Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: раздача интернета на работе  (Прочитано 887 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
раздача интернета на работе
« : 12 Май 2011, 17:03:29 »
Добрый день! Помогите правильно раздать интернет на работе.
Ubuntu server 9.10
eth0 - настраивается DHCP провайдера 10.1.18.175
eth1 - 10.15.103.41 смотрит в локальную сеть 10.15.103.0/24
подключаюсь к провайдеру по VPN получаю ppp0

Можно было поставить
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Но нужно кому-то давать, а кому-то нет интернет, да и возможна смена ip адреса у юзеров.

Я думаю, чтобы обезопасить себя поставил pptpd,  юзеры подключаются по VPN
Как правильно написать правила iptables, для переброса пакетов из ppp1,ppp2,ppp3 ... (подключения юзеров) в eth0 (почему-то именно через eth0 бегают пакеты, не через ppp0), но в тоже время закрыть возможность  подключения юзеров к инету через прописывания шлюза 10.15.103.41

Может есть статья, именно про эту ситуацию, кинте ссылку. Может как-то можно организовать по другому раздачу? Через proxy не хочу.
Извините если уже где-то об этом писалось и я не нашел на форум или гугле.
Заранее благодарен Виталий. :-[

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #1 : 12 Май 2011, 17:30:26 »
Уххх.
внутри сервера все интерфейсы, грубо говоря, равноправны.
при прочих разрешеных, движение пакетов меду интерфейсами разрешает опция форвардинга в ядре
куда что двигается определяет таблица маршрутов
а запрещает или разрешает движение уже netfilter, настраиваемый через iptables.
он же умеет маскарадинг.

Вы определите сначала что должно двигаться и куда. Потом разрешайте, потом маскарадинг, потом уже запрещение лишнего.

Вам нужено настроить VNP-сервер: pptpd, или openvpn.
нужно включить форвардинг
нужно настроить нат (маскарадинг)
нужно настроить таблицу маршрутизации
и потом уже запретить все лишнее в фаерволе.

и да, не -o eth1, а -o ppp0

p.s. и делайте сразу на 10.04 а то некошерно не на LTS
Шаг за шагом можно достичь цели.

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #2 : 12 Май 2011, 17:59:55 »
pptpd -работает,  юзеры из под видны подключаются
форвардинг включен echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -p

1.Если написать iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
и прописать шлюз eth1 у юзера интернет раздается.
Но нужно через VPN подключить юзера и закрыть возможность подключения п.1

На Линуксе есть
eth0 (10.1.18.175)- выход в инет
ppp1 (inet addr - 192.168.1.1. P-t-P: 192.168.1.2) - подключение юзера через ррtpd

Что прописать iptables или route, что бы бегали пакеты в инет ? 

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #3 : 12 Май 2011, 18:05:48 »
Вы сами понимаете что пишете?
Нарисуйте схему для себя на бумаге.
Шаг за шагом можно достичь цели.

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #4 : 12 Май 2011, 18:49:38 »
Может я не правильно объясняю, то прошу прощения.
вот схема         

провайдер <---- eth0 ppp0 ( Ubuntu ) eth1 ppp1 <----- user

C Ubuntu интернет пинается, а у юзера нет.
Как передать пакеты дальше в инет?

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #5 : 12 Май 2011, 18:56:31 »
Пакеты в инет уходят через ppp0?
Тогда куда вы маскарадинг вешаете?

покажите при подключенном инете и пользователе
ifconfig
route -n
sudo iptables-save
Шаг за шагом можно достичь цели.

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #6 : 12 Май 2011, 19:17:32 »
root@obmen:~# ifconfig -a

eth0      Link encap:Ethernet  HWaddr 00:02:44:bf:5c:50

          inet addr:10.1.18.175  Bcast:10.1.19.255  Mask:255.255.252.0

          inet6 addr: fe80::202:44ff:febf:5c50/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:48423 errors:0 dropped:0 overruns:0 frame:0

          TX packets:19079 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:4018162 (4.0 MB)  TX bytes:2829454 (2.8 MB)

