HOWTO: Iptables для новичков

[chikatillo]

По идее, раз у модема есть встроенный роутер, то тебе не нужен ppp интерфейс на серваке. Тебе нужно на ройутере(модеме) сделать полный форвардинг внешнего траффика(предварительно уже на нем подрубившись к pppoe провайдера) на интерфейс сервака, к которому он подключен, остальные порты(в т.ч. и вайфайные) тебе надо заюзать как обычные коммутируемые(т.е. тупо как свитч). Не знаю как такое извращение прописать на твоей железке, но почему то подозреваю, что такая возможность существует(например раздача нета с фильрацией по mac, ip, или еще что нють подобное).
Хотя, если у тебя на твоем серваке будет dhcp, dns и прокся, а на модеме dhcp будет отключен - предварительно прописав на модеме "нестандартную" сетку и присвоив серваку адрес вручную, то это все и так должно работать, но тут есть очень высокий риск, что какой нють кулхацкер может обнаружить соседнюю(мопедовскую) сеть и подключиться к нему напрямую(по тому же воздуху, например). Так что надо ковырять железку на предмет возможности фильтрации.
Еси все заработает, получишь большую и вкусную связку бананов(обожаю бананы)))): работаешь непосредственно не с интерфейсами, а с адресами, вайфайный коннект тоже проходит через стенку, вайфайные и лан подключенцы все в одной сети.

модем в режиме роутера от сети из 30 компов дохнит через 3 секунды... Я думал ты имел ввиду что в режиме моста можно как-то в нем организовать...

На серваке есть только прокся, вся сеть со стат. адресами
Если клиенты с вайфая видят сетевой интерфейс сервера, то можно с помощью iptables все это зарулить..
Проблема только с Хацкерами, в любом случае эт для меня было только ради интересна завести такое...

[Shoguevara]

Ну, вообще, я предлагал, чтобы модем в режиме роутера выдавал канал только одному клиенту - серваку. Хотя, все равно он так будет нагружаться. Тогда, да, придется все через маскарадинг делать, но мопед как мост заюзать ИМХО все-таки возможно.
У меня так на работе стоит отдельный вайфайный роутер(наешел приныканный), через который по воздуху клиенты коннектятся к нашей локалке.
Тока тут еще авторизацию, желательно, к проксе прикрутить, да и внутренние ресурсы надо держать защищеными.

[AnrDaemon]

модем в режиме роутера от сети из 30 компов дохнит через 3 секунды... Я думал ты имел ввиду что в режиме моста можно как-то в нем организовать...

Поставить нормальное железо, которое дохнуть не будет. Так сложно догадаться?

[Shoguevara]

Ну, я кагбэ, уже писал, что простой мопед и точка доступа в качестве шлюза упростили бы решение. Вопрос в том, как на имеющемся это все выполнить.
Велосипеды? Согласен! Но если человек умеет делать эти самые велосипеды, то ему будет гораздо легче разобраться с железками покруче.

[chikatillo]

модем в режиме роутера от сети из 30 компов дохнит через 3 секунды... Я думал ты имел ввиду что в режиме моста можно как-то в нем организовать...

Поставить нормальное железо, которое дохнуть не будет. Так сложно догадаться?

Огласите мапед который в режиме роутера при сети 50 компов, использовании торрентов не сдохнет....
Или вы имели ввиду отдельно мапед , отдельно роутер - что собственно говоря я сейчас и имею...
Пользователь решил продолжить мысль 27 Апреля 2010, 23:38:36:

Ну, вообще, я предлагал, чтобы модем в режиме роутера выдавал канал только одному клиенту - серваку.

Именно так и было, пока не подключили новый пакет на 24мбита + новых 10 компов в сети, в следствии чего зухел намертво вис а длинк обрубал рандомно порты...

[AnrDaemon]

Огласите мапед который в режиме роутера при сети 50 компов, использовании торрентов не сдохнет....

Спросите своего поставщика, угу? Какая-нибудь железка не "для дома-для семьи", а для индустриального использования, с нормальной начинкой.

Или вы имели ввиду отдельно мапед , отдельно роутер - что собственно говоря я сейчас и имею...

