Настройка интернет-шлюза на Ubuntu 11.04 amd64

[Levanov_D]

Уважаемый форумчане!
Прошу помочь мне настроить интернет-шлюза на Ubuntu 11.04 amd64, делаю по нескольким мануалам, но что не так не понятно. 
Интернет не раздается.
К гуглу и мануалам не отсылайте пожалуйста, потому что уже многое перепробовал.
максимум что получилось,настроил интернет на шлюзе, видимость сети и прохождение пингов
Две сетевые, локальная сеть из машин с WinXP, у всех машин в качестве основного шлюза стоит IP 192.168.0.1 маска подсети 255.255.255.0
Ддля соединения с интернетом используется DSL модем, подключение настраиваю через PPPoE с именем пользователя и паролем. IP модема 192.168.1.1 маска подсети 255.255.255.0
Список инстукций использованных на данный момент
http://www.bubuntu.spb.ru/gateway-ubuntu-server/
http://www.qdesnic.ru/prosto-router.html
http://www.showmehow.ru/blog/2011-03-15-125
http://iceserver.net.ru/articles/linux-ubuntu-debian/internet-gateway-on-ubuntu
http://studylinux.ru/linux/network/gateway-on-linux-debian-ubuntu.html
http://easylinux.ru/node/190/
https://help.ubuntu.ru/wiki/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D1%81%D0%B5%D1%82%D0%B8_%D0%B2%D1%80%D1%83%D1%87%D0%BD%D1%83%D1%8E

для пояснения привожу содержание конфига /etc/network/interfaces.conf

Код: [Выделить]

#к этой сетевой подключен DSL модем
auto eth0
iface eth0 inet static
address 192.168.1.33
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
dns-nameservers 192.168.1.1
dns-search ru
#через эту сетевую шлюз должен подключаться к сети
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255
#настройки dsl
auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider
Помощь просто жизненно необходима
если надо могу еще прислать любой конфиг

[xeon_greg]

показывай

Код: [Выделить]

sudo iptables-save -c
sysctl net.ipv4.ip_forward


[microran]

а заставить модем работать как Bridge (в самом модеме прописать логин и пароль) не вариант? и указать и у всех в качестве адреса шлюза 192.168.1.1 и прописать днски вашего провайдера, увидешь их в админке модема

[xeon_greg]

а заставить модем работать как Bridge (в самом модеме прописать логин и пароль) не вариант? и указать и у всех в качестве адреса шлюза 192.168.1.1 и прописать днски вашего провайдера, увидешь их в админке модема

че-то ты малость путаешь понятия, он у него как раз сейчас в мост настроен

[microran]

я про то чтобы сам модем уже конектился к инету, а не через PPPoE, для этого надо вбить логин и пароль в модем

[Levanov_D]

после выполнения вот такого кода

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

sudo -s
echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -p
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu
iptables-save >/etc/iptables.conf

в папке etc появился конфиг iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Fri Oct 28 13:20:37 2011
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Oct 28 13:20:37 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 13:20:37 2011
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Oct 28 13:20:37 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 13:20:37 2011
*filter
:INPUT ACCEPT [1414:95167]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1416:95247]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
COMMIT
# Completed on Fri Oct 28 13:20:37 2011


Вопрос, что тут правильно и что нет?

показывай

Код: [Выделить]

