Нужна помощь в настройке роутера

[progmo]

Ну, ошибка как бээээ намекает, что у вас настройки не от мира сего.
ifconfig -a
показывайте.

@meinung, у вас лимит на запятые в день? >.<

Вижу что он ругается на eth1, но интерфейс то такой есть и был.

(Нажмите, чтобы показать/скрыть)

ifconfig -a
eth0      Link encap:Ethernet  HWaddr 1c:c1:de:28:3e:cc
          inet addr:93.93.138.158  Bcast:93.93.138.255  Mask:255.255.255.0
          inet6 addr: fe80::1ec1:deff:fe28:3ecc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9222 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7203 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5075609 (5.0 MB)  TX bytes:951115 (951.1 KB)
          Interrupt:17

eth1      Link encap:Ethernet  HWaddr cc:5d:4e:38:ec:a3
          inet addr:172.22.4.200  Bcast:172.22.4.255  Mask:255.255.255.0
          inet6 addr: fe80::ce5d:4eff:fe38:eca3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22929317 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25195456 errors:0 dropped:0 overruns:40 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3799998407 (3.7 GB)  TX bytes:3297407448 (3.2 GB)
          Interrupt:16 Base address:0xe800

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:14686737 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14686737 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1320119495 (1.3 GB)  TX bytes:1320119495 (1.3 GB)

[Гарри Кашпировский]

Мало ли что там есть в ifconfig, ругается-то скрипт. Ошибку там найдёте.

[progmo]

Мало ли что там есть в ifconfig, ругается-то скрипт. Ошибку там найдёте.

Так оно и было Вроде работает. Но пока открыл доступ из локалки всем, а не выбранным адресам. Как лучше сделать?!

Да, еще наверно мне очень нужно написать 2 конфига.
В одном: доступ к веб трафику есть у всех из локалки, а порты открыты только у избранных.
В другом: доступ к веб трафику и порты открыты только у избранных.

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

# Объявление переменных
export IPT="iptables"

# Интерфейс который смотрит в интернет
export WAN=eth0

# Локальная сеть
export LAN=eth1
export LAN_IP_RANGE=172.22.4.0/24

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Закрываем изначально ВСЁ (т.е. изначально все что не разрешено - запрещено):
$IPT -P INPUT DROP
#$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback и внутренней сети
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Разрешить форвардинг для новых, а так же уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный обмен данными становится не возможным.
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# Разрешаем доступ из внутренней сети наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT

# Разрешаем доступ из внутренней сети наружу по любым портам только указанным адресам
#iptables -A FORWARD -m iprange --src-range 172.22.4.2-172.22.4.30 -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT

# Маскарадинг
$IPT -t nat -A POSTROUTING -o $WAN -s $LAN_IP_RANGE -j MASQUERADE

#
# Открытие портов на роутере извне:
#
# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 2022 -j ACCEPT

# Открываем ftp
$IPT -A INPUT -i $WAN -p tcp --dport 21 -j ACCEPT

# Открытие 443 порта
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT

# Разрешаем dns серверу
$IPT -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

# Проброс rpd к db-server-ikc
$IPT -t nat -A PREROUTING -p tcp -d 93.93.138.ХХХ --dport 3389 -j DNAT --to-destination 172.22.4.201:3389
$IPT -t nat -A POSTROUTING -p tcp -d 172.22.4.201 --dport 3389 -j SNAT --to-source 172.22.4.200

# Заворачиваем http на прокси DG
$IPT -t nat -A PREROUTING -i $LAN ! -d $LAN_IP_RANGE -p tcp -m multiport --dport 80,8080 -j DNAT --to 172.22.4.200:8081

[Гарри Кашпировский]

открыл доступ из локалки всем, а не выбранным адресам. Как лучше сделать?!

Если сеть не фрагментированная, то по MAC, наверное, сделать.

Код: (bash) [Выделить]

# Часть кода
# Разрешаем доступ из внутренней сети наружу
# $IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT
MAC=/path/to/file/macs.list
for m in $(cat $MAC); do
  $IPT -A FORWARD -o $WAN -i $LAN -m mac --mac-source $m -j ACCEPT
done
Где формат файла macs.list

Код: (text) [Выделить]

MA:CA:DD:RE:SS:01
MA:CA:DD:RE:SS:02

[progmo]

Спасибо KT315 за помощь. Только я имел ввиду не как конкретно открыть порты на нужные адреса, а что имел ввиду meinung

даже  если  не открывать  порты все  програмы  будут работать порты  надо открывать только  серверным приложениям все  клиентские кроме торрента  там ICQ передача данных не  требуют открытый порт  через NAT. у меня  стоит NAT и никаких нет проблем с инетрентом  на клиентском  компьютере,и порты  я  никакие  не прокидывал

Как я понимаю сервер из внешки у меня почти прикрыт?! Нужные службы (ftp,ssh) работают, прокси тоже, rdp в локалку проброшен. Остается вопрос с машинами в бухг-ии.
Чтобы закрыть всем (кроме избранных) торренты, icq (короче все) надо убрать строчку
# Разрешаем доступ из внутренней сети наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT
И оставить только
# Разрешаем доступ из внутренней сети наружу по любым портам только указанным адресам
iptables -A FORWARD -m iprange --src-range 172.22.4.2-172.22.4.30 -j ACCEPT

Правильно?

[AnrDaemon]

открыл доступ из локалки всем, а не выбранным адресам. Как лучше сделать?!

Если сеть не фрагментированная, то по MAC, наверное, сделать.

Код: (bash) [Выделить]

# Часть кода
# Разрешаем доступ из внутренней сети наружу
# $IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT
MAC=/path/to/file/macs.list
for m in $(cat $MAC); do
  $IPT -A FORWARD -o $WAN -i $LAN -m mac --mac-source $m -j ACCEPT
done
Где формат файла macs.list

Код: (text) [Выделить]

MA:CA:DD:RE:SS:01
MA:CA:DD:RE:SS:02

Такие вещи лучше делать в отдельной таблице.

[Гарри Кашпировский]

Согласен.
Пользователь решил продолжить мысль 20 Января 2012, 09:12:18:

# Разрешаем доступ из внутренней сети наружу по любым портам только указанным адресам
iptables -A FORWARD -m iprange --src-range 172.22.4.2-172.22.4.30 -j ACCEPT
Правильно?

Интерфейсы было бы неплохо указать. Или правилом выше разрешить FORWARD на локальном интерфейсе.

[AnrDaemon]

Форвард - на локальном?

[progmo]

Интерфейсы было бы неплохо указать. Или правилом выше разрешить FORWARD на локальном интерфейсе.

iptables -A FORWARD -i $LAN -o $WAN -m iprange --src-range 172.22.4.2-172.22.4.30 -j ACCEPT

Так?