Это зависит от того, как у вас сеть физически расположена. Сложно что-то советовать.

Именно так и было, пока не подключили новый пакет на 24мбита + новых 10 компов в сети, в следствии чего зухел намертво вис а длинк обрубал рандомно порты...

У Д-Линка (домашних его моделей) по жизни проблемы с охлаждением.
А зух(модем, я прав?) в бридже должен лежать, намертво подключенный к роутеру. Так что виснуть ТАМ нечему.

[Shoguevara]

Спросите своего поставщика, угу? Какая-нибудь железка не "для дома-для семьи", а для индустриального использования, с нормальной начинкой.

Угу, вопрос тока в цене - различие, ведь, на порядок.

[AnrDaemon]

Спросите своего поставщика, угу? Какая-нибудь железка не "для дома-для семьи", а для индустриального использования, с нормальной начинкой.

Угу, вопрос тока в цене - различие, ведь, на порядок.

Не думаю, что 7-10 тыр - большая сумма для сети из 30+ компов. При том, что это будет железо, которое будет работать, нуждаясь только в электричестве и свежем воздухе.

[Shoguevara]

Эм... А какие это промышленные железки за 7-10 тыр можно купить то? Вообще то я, исходя из того поста, сразу подумал о циске и джунипере...

[chikatillo]

Эм... А какие это промышленные железки за 7-10 тыр можно купить то? Вообще то я, исходя из того поста, сразу подумал о циске и джунипере...

Я думаю лучшем решением на сеть 30-50 компов  - это системник за 7-10 тыс. на котором будет ubuntu-server(Статистика+роутер+фаервол+сайт+почта) и на него бриджем домашний мапед...

[chikatillo]

Еще пару вопросиков :
Прозрачный прокси-сервер,  eth0 -сеть , eth1 - инет 1

Код: [Выделить]

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp -d ! 192.168.0.0/16 -m multiport --dport 80,8080,10000 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Хочу добавить eth2 - инет2
Какое правило добавить(изменить) для того что бы  все обращения из сети только на 80й порт перенаправлялись на инет 2, а все остальные пакеты на инет1
Еще хотелось  что бы из сети компы с ip 192.168.100.1, 192.168.100.10, 192.168.100.15 пользовались только  инет2

[зоррыч]

Не могу никак настроить dnat.
Нужно чтобы адрес в пакетах  к адресу  109.105.130.95  от локальной машины менялся на  адрес 127.0.0.1
В iptables написал:

Код: [Выделить]

iptables -t nat -A OUTPUT -p tcp -d  109.105.130.95 -j DNAT --to-destination 127.0.0.1

Вывод:
iptables -t nat -L

Код: [Выделить]

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             speedtest.inn.ru    to:localhost

В других таблицах никаких записей нет ( все настроено на ACCEPT по дефолту).
Однако при запросе с браузера адреса  109.105.130.95 редиректа на  127.0.0.1 не происходит.
В   /proc/net/ip_conntrack есть записи типа:

Код: [Выделить]

tcp      6 104 TIME_WAIT src=$LOCAL_IP dst=109.105.130.95 sport=58575 dport=80 packets=5 bytes=623 src=109.105.130.95 dst=$LOCAL_IP sport=80 dport=58575 packets=5 bytes=358 [ASSURED] mark=0 secmark=0 use=2
tcp      6 104 TIME_WAIT src=$LOCAL_IP dst=109.105.130.95 sport=47426 dport=80 packets=6 bytes=688 src=109.105.130.95 dst=$LOCAL_IP sport=80 dport=47426 packets=6 bytes=2701 [ASSURED] mark=0 secmark=0 use=2
Не работает   мб стоит  загрузить какието модули?
/sbin/depmod -a   делал.

[AnrDaemon]

Нужно чтобы адрес в пакетах  к адресу  109.105.130.95  от локальной машины менялся на  адрес 109.105.130.95

Сам то понял, что сказал? Я вот не понял.

[зоррыч]

  опечатался.
 надо чтобы адрес в пакетах менялся на 127.0.0.1  =)
 что отлично видно по iptables -t nat -L

[AnrDaemon]

Опять не понял. Что за белиберду ты несёшь, ты что курил?