проблема с IPtables от А до Я

[korosten]

Ребят, извините что вновь обращаюсь к Вам с вечными просьбами... Но не могу... Мне нужно законнчить прект в ближайшие дни, а у меня полнейшая, извините, жопа...
Вообщем обрисовую всю ситуацию ПОЛНОСТЬЮ... Помогите пожалуйста...
Есть сервер Ubuntu 10.04, на который сегодня ставил все с нуля. Значит так, моя вообще задача это организовать терминальную сеть на базе колледжа, тоисть есть около 20 тонких клиентов и нескольких обычных компьютеров при чем некоторые из них работают под windows.
терминальную сеть я сделал с помощью LTSP, все работает отлично, так, вот мой конфиг DHCP3:

(Нажмите, чтобы показать/скрыть)

#
# Default LTSP dhcpd.conf config file.
#

    authoritative;
      subnet 192.168.1.0 netmask 255.255.255.0 {
        range 192.168.1.70 192.168.1.230;
        option domain-name "1example.ru";
        option domain-name-servers 192.168.1.1;
        option broadcast-address 192.168.1.255;
        option routers 192.168.1.1;
        option subnet-mask 255.255.255.0;
        option root-path "/opt/ltsp/i386";
#       if substring( option vendor-class-identifier, 0, 9 ) = "PXEClient" {
           filename "/ltsp/i386/pxelinux.0";
#        } else {
#          filename "/ltsp/i386/nbi.img";
#        }
  }

НУ вообщем с терминальной сетью проблем уже нету!

Потом был установлен WIne Network и все работает отлично, ну это неважно)

Далее понадобилось сделать прокси-сервер, начитавшись форума я понял и реализовал это на Squid3, все было сделано, все хорошо, все удачно, все работает. Но на всякий случай кофиг (еще не доделаны. а только ради разрешения...вообщем еще тут толком ничего не сделано, просто даёт интернет):

(Нажмите, чтобы показать/скрыть)

visible_hostname 192.168.1.1
http_port 192.168.1.1:3128

#acl localnet src 192.168.1.70-192.168.1.240/255.255.255.0
acl localnet src 192.168.1.94/24

http_access allow localnet
http_access deny all

http_access allow localnet
http_access deny all


icp_access allow localnet
icp_access deny all


miss_access allow localnet
miss_access deny all

Ну у меня вновь все работает, начинаю даже гордится собой) Но тут приходит весть с бухгалтерии что нужен прямой доступ к интернету, ведь некоторые программы не работают на прокси...ну я так понял что нужно это все сделать с помощью IPtables...тут и начался геморой...
вообщем смотрите, есть две сетевых, одна сомотрит в сеть eth0, а вторая на DSL-модем eth1 (но почему-то в сетевых устройствах она как бы не подключена к интернету, а там интренет идет с ppp0, почему незнаю), вот, так они также настроены в графическом режиме... Но сеть как бы и в конфигурации настроена...вообщем...я запутался...
 /etc/network/interfaces:

(Нажмите, чтобы показать/скрыть)

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The secondary network interface
auto eth0
#iface eth0 inet static
address 192.168.0.36
netmask 255.255.255.0
#     network 10.0.0.0
#broadcast 192.168.1.255

# The first network interface
#auto eth1
#iface eth1 inet static
#address 10.2.0.62
#netmask  255.255.255.0
#network 192.168.0.0
#broadcast 192.168.0.255
#gateway 67.15.202.9

# DSL
# address 10.2.0.62
# netmask 255.255.255.0
# gateway 67.15.202.9
# еще есть шлюз...только не помню какой, вот куда его записать?


post-up /etc/nat 

МНе один хороший человек посоветовал сделать так:

(Нажмите, чтобы показать/скрыть)

Первый скрипт -  в консоли touch /etc/nat, затем открываешь получившийся файл чем душе угодно и копипастишь код туды. Сохраняешь, и даёшь права на запуск(chmod +x /etc/nat).
в /etc/network/interfaces - пишешь post-up /etc/nat


