Шлюз на Ubuntu 10.04

[Spicus]

Здравствуйте! Есть комп с ubuntu, есть компы куда нужно раздавать инет с запретом доступа на некоторые сайты! Настроил через Firestarter. Интернет на компах медленный, запрет на сайты не работает и открыл порты in\out на почту и на web, web работает, а почта нет! Как правильно настроить? Подскажите!

[mos.lutsk]

Можно грубо с помощью iptables.

eth0 -- внешний интерфейс(интернет)
eth1 -- внутренний интерфейс(локальная сеть)
Замените на свои интерфейсы.

Блокируем форвардинг по умолчанию

Код: [Выделить]

iptables -P FORWARD DROP
Разрешаем новые соединения из сети на порты почты и веба

Код: [Выделить]

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state NEW,ESTABLISHED -m multiport --dports 25,80,110,143,443 -j ACCEPT
Разрешаем на возврат пакетов уже установленных соединений

Код: [Выделить]

iptables -A FORWARD -i eth0 -o eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
Блокируем ненужные сайты.

Код: [Выделить]

iptables -A FORWARD -i eth1 -o eth0 -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP
iptables -A FORWARD -i eth1 -o eth0 -m string --string "odnoklasniki.ru" --algo kmp --to 65535 -j DROPНа счет блокировки сайтов лучше прокси, бо это грубый и неправильный метод.

[Spicus]

спасибо огромное!!! Подскажите пожалуйста, а как разрешить доступ к icq только для одного компьютера?

[Spicus]

mos.lutsk, не работает шлюз, ввёл все настройки и не работает!(

[fisher74]

Код: [Выделить]

ifconfig
route -n
cat /proc/sys/net/ipv4/ip_forward
sudo iptables-saveВсё эт под сюда под спойлер

[Spicus]

извините, что заначит под спойлер???

[mos.lutsk]

извините, что заначит под спойлер???

Это значит что вывод этих 4 команд выкладывайте сюда на форум.

mos.lutsk, не работает шлюз, ввёл все настройки и не работает!(

то что я вам написал не предполагает работу шлюза, только настройку firewall относительно вашей просьбы про доступ до интернета и почты.

Для настройки шлюза:

Добавьте правило

Код: [Выделить]

iptables -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
192.168.1.0/24 - измените на свою подсеть.
eth0 - ваша сетевая карта которая мотрит в интернет.

виполните

Код: [Выделить]

sysctl net.ipv4.ip_forward
если ответ ровен 1 то больше ничего делать не нужно, а если 0 то сделайте два ниже описанных действия!!!!!

Код: [Выделить]

sysctl -w net.ipv4.ip_forward=1
и

Код: [Выделить]

sudo nano /etc/sysctl.conf:
найдите там сторку net.ipv4.ip_forward=1 и раскоментируйте. Если такой нет то добавьте.

[Spicus]

Спасибо, но на всякий случай:

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 16:d3:d4:d5:a0:a1
          inet addr:192.168.1.177  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::14d3:d4ff:fed5:a0a1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18742 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1599 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3771322 (3.7 MB)  TX bytes:122205 (122.2 KB)
          Interrupt:9 Base address:0xe880

eth1      Link encap:Ethernet  HWaddr 14:d4:a3:b3:a0:a1
          inet addr:192.168.1.91  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::16d4:a3ff:feb3:a0a1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28755 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9699 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2650722 (2.6 MB)  TX bytes:1662782 (1.6 MB)
          Interrupt:9 Base address:0xec00

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:9 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:612 (612.0 B)  TX bytes:612 (612.0 B)




Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.254   0.0.0.0         UG    100    0        0 eth0
root@gateway2000:~#

cat /proc/sys/net/ipv4/ip_forward
1

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Mon Aug 22 20:14:32 2011
*filter
:INPUT ACCEPT [249:19432]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [137:22420]
COMMIT
# Completed on Mon Aug 22 20:14:32 2011


[Spicus]

В сети есть один роутер Dlink, этот шлюз на него выходит через eth0 (интернет)

[mos.lutsk]

Поправочка

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADEнужно добавить.

[fisher74]

Никаких поправочек. Сеть настроена неправильно из-за этого будут проблемы. Разнесите сети на разных интерфейсах.

[mos.lutsk]

Никаких поправочек. Сеть настроена неправильно из-за этого будут проблемы. Разнесите сети на разных интерфейсах.

Согласен что настройка сетей неправильная, но должно работать и так.

2Spicus
Перенастройте сеть между ubuntu и длинк. например 192.168.2.0 подсеть

[Spicus]

Спасибо, всё работает!!! Даже и так!!! Вы можете подсказать, как в squid настроить запрет на сайты??? Куда вводить?

[mos.lutsk]

http://sysadmin-nov.livejournal.com/21502.html

http://it-mehanika.ru/index.php?option=com_content&view=article&id=121:-squid-sams-samsredirector-ubuntu-server-1004&catid=25:the-project&Itemid=29