Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[androidoff]

Вопрос снят. Открыт 53й порт...

UPDATE
Тупняки с инета пропали, но вот с SAMBA - все равно остались... Лазим по инету дальше...

[lostbyte]

Здраствуйте.
машина с кубунтой 8.04 LTS (думаю кеды/гном особой разницы сдесь не играют?), должна работать как шлюз/прозрачный прокси. локалка 192.168.0.0/24
возник вопрос... пров выдает статический айпи вида 212.ххх.ххх.90/32, и шлюз  212.ххх.ххх.89. сделал все как в инстракшине на 1ой странице, инет через сквид есть а НАТа нема. возможно ли что маскарадить надо на шлюз провайдера? или все таки на айпишник интерфейса(инет интерфейс eth1, localnet - eth0)?
да и такой вопрос: как открыть порт средствами iptables только для доступа из localnet'a?
прозрачное проксирование тоже не робит.
заранее спасибо за ответ.

[NeOn4eG]

Приветствую..
У меня следующая проблема - есть 2 провайдера, к локалке 1-го провайдера (основного) подключён адсл-роутер для доступа в сеть второго прова, с самого сервера всё нормально ходит в инет, а как сделать чтоб юзеры, которые сидят в инете через НАТ этого сервера, имели доступ к внутренней сети adsl?
Делаю так:
iptables -t nat -A PREROUTING -d _подсеть_adsl_ -j DNAT --to-destination _ip_роутера_
но видимо не правильно.

Не подскажете нужное правило для iptables?

[NeOn4eG]

да и такой вопрос: как открыть порт средствами iptables только для доступа из localnet'a?

Дак инет раздавать по nat, или порт пробросить? непонятно.. если инет, то у меня так:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 212.ххх.ххх.89

[LDE2007]

Здравствуйте

Вопрос такой:

есть squid.conf следующего содержания:

  http_port 3128
 
  alc our_networks src 192.168.0.0/24
  http_access allow our_networks

есть еще несколько строк, но они закоментированы. из рабочих только эти.

Так вот, при рестарте пишет такое:

ACL name 'all' not defined!
FATAL: Bungled squid.conf line 34: http_access deny all

Пробовал в конец дописать http_access deny all, результат тот же.

Что это и как его бороть?

Кстати, еще вопрос:

вот здесь http://www.opennet.ru/base/net/squid_inst.txt.html нашел такое:

* acl  имя  dstdomain  список

С помощью этого элемента (dstdomain) мы указываем домен, доступ к которому желает получить клиент прокси сервера.

В следующем примере мы запретим Васе доступ к варезным сайтам nnm.ru и kpnemo.ru:

        acl  SitesWarez  dstdomain  .nnm.ru  .kpnemo.ru
        http_access   deny   Pupkin   SitesWarez

В случае, если будет необходимо указать домен источника, то используйте srcdomain.

* acl  имя [-i] srcdom_regex  список
* acl  имя [-i] dstdom_regex  список

Данные элементы отличаются от srcdomain и dstdomain лишь тем, что в них используются регулярные выражения, которые в данной статье мы не рассматриваем, но пример всё-таки приведём:

        Acl  SitesRegexSex     dstdom_regex    sex
        Acl  SitesRegexComNet  dstdom_regex  \.com$ \.net$
        http_access   deny   Pupkin   SitesRegexSex
        http_access   deny   Pupkin   SitesRegexComNet

В данном примере мы запретили доступ Пупкину Василию на все домены, содержащие слово sex и на все домены в зонах .com и .net.

Ключ -i призван игнорировать регистр символов в регулярных выражениях.

А можно ли указывать имя файла, в котором будут прописаны ограничения?

[LDE2007]

С ACL name 'all' not defined! разобрался.

Странно то, что ни в одном описании не нашел инфу о том, что если создается squid.conf с нуля, то надо всевить
  acl all scr all

Или это общеизвестно?

Вопрос по файлу со списком ограничений отстается открытым.

И еще вопрос, его где-то здесь вроде задавали, но уже забыл где. Собственно вопрос:

при настройке прозрачного прокси какое правило должно быть для iptables, чтобы все запросы заворачивались через Squid. Пробовал то, что написано в самом начале, не сработало. Настройка по интерфейсам такая:

eth0 - IP 192.168.1.1 - inet
eth1 - IP 192.168.0.1 - lan

Форвардинг включен.