          Interrupt:5 Base address:0x4000





eth1      Link encap:Ethernet  HWaddr 00:c0:26:69:63:36

          inet addr:10.15.103.41  Bcast:10.15.103.255  Mask:255.255.255.0

          inet6 addr: fe80::2c0:26ff:fe69:6336/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:46251 errors:0 dropped:0 overruns:0 frame:0

          TX packets:23828 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:4485436 (4.4 MB)  TX bytes:4403371 (4.4 MB)

          Interrupt:10 Base address:0xc000



lo        Link encap:Local Loopback

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:16436  Metric:1

          RX packets:144 errors:0 dropped:0 overruns:0 frame:0

          TX packets:144 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:8640 (8.6 KB)  TX bytes:8640 (8.6 KB)



ppp0      Link encap:Point-to-Point Protocol

          inet addr:172.16.18.175  P-t-P:172.16.17.254  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

          RX packets:4 errors:0 dropped:0 overruns:0 frame:0

          TX packets:17825 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:3

          RX bytes:40 (40.0 B)  TX bytes:1831926 (1.8 MB)



ppp1      Link encap:Point-to-Point Protocol

          inet addr:192.168.1.1  P-t-P:192.168.1.2  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1

          RX packets:687 errors:0 dropped:0 overruns:0 frame:0

          TX packets:17223 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:3

          RX bytes:42578 (42.5 KB)  TX bytes:1772278 (1.7 MB)



root@obmen:~# route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

172.16.17.254   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

10.1.17.254     0.0.0.0         255.255.255.255 UH    0      0        0 eth0

192.168.1.2     0.0.0.0         255.255.255.255 UH    0      0        0 ppp1

10.15.103.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

10.1.16.0       0.0.0.0         255.255.252.0   U     0      0        0 eth0

0.0.0.0         10.1.17.254     0.0.0.0         UG    100    0        0 eth0



root@obmen:~# sudo iptables-save

# Generated by iptables-save v1.4.4 on Thu May 12 18:14:56 2011

*filter

:INPUT ACCEPT [547:59868]

:FORWARD ACCEPT [2:120]

:OUTPUT ACCEPT [450:68103]

COMMIT

# Completed on Thu May 12 18:14:56 2011

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #7 : 12 Май 2011, 19:24:39 »
Вам уже открытым текстом показывают на Вашу ошибку:  Посмотрите, откуда приходит интернет. Не провайдер, а именно интернет.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #8 : 12 Май 2011, 19:27:45 »
Пожалуйста для тех, кто на танке, объясните, что не так  :'(

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #9 : 12 Май 2011, 19:28:44 »
Спрячьте простынку под спойлер и ответьте на вопрос: с какого интерфейса к Вам приходит интернет?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #10 : 12 Май 2011, 19:36:53 »
должен с ppp0 но я не знаю как это получается но у меня работает через eth0

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #11 : 12 Май 2011, 19:45:55 »
А зачем тогда Вы поднимаете VPN с провайдером?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #12 : 12 Май 2011, 19:58:39 »
У моего провайдера нужно ставить  в /etc/ppp/peers  nodefaultroute
Может я чего не понимаю посути как разница ppp0 или eth0 ?
делал так
route del default
route add default dev ppp0
не работает
route del default
route add default gw 172.16.18.172
не работает
route del default
route add default dev eth0
работает
route del default
route add default gw 10.1.17.254
работает
10.1.17.254 это vpn.trion

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #13 : 12 Май 2011, 20:00:42 »
route del default
route add default gw 10.1.17.254 dev ppp0
Шаг за шагом можно достичь цели.

Оффлайн plavv

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
  • Linux forever
    • Просмотр профиля
Re: раздача интернета на работе
« Ответ #14 : 12 Май 2011, 20:03:55 »
Я не знаю через какое место это у них работает, Но без поднятия vpn пакеты в инет не уходят.
Но счас суть вопроса в том как передать пакеты из ppp1 в eth0.

А может я,что не понимаю? Как вообще должно быть в теории? Что если есть два подключения, и прописан route default то пакеты сами должны бегать?

Пользователь решил продолжить мысль 12 Май 2011, 20:06:47:
route del default
route add default gw 10.1.17.254 dev ppp0

SIOCADDRT: No such process
« Последнее редактирование: 12 Май 2011, 20:06:47 от plavv »

 

Страница сгенерирована за 0.055 секунд. Запросов: 24.