sudo iptables-save -c
sysctl net.ipv4.ip_forward


пожалуйста
sudo iptables-save -c

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@LinuxServer:~# sudo iptables-save -c
sudo: unable to resolve host LinuxServer
# Generated by iptables-save v1.4.10 on Fri Oct 28 13:41:04 2011
*mangle
:PREROUTING ACCEPT [46:4932]
:INPUT ACCEPT [46:4932]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [46:4932]
:POSTROUTING ACCEPT [58:7812]
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Oct 28 13:41:04 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 13:41:04 2011
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [23:2476]
:POSTROUTING ACCEPT [23:2476]
[0:0] -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Oct 28 13:41:04 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 13:41:04 2011
*filter
:INPUT ACCEPT [1460:100099]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1462:100179]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
[1514:106619] -A INPUT -j ufw-before-logging-input
[1514:106619] -A INPUT -j ufw-before-input
[1514:106619] -A INPUT -j ufw-after-input
[1514:106619] -A INPUT -j ufw-after-logging-input
[1514:106619] -A INPUT -j ufw-reject-input
[1514:106619] -A INPUT -j ufw-track-input
[0:0] -A FORWARD -j ufw-before-logging-forward
[0:0] -A FORWARD -j ufw-before-forward
[0:0] -A FORWARD -j ufw-after-forward
[0:0] -A FORWARD -j ufw-after-logging-forward
[0:0] -A FORWARD -j ufw-reject-forward
[1521:106959] -A OUTPUT -j ufw-before-logging-output
[1521:106959] -A OUTPUT -j ufw-before-output
[1521:106959] -A OUTPUT -j ufw-after-output
[1521:106959] -A OUTPUT -j ufw-after-logging-output
[1521:106959] -A OUTPUT -j ufw-reject-output
[1521:106959] -A OUTPUT -j ufw-track-output
COMMIT
# Completed on Fri Oct 28 13:41:04 2011
root@LinuxServer:~#


sysctl net.ipv4.ip_forward

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@LinuxServer:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
root@LinuxServer:~#


[xeon_greg]

 в скрипте

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

заменить
на

Код: [Выделить]

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE в сохраненном конфиге

-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

заменить на

Код: [Выделить]

-A POSTROUTING -o ppp0 -j MASQUERADE

[Levanov_D]

заменил как говорили

в скрипте

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

получилось следующее

Код: [Выделить]

sudo -s
echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -p
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu
iptables-save >/etc/iptables.confвыполнил, в результате конфиг стал каким то странным

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Fri Oct 28 15:04:56 2011
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Oct 28 15:04:56 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 15:04:56 2011
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Oct 28 15:04:56 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 15:04:56 2011
*filter
:INPUT ACCEPT [7798:521369]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7800:521449]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
COMMIT
# Completed on Fri Oct 28 15:04:56 2011


некоторые строчки повторяются
может надо было какую нибудь очистку делать?

[xeon_greg]

конечно , перед началом добавления правил - удаляешь старые,

Код: [Выделить]

sudo iptables -t nat -F POSTROUTING
sudo iptables -t mangle -F FORWARD
Пользователь решил продолжить мысль 28 Октября 2011, 15:47:28:а это

iptables-save >/etc/iptables.conf

зачем ? если ты все равно восстанавливаешь правила как я понял этим набором

sudo -s
echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -p
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

Пользователь решил продолжить мысль 28 Октября 2011, 15:50:17:и так

echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -p

тоже лучше не делать, многократное использование также засирает /etc/sysctl.conf
лучше так

Код: [Выделить]

sudo sysctl -w net.ipv4.ip_forward=1

[Levanov_D]

после очистки конфиг стал таким

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.10 on Fri Oct 28 15:55:18 2011
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Oct 28 15:55:18 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 15:55:18 2011
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Oct 28 15:55:18 2011
# Generated by iptables-save v1.4.10 on Fri Oct 28 15:55:18 2011
*filter
:INPUT ACCEPT [8146:545425]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8148:545505]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
COMMIT
# Completed on Fri Oct 28 15:55:18 2011


Пользователь решил продолжить мысль 28 Октября 2011, 16:36:42:Интернет так и не появился
сначала не было интернета и на шлюзе и на клиентских машинах, после настройки еще раз PPPoE (pppoeconf) интернет появился на шлюзе, а в сети нет.
 

[xeon_greg]

ну порядок. настраивай dns релей(dnsmasq, bind) или dns нат(iptables),или придется в качестве днса на клиентах указывать днс провайдера, настраивай клиентов (шлюз, днс) и в плаванье

[Levanov_D]

Интернет появился и на клиентских машинах!!!!
 