#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables --flush
iptables --table nat --flush
iptables --table mangle --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth0  -m iprange --src-range 192.168.1.1-192.168.1.59 -o eth1 DROP #-m multiport --dport 80,8080 -j DROP
iptables -A FORWARD -i eth0  -m iprange --src-range 192.168.1.71-192.168.1.254 -o eth1 DROP #-j REJECT --reject-with tcp-reset
iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.1.60-192.168.1.70 -o eth1 -j ACCEPT
# NAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j REJECT

Ну толком у меня ничего не получилось толком...
Вообщем смотрите, мне нужно:
- правильно сделать конфиг в /etc/network/interfaces
- настроить IPtables для прямого доступа в интернет, без использования прокси-сервера для IP 192.168.1.60 - 192.168.1.69, и разрешить  использование DHCP, с которого будут заходить тонкие клиенты используя прокси-сервер... ВОТ. Высказался=)
Помогите ребята пожалуйста...
Пользователь решил продолжить мысль 02 Марта 2011, 19:04:39:ой, извините, SQUID имеет другой конфиг:

(Нажмите, чтобы показать/скрыть)

visible_hostname 192.168.1.1
http_port 192.168.1.1:3128

#acl localnet src 192.168.1.70-192.168.1.240/255.255.255.0
#acl localnet src 192.168.1.94/24

http_access allow all
#http_access deny all

http_access allow all
#http_access deny all


icp_access allow all
#icp_access deny all


miss_access allow all
#miss_access deny all

[xeon_greg]

Код: [Выделить]

ifconfig
ip route
cat /etc/resolv.conf
sysctl net.ipv4.ip_forwardдавай сюда

[korosten]

 xeon_greg
эти кофиги сбросить? где что брать не подскажешь?

[xeon_greg]

это комманды в консоли поочереди набираешь и результаты комманд цитатами вставляешь сюда

[korosten]

Вообщем так:
ifconfig:

(Нажмите, чтобы показать/скрыть)

oleg@ubuntu:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1f:d0:05:5e:c3 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21f:d0ff:fe05:5ec3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:27 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:476 (476.0 B)  TX bytes:4048 (4.0 KB)
          Interrupt:26 Base address:0x4000

eth1      Link encap:Ethernet  HWaddr 00:02:44:a1:d9:4f 
          inet6 addr: fe80::202:44ff:fea1:d94f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:322 errors:0 dropped:0 overruns:0 frame:0
          TX packets:404 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:191935 (191.9 KB)  TX bytes:75120 (75.1 KB)
          Interrupt:20 Base address:0xa000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:48 errors:0 dropped:0 overruns:0 frame:0
          TX packets:48 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3456 (3.4 KB)  TX bytes:3456 (3.4 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:94.178.73.14  P-t-P:195.5.5.202  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:316 errors:0 dropped:0 overruns:0 frame:0
          TX packets:371 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:184555 (184.5 KB)  TX bytes:62612 (62.6 KB)

ip route:

(Нажмите, чтобы показать/скрыть)

oleg@ubuntu:~$ ip route
195.5.5.202 dev ppp0  proto kernel  scope link  src 94.178.73.14
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.1  metric 1
10.2.0.0/16 dev ppp0  proto kernel  scope link  src 10.2.0.62  metric 1
169.254.0.0/16 dev ppp0  scope link  metric 1000
default via 195.5.5.202 dev ppp0  proto static

cat /etc/resolv.conf:

(Нажмите, чтобы показать/скрыть)

oleg@ubuntu:~$ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 213.179.249.134
nameserver 213.179.249.135
nameserver 72.21.36.74

sysctl net.ipv4.ip_forward:

(Нажмите, чтобы показать/скрыть)

oleg@ubuntu:~$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

[fisher74]

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -i eth0 -m iprange --src-range 192.168.1.60-192.168.1.69 -o ppp0 -j ACCEPT
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADEОбеспечит прямой выход в интернет из локальной сети только бухгалтерии.

Прежде чем дальше писать, что "не работает" сделайте

Код: [Выделить]

sudo iptables-saveи покажите нам.

[korosten]

Не работает...

