Настройка интернет-шлюза на Ubuntu 11.04 amd64

[xeon_greg]

можно сделать так:
вот это

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Fri Oct 28 15:55:18 2011
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Oct 28 15:55:18 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 15:55:18 2011
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Oct 28 15:55:18 2011

сохранить в файле пусть даже и в  /etc/iptables.conf
и добавить  в /etc/network/interfaces выделенную строку в это место

auto eth0
iface eth0 inet static
address 192.168.1.33
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
post-up /sbin/iptables-restore < /etc/iptables.conf

[Levanov_D]

повторю свои вопросы
Как сохранить такую конфигурацию? (чтобы если что не так настрою востановить)
Что можеть быть настроено небезопасно (с учетом внешних проникновений в сеть)?
Как настроить SQUID ?

[xeon_greg]

повторю свои вопросы
Как сохранить такую конфигурацию? (чтобы если что не так настрою востановить)
Что можеть быть настроено небезопасно (с учетом внешних проникновений в сеть)?
Как настроить SQUID ?

1- как сохранить , и загружать автоматически после загрузки  - читай выше
2 - добавить следующие правила(для пропуска трафика, только инициированного из лок. сети)

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
sudo iptables -A FORWARD -i ppp0 -o eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
3 - тут на форуме уже полно хауту по настройке, да и на всяких блогах, в крайнем случае, всегда есть man squid 

[Levanov_D]

Решил сделать через скрипт

Код: [Выделить]

#!/bin/sh
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtuТеперь объясните, куда сохранить скрипт для настройки iptables и как его добавить в автозагрузку?

[xeon_greg]

Решил сделать через скрипт

Код: [Выделить]

#!/bin/sh
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtuТеперь объясните, куда сохранить скрипт для настройки iptables и как его добавить в автозагрузку?

тогда модифицировать его так

Код: [Выделить]

#!/bin/sh
IPT='/sbin/iptables';
$IPT -t nat -F POSTROUTING
$IPT -t mangle -F FORWARD
$IPT -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
$IPT -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtuсделать исполняемым
и добавить в /etc/interfaces после этих строк

auto eth0
iface eth0 inet static
address 192.168.1.33
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
post-up польный_путь_к_скрипту

[Levanov_D]

Изменил файл /etc/network/interfaces.conf

Код: [Выделить]

#смотрит на МОДЕМ
auto eth0
iface eth0 inet static
address 192.168.1.33
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
dns-nameservers 192.168.1.1
dns-search ru
post-up /etc/network/set_iptables.sh

#смотрит в ЛОКАЛКУ
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-providerсам скрипт лежит в /etc/network/
теперь правильно?
Пользователь решил продолжить мысль 01 Ноября 2011, 17:57:30:да правильно, инет есть и на шлюзе и в сети
Пользователь решил продолжить мысль 01 Ноября 2011, 18:44:59:Начал настраивать для контроля трафика прокси сервер SQUID, для подсчета трафика будут использоваться две программы vnstat и sarg-reports.
Все делаю по инструкции http://iceserver.net.ru/articles/linux-ubuntu-debian/internet-gateway-on-ubuntu
дошел до пункта

4. Для sarg нам потребуется http сервер.:
sudo apt-get install LAMP
или
sudo tasksel и выбираем lamp
5. Устанавливаем сам sarg:
sudo apt-get install sarg
6. Конфиги sqrg храняться в папке /etc/squid/

так вот этого самого LAMP нет в менеджере пакетов Synaptic, а при установке через терминал
выдает

Код: [Выделить]

root@LinuxServer:~# apt-get install LAMP
E: Не удалось получить доступ к файлу блокировки /var/lib/dpkg/lock - open (11: Ресурс временно недоступен)
E: Не удалось выполнить блокировку управляющего каталога (/var/lib/dpkg/); он уже используется другим процессом?
root@LinuxServer:~#
что делать и кто виноват?

[Levanov_D]

все работает! продолжение читайте в теме https://forum.ubuntu.ru/index.php?topic=174873.msg1293757#new