на самом шлюзе интернет появился после

Код: [Выделить]

root@LinuxServer:~# pppoeconf

root@LinuxServer:~# pppoeconf

Plugin rp-pppoe.so loaded.

root@LinuxServer:~# plog

Oct 28 16:27:07 LinuxServer pppd[4889]: Connect: ppp0 <--> eth0

Oct 28 16:27:10 LinuxServer pppd[4889]: Remote message: Authentication success,Welcome!

Oct 28 16:27:10 LinuxServer pppd[4889]: PAP authentication succeeded

Oct 28 16:27:10 LinuxServer pppd[4889]: peer from calling number 00:18:82:83:95:6F authorized

Oct 28 16:27:10 LinuxServer pppd[4889]: replacing old default route to eth0 [192.168.1.1]

Oct 28 16:27:10 LinuxServer pppd[4889]: local  IP address 95.37.124.57

Oct 28 16:27:10 LinuxServer pppd[4889]: remote IP address 95.37.0.1

Oct 28 16:27:10 LinuxServer pppd[4889]: primary   DNS address 213.177.97.201

Oct 28 16:27:10 LinuxServer pppd[4889]: secondary DNS address 213.177.97.1
приведу кстати для порядка

Код: [Выделить]

root@LinuxServer:~# traceroute 192.168.0.243
traceroute to 192.168.0.243 (192.168.0.243), 30 hops max, 60 byte packets
 1  192.168.0.243 (192.168.0.243)  0.323 ms  0.332 ms  0.370 ms
root@LinuxServer:~#

Код: [Выделить]


C:\Documents and Settings\Goliat>pathping 192.168.0.1



Трассировка маршрута к 192.168.0.1 с максимальным числом прыжков 30



  0  Goliat [192.168.0.243]

  1  192.168.0.1



Подсчет статистики за: 25 сек. ...

           Исходный узел     Маршрутный узел

Прыжок  RTT   Утер./Отпр.   %   Утер./Отпр.  %   Адрес

  0                                           Goliat [192.168.0.243]

                                0/ 100 =  0%   |

  1    0мс     0/ 100 =  0%     0/ 100 =  0%  192.168.0.1



Трассировка завершена.



C:\Documents and Settings\Goliat>Пользователь решил продолжить мысль 28 Октября 2011, 17:08:39:ВСЕМ, КТО ОТВЕЧАЛ ОГРОМНЕЙШЕЕ СПАСИБО!!!!!
Но теперь маленькая прозьба.
Как сохранить такую конфигурацию? (чтобы если что не так настрою востановить)
Что можеть быть настроено небезопасно (с учетом внешних проникновений в сеть)?
Как настроить SQUID ?
Пользователь решил продолжить мысль 28 Октября 2011, 17:19:57:перезагрузился, зашел за пользователя интернет на клиентских машинах пропал
что делать?
в чем причина?

[Гарри Кашпировский]

в скрипте

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

заменить
на

Код: [Выделить]

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE в сохраненном конфиге

-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE

заменить на

Код: [Выделить]

-A POSTROUTING -o ppp0 -j MASQUERADE

В чем сакраментальный смысл замены? В сохранённом конфиге, лучше вообще ничего не править, а пользоваться нижеприведенными скриптами.
Пользователь решил продолжить мысль 28 Октября 2011, 17:35:05:

iptables-save >/etc/iptables.conf

зачем ? если ты все равно восстанавливаешь правила как я понял этим набором

Восстанавливать правила iptables-restore.

[xeon_greg]

перезагрузился, зашел за пользователя интернет на клиентских машинах пропал
что делать?
в чем причина?

причина в том, нужно после загрузки снова загружать правила  в iptables. или сделать скрипт который делал бы это автоматически...

[Levanov_D]

причина в том, нужно после загрузки снова загружать правила  в iptables. или сделать скрипт который делал бы это автоматически...

а нельзя сохранить это где то в настройках? (чтобы всегда было так)