HOWTO: Iptables для новичков

[Mam(O)n]

24 означает, что первые 24 бита не меняются, то есть адреса в сети будут с 192.168.0.0 по 192.168.255.255

Ip-адрес разбит на октеты. В каждом октете 8 бит. Значит 24 бита это 3 октета. То есть получается диапазон у 192.168.0.0/24 это 192.168.0.0-192.168.0.255

[chikatillo]

24 означает, что первые 24 бита не меняются, то есть адреса в сети будут с 192.168.0.0 по 192.168.255.255

Ip-адрес разбит на октеты. В каждом октете 8 бит. Значит 24 бита это 3 октета. То есть получается диапазон у 192.168.0.0/24 это 192.168.0.0-192.168.0.255

Понял, спасибо! а то набирал в гугле кликнул на ссылку  и там чел доказывал что 24 бита / 192.168.0.0 по 192.168.255.255..
Пользователь решил продолжить мысль 23 Апреля 2010, 12:49:05:Еще осталось wi-fi настроить(модем встроен wi-fi  ), ведь все кто конектится через wi-fi  сидят в подсети eth1, а в конфиге у меня LAN_IFACE="eth0"...
Направите меня где копать?
добавить LAN_IFACE2="eth1" и все правила где есть LAN_IFACE - создать такие же только с LAN_IFACE2

или

$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -d ! 192.168.0.0/16 -m multiport --dport 80,8080,10000 -j REDIRECT --to-ports 3128 -будет достаточно(для http)?

Или может как-то проще?

[Mam(O)n]

Понял, спасибо! а то набирал в гугле кликнул на ссылку  и там чел доказывал что 24 бита / 192.168.0.0 по 192.168.255.255..

Гуглу доверяй, но всегда проверяй!

$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -d ! 192.168.0.0/16 -m multiport --dport 80,8080,10000 -j REDIRECT --to-ports 3128 -будет достаточно(для http)?

$IPTABLES -t nat -A PREROUTING ! -i eth1 -p tcp ! -d  192.168.0.0/16 -m multiport --dport 80,8080,10000 -j REDIRECT --to-ports 3128

[chikatillo]

$IPTABLES -t nat -A PREROUTING ! -i eth1 -p tcp ! -d  192.168.0.0/16 -m multiport --dport 80,8080,10000 -j REDIRECT --to-ports 3128


Т.е.  входящие пакеты не из (!) eth1 направленные не на 192.168.0.0/16 перенаправлять на 3128?

[Mam(O)n]

У тебяж eth1 это WAN, как там wifi клиенты то оказались?
Пользователь решил продолжить мысль 23 Апреля 2010, 18:58:36:Тогда вообще убери этот -i eth1

[Shoguevara]

Может это http://www.opennet.ru/docs/RUS/iptables/ тоже стоит прикрепить к шапке? Много букафф, но оч доступно все описано. Кстати, в комбинации с рисунком(схемой) приведенной в статье в первом посту - вообще шикарно.
И вот этот перевод тоже весьма неплох - http://antonio.mccinet.ru/protection/iptables_howto.html

[chikatillo]

У тебяж eth1 это WAN, как там wifi клиенты то оказались?
Пользователь решил продолжить мысль 23 Апреля 2010, 10:58:36:Тогда вообще убери этот -i eth1

Адсл мапед Длинк, со встроенным wi-fi и 4мя eth портами...

[Shoguevara]

chikatillo
Можно попробовать WiFi заюзать не как точку доступа, а тупо как шлюз(это уже в настройках железки надо смотреть) - отрубить DHCP(его можно на серваке поднять, ну или прописывать настройки вручную, еси будешь поднимать на серваке, надо будет профорвадить порты для ДХЦП), а на серваке прописать статический адрес - можно будет, за одно, вместо маскарадинга заюзать снат - меньше наргузки на машину, и работать будешь не с интерфейсом, а с IP адресами. Теоретически - должно заработать. Хотя, тут надо еще и железку саму подтвикать.
А что за железка то вообще?
Конечно, в идеале, лучще бы отдельно мопед, а отдельно вайфай точку - геморроя стало бы в разы меньше.
Сразу предупреждаю - такого сам не делал, но по-любому попробовал бы!)

[chikatillo]

chikatillo
Можно попробовать WiFi заюзать не как точку доступа, а тупо как шлюз(это уже в настройках железки надо смотреть) - отрубить DHCP(его можно на серваке поднять, ну или прописывать настройки вручную, еси будешь поднимать на серваке, надо будет профорвадить порты для ДХЦП), а на серваке прописать статический адрес - можно будет, за одно, вместо маскарадинга заюзать снат - меньше наргузки на машину, и работать будешь не с интерфейсом, а с IP адресами. Теоретически - должно заработать. Хотя, тут надо еще и железку саму подтвикать.
А что за железка то вообще?
Конечно, в идеале, лучще бы отдельно мопед, а отдельно вайфай точку - геморроя стало бы в разы меньше.
Сразу предупреждаю - такого сам не делал, но по-любому попробовал бы!)

Dlink - 2640 c2   -   AP Mode:Wireless Bridge - поставить?

Как я смогу вместо маскарадинга заюзать снат если пров выдает динамический айпи?

[Shoguevara]

Так ты же с мопеда получаешь уже другой ИПшник. Или нет? Еси нет, то тебе надо зашлюзить провайдеровский тырнет с полным форвардингом на мопеде. Хотя, по идее, он это уже должне делать(судя по адресам в твоих конфах). У тебя же в мопед еще роутер встроен!)

