Правильная настройка интернет-шлюза под Ubuntu Server 12.04 для серверов.

[Sazon4ik]

Доброго времени суток! Хочу сделать интернет-шлюз для локальной сети, в которой 3 сервера. Прочитал эту статью. Но, как я понял, способ, который там описан не подходит для серверов, т.к. нужно, чтобы все порты были открыты. Прошу подсказать, как это можно реализовать и подказать о возможных подвохах. Заранее спасибо.

[koshev]

Прошу подсказать, как это можно реализовать и подказать о возможных подвохах. Заранее спасибо.

Если бы Вы предоставили исходные данные и описали проблему с которой столкнулись, этот пост был бы другим.

[Sazon4ik]

Хорошо. Извиняюсь.

Итак, имею 3 сервера, все они под Ubuntu Server 12.04 (1 машина под сервером Minecraft, 2 машина используется как web-сервер, 3 машина Core i5 сдаётся в аренду). Имею выделенную линию со статическим белым IP и скоростью 100 Мбит/с, доступ предоставляется по PPPoE. Сейчас в качестве интернет-шлюза используется роутер D-Link DIR-620 (сильно не смеяться). Появилась нужда в мощном шлюзе, а денег на оборудование такого уровня нету. Имеется сервер на Athlon 1,8GHz 1GB RAM и с 2 сетевыми картами, хочу из него сделать шлюз. Как это можно реализовать и безболезненно (т.к. недоступность сервера это очень плохо) перейти на него?

[koshev]

Понятно.
Смотрите, насколько я понял, сейчас Вы используете говSOHO-роутер, с правилами port_forward.
Согласно ссылке, которую Вы привели, описывается базовая настройка интернет-шлюза.
Вы выполняете все необходимые действия по ссылке, плюс добавляете свои правила netfilter в таблице nat, цепочки PREROUTING и действием DNAT на destination-адреса в локальной сети с нужными портами и протоколами.
Т.е кроме описанных по ссылке
net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Необходимы еще
iptables -t nat -A PREROUTING -i ppp0 -p $proto --dport $destination_port -j DNAT --to-destination $LANADDR:$LANPORT
где
$proto - протокол, который необходим для работы серверов в LAN
$destination_port - порт назначения
$LANADDR - адрес хоста в LAN
$LANPORT - порт хоста в LAN
Собсно вот и всё конфигурирование.
Единственное, что можно посоветовать: обратиться к своему ISP с вопросом выделения блока адресов принадлежащих ISP в подсети /29 и менее, для того, чтобы назначить хостам адреса из этого блока. Это даст возможность хостам напрямую выходить в интернет (без SNAT/DNAT на шлюзе) с белым маршрутизируемым адресом на интерфейсе.

[Sazon4ik]

Чтобы не плодить темы, спрошу тут.

 
1. Прописываю DNS сервера вот так вот: dns-nameservers 192.168.0.1 и при перезапуске networking выдает следующее:

(Нажмите, чтобы показать/скрыть)

* Running /etc/init.d/networking restart is deprecated because it may not enable again some interfaces
 * Reconfiguring network interfaces...                                                                                                                                  /etc/network/interfaces:13: misplaced option
ifdown: couldn't read interfaces file "/etc/network/interfaces"
/etc/network/interfaces:13: misplaced option
ifup: couldn't read interfaces file "/etc/network/

Подскажите, что сделал не так? Вот /etc/network/interfaces:

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

iface eth0 inet static
address 192.168.0.5
netmask 255.255.255.0
auto eth0

dns-nameservers 192.168.0.1

2. Сделал всё, как написал KT315. На сервер (Minecraft) нельзя зайти по внешнему IP'шнику/домену, только по локальному, но другие люди без проблем заходят. Что делать/сделал не так?
Пользователь решил продолжить мысль 18 Января 2013, 14:35:26:Up.

[ivannord]

Хорошо. Извиняюсь.

Итак, имею 3 сервера, все они под Ubuntu Server 12.04 (1 машина под сервером Minecraft, 2 машина используется как web-сервер, 3 машина Core i5 сдаётся в аренду). Имею выделенную линию со статическим белым IP и скоростью 100 Мбит/с, доступ предоставляется по PPPoE. Сейчас в качестве интернет-шлюза используется роутер D-Link DIR-620 (сильно не смеяться). Появилась нужда в мощном шлюзе, а денег на оборудование такого уровня нету. Имеется сервер на Athlon 1,8GHz 1GB RAM и с 2 сетевыми картами, хочу из него сделать шлюз. Как это можно реализовать и безболезненно (т.к. недоступность сервера это очень плохо) перейти на него?

Прошу прощения, но мое мнение такого, что все в этой жизни должны делать профессионалы и если Вы сами не разбираетесь или у Вас нет понимания относительно того, как это все будет работать, то найдите тех кто умеет это делать. Одно дело играться дома, другое ставить опыты по месту работы. У меня в офисе есть несколько серверов на ubuntu и 1 на фряке. Так вот, все то касается Ubuntu я делаю сам, а с фрякой не дружу, несколько раз нанимал спецов, первый раз знакомые посоветовали чувака, он дня 3 ко мне ехал, еще 2 дня пытался настроить, но вроде все завелось. Недавно пришлось опять искать спеца, нашел в фирме osshelp, сделали быстро и качественно(уже пару месяцев прошло).