Интернет шлюз через Ubuntu 9.04

[starling13]

Мне кажется, как раз для такой элементарной задачи лучше написать две строчки в конфиге iptables, заодно узнать много нового и полезного

[Dec]

Мне кажется, как раз для такой элементарной задачи лучше написать две строчки в конфиге iptables, заодно узнать много нового и полезного

дык объясни где этот конфиг находится и какие строчки писать

[AnrDaemon]

man iptables

[Dec]

man iptables

ага...
Так где тут проще в iptables? Докажи что в iptables сделать раздачу инета проще и быстрее чем в Firestarter. А то тут умники смотрю развелись языком молоть, а как на деле только ссылки могут писать...

[AnrDaemon]

Смысл мне париться тебе что-то доказывать? Ты уперся в свой потолок и не в состоянии подняться выше.

[starling13]

Господи, ну попробуйте через Firestarter, можете посмотреть потом, что получится в файле настроек iptables.

Я обычно делал маленький файл скрипта firewall.sh с содержимым вроде того, что вам уже подсказали:

Код: [Выделить]

#! /bin/sh

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
...
iptables -A POSTROUTING -s [диапазон твоей сети eth1] -o ppp0 -j SNAT --to-source [твой внешний IP]
iptables -A FORWARD -s [диапазон твоей сети eth1] -i eth1 -o ppp0 -j ACCEPT
...
iptables-saveИ ставил его на автозапуск

[Unreg]

а если так попробовать автоматизировать

если гуляем в инет без помощи vpn,

Код: [Выделить]

IP1="`ip addr show eth0 | grep inet | awk '{print $2}'`"если при помощи vpn

Код: [Выделить]

IP1="`ifconfig ppp0 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $8}' | sed -e 's/addr://'`"

#! /bin/sh

IP1="`ifconfig ppp0 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $8}' | sed -e 's/addr://'`"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
...
iptables -A POSTROUTING -s [диапазон твоей сети eth1] -o ppp0 -j SNAT --to-source $IP1
iptables -A FORWARD -s [диапазон твоей сети eth1] -i eth1 -o ppp0 -j ACCEPT
...
iptables-save

[Dec]

Объясните что писать в [диапазон твоей сети eth1] и [твой внешний IP], мне это совершенно непонятно, и везде в нете смотрю в таком виде эта инфа, разъясните плиз.

[starling13]

[диапазон твоей сети eth1]

Адрес и маска сети, к которой подключен интерфейс eth1.
Если настройки этого интерфейса 192.168.1.34 маска 255.255.255.0, то 192.168.1.0/24

[твой внешний IP]

IP адрес, для которого провайдер разрешает подключение. По идее - адрес итерфейса в сторону роутера.
Если статический, то он и есть, если нет,
тогда посоветованная выше строка скрипта

IP1="`ip addr show eth0 | grep inet | awk '{print $2}'`"

запишет полученный адрес в переменную IP1, которую также подсказали использовать в нужном месте.
Проверьте в терминале сперва

ip addr show eth0 | grep inet | awk '{print $2}'

должен написать правильный IP

[Dec]

[диапазон твоей сети eth1]

Адрес и маска сети, к которой подключен интерфейс eth1.
Если настройки этого интерфейса 192.168.1.34 маска 255.255.255.0, то 192.168.1.0/24

[твой внешний IP]

IP адрес, для которого провайдер разрешает подключение. По идее - адрес итерфейса в сторону роутера.
Если статический, то он и есть, если нет,
тогда посоветованная выше строка скрипта

IP1="`ip addr show eth0 | grep inet | awk '{print $2}'`"

запишет полученный адрес в переменную IP1, которую также подсказали использовать в нужном месте.
Проверьте в терминале сперва

ip addr show eth0 | grep inet | awk '{print $2}'

должен написать правильный IP

ничё не понимаю, откуда берётся eth1 ? у меня только eth0

[starling13]

ничё не понимаю, откуда берётся eth1 ? у меня только eth0

А!, у вас же всего одна сетевая не до роутера, а до коммутатора.
Тогда наверно для NAT нужен адрес, который выдают при подключении pppoe
то есть второй вариант:

Код: [Выделить]

IP1="`ifconfig ppp0 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $8}' | sed -e 's/addr://'`"Опять же сначала проверяем в терминале.
А дипазон сети подключённой к eth0 всё равно 192.168.1.0/24. Если только один компьютер пускать в интернет через убунту, то лучше не диапазон, а его адрес и написать. например 192.168.1.35/32

[Dec]

А дипазон сети подключённой к eth0 всё равно 192.168.1.0/24. Если только один компьютер пускать в интернет через Ubuntu, то лучше не диапазон, а его адрес и написать. например 192.168.1.35/32

Лучше тогда пусть диапазон будет, а то у меня ещё сосед снизу подключен иногда, у него Windows дольше 2-3 недель не стоит, а как переустановит рабочую группу и папки расшарить забывает)

Лан, ну вот похоже dnsmasq работает, на команду dig google.com выдаёт:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36285
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;google.com. IN A

;; ANSWER SECTION:
google.com. 12 IN A 74.125.45.100
google.com. 12 IN A 74.125.127.100
google.com. 12 IN A 74.125.67.100

;; AUTHORITY SECTION:
google.com. 115678 IN NS ns3.google.com.
google.com. 115678 IN NS ns2.google.com.
google.com. 115678 IN NS ns4.google.com.
google.com. 115678 IN NS ns1.google.com.

;; ADDITIONAL SECTION:
ns4.google.com. 288478 IN A 216.239.38.10
ns1.google.com. 288477 IN A 216.239.32.10
ns2.google.com. 115505 IN A 216.239.34.10
ns3.google.com. 288477 IN A 216.239.36.10

;; Query time: 11 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Sep 17 09:53:54 2009
;; MSG SIZE  rcvd: 212


Настройки iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#! /bin/sh

IP1="`ifconfig ppp0 | head -n 2 | sed 'N;s/\n/ /' | awk '{print $8}' | sed -e 's/addr://'`"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
...
iptables -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j SNAT --to-source $IP1
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o ppp0 -j ACCEPT
...
iptables-save


вынес в файл firewall.sh и запускаю его sudo sh firewall.sh, и что дальше? инета всё равно нету

[starling13]

Наверно сейчас дело не в этом, но надо проверить, работает ли ubuntu по умолчанию как шлюз.
В некоторых дистрибутивах нужно явно включать режим gateway, чтобы работал FORWARD...
...
Точно, в /etc/sysctl.conf
раскомментировать строчку

Код: [Выделить]

net.ipv4.conf.default.forwarding=1...
Это из HOWTO с http://ubuntuforums.org/showthread.php?t=713874
Там ещё сказано, что файл может игнорироваться,
тогда после перезагрузки нужно проверить

Код: [Выделить]

sudo sysctl net.ipv4.ip_forwardесли всё равно 0,
то придётся явно командой

Код: [Выделить]

sysctl -w net.ipv4.ip_forward=1
Также обратите внимание на раздел Configuring iptables (paket filter)
Там рекомендуют использовать маскарадинг - немного отличается от SNAT, я не пользовался и не знаю точно в чём разница. В вашем случае по идее

Код: [Выделить]

sudo iptables -P FORWARD ACCEPT
sudo iptables --table nat -A POSTROUTING -o ppp0 -j MASQUERADE


[Dec]

Вот теперь заработал инет с этими последними настройками, всем огромное спасибо за помощь!