[FAQ] Расшариваем интернет на второй компьютер

[timurbek]

всем хай!
в общем долго я пытался расшарить инет, но так ниче не вышло
сразу оговорюсь, что на Ubuntu перешел месяц назад и многого не успел понять

eth1 получает инет от провайдера
eth0 хотелось бы чтоб раздавала этот инет

Пытался делать все, как расписано в первом посту, но у меня сеть не хочет грузиться после изменения файла interfaces
auto lo
iface lo inet loopback
 post-up iptables-restore </etc/iptables.conf

auto eth1
iface eth1 inet static
address 172.20.9.254
netmask 255.255.255.0
gateway 172.20.9.1
dns-nameservers 195.189.31.3 195.189.31.14

auto eth0
iface eth0 inet static
     address 192.168.0.1
     netmask 255.255.255.0

Пробовал вариант с firestarter, но он раздавать отказывается, ссылаясь на неправильные настройки сети

заранее благодарен

[fisher74]

А без этой строчки грузится?

post-up iptables-restore </etc/iptables.conf

Сам файл-то /etc/iptables.conf существует? Какова его начинка?

[Kupers]

У меня работает так -

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0

eth0 - в инет

причем в этот раз я да же не прописывал eth1 в ифейс, а просто настроил его через сетевые подключения и выполнил
 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

если не работает смотрите iptables, запустите dpkg-reconfigure arno-iptables-firewall нужно только ответить на вопросы и еще разок выполнить  iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

[AnrDaemon]

Kupers, при чём тут это вообще?

[timurbek]

А без этой строчки грузится?

post-up iptables-restore </etc/iptables.conf

Сам файл-то /etc/iptables.conf существует? Какова его начинка?

извиняюсь что пропал
жил пока без раздачи

сам файл существует
 # Generated by iptables-save v1.4.12 on Fri Nov  9 18:08:16 2012
*nat
:PREROUTING ACCEPT [2:141]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Nov  9 18:08:16 2012
# Generated by iptables-save v1.4.12 on Fri Nov  9 18:08:16 2012
*mangle
:PREROUTING ACCEPT [5:268]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [1:43]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [1:43]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Nov  9 18:08:16 2012
# Generated by iptables-save v1.4.12 on Fri Nov  9 18:08:16 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 127.0.0.1/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth1 -j DROP
-A INPUT -d 172.20.9.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth1 -j INBOUND
-A INPUT -d 192.168.0.1/32 -i eth0 -j INBOUND
-A INPUT -d 172.20.9.254/32 -i eth0 -j INBOUND
-A INPUT -d 192.168.0.255/32 -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -j OUTBOUND
-A FORWARD -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 172.20.9.254/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 172.20.9.254/32 -d 127.0.0.1/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth1 -j OUTBOUND
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Fri Nov  9 18:08:16 2012

[AnrDaemon]

Уберите этот мусор.
Во-первых, под спойлер, а во-вторых - вообще сотрите.
И напишите заново, по указанному в топике примеру.
Потому что 90% вашей портянки вы понятия не имеете, как работает.

[fisher74]

извиняюсь что пропал

Мне казалось, что это, в первую очередь Вам надо, а не нам.

Не ответили на вопрос:

А без этой строчки грузится?

post-up iptables-restore </etc/iptables.conf

И, кстати, если это копипаст, то у Вас не хватает пробела между знаками < и /.

ЗЫ С предыдущим оратором про мусор в этом файле(хотя по сути вопроса это не критично) и портянок в сообщении полностью согласен

[AnrDaemon]

И, кстати, если это копипаст, то у Вас не хватает пробела между знаками < и /.

1. пробел там не нужен.
2. Сам редирект там не нужен.

[fisher74]

2. Сам редирект там не нужен.

http://www.opennet.ru/docs/RUS/iptables/#IPTABLES-RESTORE
Набор правил утилита получает со стандартного ввода и не может загружать его из файла напрямую.

Или Вы о чём-то другом?

[AnrDaemon]

iptables-restore загружает правила из файла, указанного первым параметром в командной строке.
Именно на этом основана работа описанного мною способа загрузки правил.

[koshev]

2. Сам редирект там не нужен.

http://www.opennet.ru/docs/RUS/iptables/#IPTABLES-RESTORE
Набор правил утилита получает со стандартного ввода и не может загружать его из файла напрямую.

Или Вы о чём-то другом?

В руководстве, цитируемом Вами версия iptables - 1.1.19, тогда iptables-restore не мог напрямую работать с файлами, пост был написан на момент его работы через stdin, сейчас оба способа верны
iptables-restore dump.file = iptables-restore < dump.file

[fisher74]

Уважаемый,
1. Проштудируйте внимательно как организована передача правил скрипту iptables-restore по приведённой Вами ссылке, даже не смотря на то что Вы же и являетесь автором того топика. Никакого намёка на передачу правил из файла там нет - самый простой КОСТЫЛЬ, хотя и исключительно грамотный.
2. Вы же сами принимаете в штыки неофф. писанины (со всем уважением к форуму). Я Вам показал цитату из официального HOWTO, хоть и в переводе. И там чётко написано, что iptables-restore не умеет забирать правила из файла никакими параметрами. ТОЛЬКО из стандартного входа.

В man iptables-restore параметра в виде файла так же не описано.
Пользователь решил продолжить мысль 15 Декабря 2012, 20:35:58:

В руководстве, цитируемом Вами версия iptables - 1.1.19, тогда

Как будет время и возможность обязательно посмотрю свежие man и HOWTO на ту тему.

[AnrDaemon]

fisher74, а вы невнимательны... Я использую исключительно документированные особенности для работы скриптов. Никаких костылей.

[fisher74]

Я пока не нашёл подтверждения Ваших слов, как и KT315. Потому пока вынужден считать, что использование файла в качестве параметра скрипту iptables-restore является недокументированной возможностью.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

~$ iptables --version
iptables v1.4.12
~$ iptables-restore --help
Usage: iptables-restore [-b] [-c] [-v] [-t] [-h]
           [ --binary ]
           [ --counters ]
           [ --verbose ]
           [ --test ]
           [ --help ]
           [ --noflush ]
           [ --table=<TABLE> ]
          [ --modprobe=<command>]Как видите нет файла в качестве параметра
Выхлоп man не вижу смысла выкладывать

[AnrDaemon]

fisher74, я тоже сейчас не могу найти.
Хотя помню, что читал об этом, и даже почти дословно помню фразу, в которой об этом говорилось. :/