[satstranger]

граждане! как мне инет раздать в локаль?

(Нажмите, чтобы показать/скрыть)

stranger@stranger-desktop:~$ ifconfig
dvb0_0    Link encap:Ethernet  HWaddr 00:d0:5c:61:7d:0a
          inet addr:172.21.116.192  Bcast:255.255.255.0  Mask:255.255.255.0
          inet6 addr: fe80::2d0:5cff:fe61:7d0a/64 Диапазон:Ссылка
          UP BROADCAST RUNNING NOARP MULTICAST  MTU:4096  Metric:1
          RX packets:358 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:40773 (40.7 KB)  TX bytes:0 (0.0 B)
          Base address:0x192

eth0      Link encap:Ethernet  HWaddr 00:1d:60:8f:6d:a4
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21d:60ff:fe8f:6da4/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:35 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:4794 (4.7 KB)
          Прервано:23 Base address:0x8000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)
          inet addr:10.242.112.39  P-t-P:10.6.6.6  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1768 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2302 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:3
          RX bytes:1122939 (1.1 MB)  TX bytes:265313 (265.3 KB)

tap0      Link encap:Ethernet  HWaddr 06:35:2d:88:b6:33
          inet addr:213.246.9.153  Bcast:213.246.15.255  Mask:255.255.248.0
          inet6 addr: fe80::435:2dff:fe88:b633/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1400  Metric:1
          RX packets:373 errors:0 dropped:0 overruns:0 frame:0
          TX packets:392 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:500
          RX bytes:66757 (66.7 KB)  TX bytes:36965 (36.9 KB)

инет - на tap0? на том конце - комп с WinXp

[Shoguevara]

Под "локалью" вообще то обычно подразумевается язык...  Локалка, я так понимаю, у Вас сидит на eth0.
Тема неоднократно затрагивалась, причем и тут на форуме.
Одно из самых простых решений:
Создаем скрипт в /usr/local/bin с именем “inet.up”:

Код: [Выделить]

#!/bin/sh
iptables -F
iptables -t nat -F
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -i eth0 -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
Даем ему разрешение на исполнение:

Код: [Выделить]

sudo chmod +x /usr/local/bin/inet.upТеперь вписываем строку:

Код: [Выделить]

/usr/local/bin/inet.up
в файл “/etc/rc.local” перед строкой “exit 0″.
После этого прописываем на остальных компьютерах адрес из сети 192.168.0.0/24, в качестве шлюза 192.168.0.2, в качестве DNS – IP адреса DNS-серверов провайдера.
Посмотреть адреса DNS можно в Ubuntu так:

Код: [Выделить]

cat /etc/resolv.confА вообще стоит смотреть в сторону связки iptables+squid+dhcp+dns. Учим матчасть, короче говоря)
По ответу ниже, догадываюсь, что надо написать, что данный способ решения вопроса не только простой, но и крайне небезопасный. Так что все таки учите матчасть(хотя бы iptables, об остальном не говорю).

[AnrDaemon]

Одно из самых простых решений:

Больше, пожалуйста, не надо таких решений постить. Спасибо.

[chikatillo]

Так ты же с мопеда получаешь уже другой ИПшник. Или нет? Еси нет, то тебе надо зашлюзить провайдеровский тырнет с полным форвардингом на мопеде. Хотя, по идее, он это уже должне делать(судя по адресам в твоих конфах). У тебя же в мопед еще роутер встроен!)

Блин не могу ща потестить wi-fi , все ноуты в работе....
Картина была такая:
На серваке 2 интерфейса 1й сеть(статические айпишники), 2й мапед который мостом цепляется ppp0 а также eth настроенное на подсеть модема..
С 1го интерфейса все гуд , попадаю на 2ю подсеть и мапед, инет...
C мапеда проверяю пингом локальную сеть - не пингует, ясное дело iptables, но мне не нужна с мапеда локальная сеть если мне по вайфаю нужен только инет.. Но вот проблема подключился к вайфаю , он мне выдал айпи 2 й подести и шлюзом себя прописал, в итоге инет не работает...

Копаться в самом модеме(Форвардинг получается не работает) или мучать iptables?

Да, че-то мне хоца типерь что-бы через вайфай я не только инет брал но и в локальной сети появился..)

[Shoguevara]

По идее, раз у модема есть встроенный роутер, то тебе не нужен ppp интерфейс на серваке. Тебе нужно на ройутере(модеме) сделать полный форвардинг внешнего траффика(предварительно уже на нем подрубившись к pppoe провайдера) на интерфейс сервака, к которому он подключен, остальные порты(в т.ч. и вайфайные) тебе надо заюзать как обычные коммутируемые(т.е. тупо как свитч). Не знаю как такое извращение прописать на твоей железке, но почему то подозреваю, что такая возможность существует(например раздача нета с фильрацией по mac, ip, или еще что нють подобное).
Хотя, если у тебя на твоем серваке будет dhcp, dns и прокся, а на модеме dhcp будет отключен - предварительно прописав на модеме "нестандартную" сетку и присвоив серваку адрес вручную, то это все и так должно работать, но тут есть очень высокий риск, что какой нють кулхацкер может обнаружить соседнюю(мопедовскую) сеть и подключиться к нему напрямую(по тому же воздуху, например). Так что надо ковырять железку на предмет возможности фильтрации.
Еси все заработает, получишь большую и вкусную связку бананов(обожаю бананы)))): работаешь непосредственно не с интерфейсами, а с адресами, вайфайный коннект тоже проходит через стенку, вайфайные и лан подключенцы все в одной сети.