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.51.0 * 255.255.255.0 U 0 0 0 eth1localnet * 255.255.255.0 U 0 0 0 eth0192.168.0.0 192.168.51.1 255.255.0.0 UG 0 0 0 eth110.0.0.0 192.168.51.1 255.0.0.0 UG 0 0 0 eth1default 10.100.100.2 0.0.0.0 UG 0 0 0 ppp0 Всё верно Цитата: tomas13:/home/thomasxiii# iptables-saveiptables-save v1.4.2: Unable to open /proc/net/ip_tables_names: No such file or directory Это потому, что iptables не активирован. Напишире две указанные ранее строки (для открытия форвардинга и для ната) и, по идее, всё должно заработать, если клиент настроен.