Форум русскоязычного сообщества Ubuntu


Автор Тема: iptables(помогите разобраться с правилами) на ubuntu10  (Прочитано 829 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн anotherone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
доброго времени суток!
помогите, пожалуйста, кто хорошо разбирается в iptables, не могу сам понять как правильно писать правила. (первый опыт) у меня на шлюзе еще будет примари dns(bind9)+apache\php\mysql+postfix, а пока я колбашусь, чтобы 192.168.0.2 получил инет и все "блага" локалки 10.0.0.0/8.
внешний ип статический.
cat /etc/network/interfaces
(Нажмите, чтобы показать/скрыть)
схема сети   вот
разгуглил по правилам немного, настроил для самого шлюза, работает
не работает 192.168.0.2 т.е. не пойму с правилами, не пойму как правильно написать правила
вот рабочий конф для шлюза
(Нажмите, чтобы показать/скрыть)
т.е. как я сделал, добавил LAN_DEV2=eth1, добавил подсеть, и как я понимаю, например, с LAN_DEV2 идет http запрос и пакет нужно натить,   из цепочки prerouting -o т.к. он будет приходить сначала туда (проверял на пингах) т.е. так?:
iptables -t nat -A PREROUTING -o {LAN_DEV2} ...
опять же не понятно, а что если http запрос будет на сайт, который в сети 10.0.0.0/8
прост мне кажется я что то не улавливаю
кто-нибудь может объяснить?
пожалуйста
спасибо

з.ы. если лень писать, могу и в скайпе постучаться

Гарри Кашпировский

  • Гость
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADEИли вот так
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ${eth0_addr}
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source ${ppp0_addr}

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля

ValeryK

  • Гость
webmin поставь на сервер, там правила легко и наглядно прописываются, потом посмотришь как они выглядат правильно когда все настроишь

Оффлайн anotherone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADEИли вот так
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source ${eth0_addr}
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source ${ppp0_addr}
через маскардинг не хочется делать, т.к. читал что больше ресурсов отжирает, а у меня еще здесь куча демонов должна будет работать
вобщем если я правильно понял, то нужно указывать ту цепочку из которой пакет должен выходить?
т.е. например как у меня
iptables -t nat -A POSTROUTING -o ${LAN_DEV} -j SNAT --to-source ${LAN_GATE}но всеравно не понятно, как, оно поймет куда натить в локальную сетку или наружу?

да и разве ет не через цепочку форвард должно делаться?
ведь этот трафик должен идти  на другой хост?
я запутался %(
« Последнее редактирование: 07 Июля 2010, 23:08:41 от anotherone »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
через маскардинг не хочется делать, т.к. читал что больше ресурсов отжирает, а у меня еще здесь куча демонов должна будет работать

Это "больше" видно только под лупой.
Если у вас исходящий адрес меняется от подключения к подключению, вам только маскарад и поможет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн anotherone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
ip статический

Гарри Кашпировский

  • Гость
Я просто оставлю это здесь
http://www.opennet.ru/docs/RUS/iptables/

 

Страница сгенерирована за 0.031 секунд. Запросов: 23.