[Nesmit]

Я считаю, что конф писать с нуля может только тот который его знает от и до.
В твоем случае мне непонятно, как можно так поступать когда он фактически является документацией.
Если любишь "поинтереснее", ставь генту. Или отработай поставляемый конф и только потом почить от лишнего. 

[gard]

  Ну я тоже с нуля писал, правда так и не пришлось протестировать.

[esca]

поможите люди добрые ! я сам чайник!
есть Ubuntu 8,04 поднят впн
надо этот впн раздать теперь на комп с виндой и спутниковый ресивер
пробывал wibmin 1.441 но он почему то не хочет сохранять правила!
что делать! (если кто то захочет помочь, пишете поподробнее ... плиззз)

вот что пишить wibmin nsupported file or mode >IPtables at firewall::../web-lib-funcs.pl line 2081

[thunderamur]

2 компа в локалке, на одном PPPoE, нужно раздать Инет 2-му.
Ubuntu 8.04.1

Делал:

4. Для доступа с других машин вашей локальной сети необходимо поставить всего лишь навсего два малюсеньких пакета: dnsmasq - чтобы переправлслись ваши DNS-запросы и ipmasq - собственно для NAT'a.

в /etc/sysctl.conf раскоментировал строку net.ipv4.ip_forward = 1

выполнил: # sudo sysctl -w net.ipv4.ip_forward="1"

выполнил: # sudo iptables -t nat -A POSTROUTING -o интерфейс -j MASQUERADE

в /etc/rc.local добавил строчку: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

1. Правильно ли я настроил комп, подключённый к модему, на раздачу?


Далее надо настроить 2-й комп:

На втором компе: ip IP / маска 255.255.255.0 / шлюз IP / днс DNS на тех кому раздаёшь

2. какой IP? на ifconfig много всего, IP ppp0?

3. куда и как это дело вписывать? /etc/network/interfaces отсутствует, ну создать конечно можно, но какую инфу внести? Или же в network-admin вбить данные?

[thunderamur]

ещё попробовал вот так:
http://sergey-se.livejournal.com/23616.html

3. Устанавливаются ipmasq и dnsmasq: apt-get instal dnsmasq ipmasq. Редактируется конфиг: pico /etc/dnsmasq.conf. Прописывается interface=eth0 и раскомментировывается первое попавшееся правило для раздачи динамических ip во внутреннюю сеть dhcp-range=192.168.0.50,192.168.0.150,255.255.255.0,12h.

4. dpkg-reconfigure ipmasq — включаеся запуск ipmasq после поднятия сетевых интерфейсов (при перезапуске ppp я не велел реконфигурироваться ipmasq).

5. Добавляется net.ipv4.ip_forward = 1 в /etc/sysctl.conf.

Проделал описанные выше действия с учётом того, что у меня вместо eth0 - eth1.

выполнил:

Код: [Выделить]

iptables —t nat —A POSTROUTING —o eth0 —j MASQUERADE
В итоге не получил инета в локалке, да ещё и на 1-й машине Инет пропал. Методом научного тыка понял, что на 1-й машине Инета нет из-за

Код: [Выделить]

dhcp-range=192.168.0.50,192.168.0.150,255.255.255.0,12hЗакоментил обратно, переконфигурировал ipmasq  снова, рестарт сетевых интерфейсов - Инет на 1-й машине вернулся, а в локалке как не было так и нет 

[thunderamur]

пробовал так, как раз мой случай...

https://help.ubuntu.com/community/Internet/ConnectionSharing?action=show&redirect=InternetConnectionSharing

писал как там

$sudo iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m state --state NEW -j ACCEPT

также пробовал вместо eth0 - ppp0

ДНС клиенту писал как там предлается и то, что есть в /etc/resolv.conf на машине подключённой к PPPoE

Всё бестолку, 

Код: [Выделить]

ping -c 1 213.180.204.8 не проходит на клиенте.

З.Ы.: ну это уже чересчур сложно, почему всё так плохо... я конечно не шарю, но всё же, на винде был полным ламером, узнал про панель управления и настроил раздачу, а тут ппц какой-то 

[Денвер]

люди, ну напишите уже что пошагово сделать чтобы в 8.10 можно было раздовать на домашнии компы инет, который беру по РРРоЕ через локальную сеть провайдера 

[InkVisitor]

Дык, а данную тему прочитать слабо?
В первом посте как раз и описано...

[Денвер]

Дык, а данную тему прочитать слабо?
В первом посте как раз и описано...

так в том то и дело что в 8.10 так работать не хочет - на первом компе вообще инет тухнет