(Нажмите, чтобы показать/скрыть)

oleg@ubuntu:~$ sudo iptables-save
# Generated by iptables-save v1.4.4 on Thu Mar  3 12:08:01 2011
*mangle
:PREROUTING ACCEPT [285:96576]
:INPUT ACCEPT [281:96098]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [284:43392]
:POSTROUTING ACCEPT [321:50350]
COMMIT
# Completed on Thu Mar  3 12:08:01 2011
# Generated by iptables-save v1.4.4 on Thu Mar  3 12:08:01 2011
*nat
:PREROUTING ACCEPT [23:4054]
:POSTROUTING ACCEPT [64:4159]
:OUTPUT ACCEPT [65:4384]
-A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Mar  3 12:08:01 2011
# Generated by iptables-save v1.4.4 on Thu Mar  3 12:08:01 2011
*filter
:INPUT ACCEPT [237:92922]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [284:43392]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -m iprange --src-range 192.168.1.60-192.168.1.70 -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -o ppp0 -m iprange --src-range 192.168.1.60-192.168.1.69 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Mar  3 12:08:01 2011
oleg@ubuntu:~$

Пользователь решил продолжить мысль 03 Марта 2011, 12:12:53:и сразу, какие нужно на другом компьютере настройки указать? то чот мы вообще запудрились немного

[fisher74]

У пользователей должен быть шлюз по умолчанию 192.168.1.1

[korosten]

Спасибо!
Вроде как программы заработали, а вот простой доступ в интернет наверное будет через Squid...вообщем система))
СПасибо всем!!! Реально ребят, вы мне очень помогли!!!

[fisher74]

Я бы ещё порекомендовал отключить у всех доступ через squid и настроил бы прозрачный прокси.
Тогда и рулить будет проще
Как это сделать?
В этой ветке есть хавтушка, правда не прибитая.

[korosten]

Ну да, ограничение конечно мы поставим, это просто делалось на эксперементальной машине, в воскресенье будем ставить на нормальный сервер. ТОлько вот порозрачный прокси...а в чем его плюсы?

[fisher74]

В том, что изначально не нужно бегать по клиентам и искать возможность в программе и вбивать туда проксю. У всех всё по умолчанию, а рулится на сервере - кому напрямую, кому на прокси заворачивать, а кого и вовсе "наказать"

[korosten]

хм...большое спасибо! Наверное так будет лучше...будем настраивать)
Вообще огромное Вам спасибо!
Теперь КорТеК будет переведен Ubuntu Linux=)

[korosten]

Ребят...Вы будете смеятся...незна.ю...опять чот не работает...переставили всю систему с нуля...и всё тоже делал...все вводил...и ничего не пропускает...помогите ребят)))
ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:02:44:a1:d9:4f 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::202:44ff:fea1:d94f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:630539 errors:0 dropped:0 overruns:0 frame:0
          TX packets:956172 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:63173238 (63.1 MB)  TX bytes:1237873675 (1.2 GB)
          Interrupt:19 Base address:0xd800

eth1      Link encap:Ethernet  HWaddr bc:ae:c5:84:8b:90 
          inet6 addr: fe80::beae:c5ff:fe84:8b90/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2891 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3031 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2376239 (2.3 MB)  TX bytes:505087 (505.0 KB)
          Interrupt:27 Base address:0x2000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:215049 errors:0 dropped:0 overruns:0 frame:0
          TX packets:215049 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:143510498 (143.5 MB)  TX bytes:143510498 (143.5 MB)

ppp0      Link encap:Point-to-Point Protocol 
          inet addr:94.178.17.153  P-t-P:195.5.5.202  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:2853 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2987 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:2311117 (2.3 MB)  TX bytes:424431 (424.4 KB)

ip route:

(Нажмите, чтобы показать/скрыть)

195.5.5.202 dev ppp0  proto kernel  scope link  src 94.178.17.153
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.1  metric 1
10.2.0.0/16 dev ppp0  proto kernel  scope link  src 10.2.0.62  metric 1
169.254.0.0/16 dev eth0  scope link  metric 1000
default via 195.5.5.202 dev ppp0  proto static

cat /etc/resolv.conf:

(Нажмите, чтобы показать/скрыть)

# Generated by NetworkManager
nameserver 213.179.249.138
nameserver 213.179.249.133
nameserver 67.15.202.9

net.ipv4.ip_forward

(Нажмите, чтобы показать/скрыть)

net.ipv4.ip_forward = 0

[censor]

net.ipv4.ip_forward = 0 не смущает?