Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Настройка NAT  (Прочитано 4895 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн seyferrum

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Настройка NAT
« : 18 Февраль 2010, 09:58:03 »
задача: раздать интер по локалке с помошью vpn

Есть комп на нем Ubuntu 9.10,
провайдер домолинк,
есть два соединения с локальной сетью и интер.
на убунте настроен xl2tp (2 недели ненависти к гуглу)
клиенты заходят и с винды и с линукса
Помогите настроить NAT!!!
ps: переехал на линукс недавно еще зеленый :-[

Оффлайн renat906

  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Re: Настройка NAT
« Ответ #1 : 18 Февраль 2010, 10:16:07 »
интернет в локалке будет раздаваться по vpn? Если нет то задача становиться очень простой
на линуксе необходимо подключить инет, затем в iptables прописать несколько правил типа
$IFINET - интефейс который смотрит наружу
$IFLOC - интерфейс который смотрит в локалку
iptables -t nat -A POSTROUTING -s 192.168.0./24 -o $IFINET -j SNAT --to-source 78.x.x.x
iptables -A FORWARD -i $IFLOC -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $IFINET -m state --state RELATED,ESTABLISHED -j ACCEPT

при этом не забудьте
добавить/раскомментировать в файле /etc/sysctl.conf строчку net.ipv4.ip_forward = 1
« Последнее редактирование: 18 Февраль 2010, 10:30:43 от renat906 »

Оффлайн seyferrum

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Настройка NAT
« Ответ #2 : 18 Февраль 2010, 12:28:47 »
renat906: ты написал про раздачу в локалку

j SNAT не подойдет IP меняется думаю что маскаридить нужно типа
iptables -t nat -A POSTROUTING -s 192.168.12.0/24 -j MASQUERADEстрока раскоментированна
нужно раздать интернет клиентам, которые заходят по VPN
клиент заходит ему присваевается ip 192.168.12.х
причем клиентов их может быть несколько
« Последнее редактирование: 18 Февраль 2010, 12:36:31 от seyferrum »

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Настройка NAT
« Ответ #3 : 18 Февраль 2010, 12:51:18 »
seyferrum, правильно мыслишь.
renat906, еще iptables -P FORWARD DROP забыл.

Оффлайн seyferrum

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Настройка NAT
« Ответ #4 : 18 Февраль 2010, 13:19:47 »
а что думете по поводу этого?
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Настройка NAT
« Ответ #5 : 18 Февраль 2010, 13:23:46 »
Полезно, когда на этой тачке используется vpn с соответственно сниженным mtu. А команда неправильная. -t mangle нужно еще.

Оффлайн seyferrum

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Настройка NAT
« Ответ #6 : 18 Февраль 2010, 13:39:56 »
Mam(O)n: а как же будет выглядеть мой полный NAT. а то все кусками как-то

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Настройка NAT
« Ответ #7 : 18 Февраль 2010, 13:48:42 »
Стандартно:
iptables -t nat -A POSTROUTING -o интерфейс_интернета -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i интерфейс_локалки  -j ACCEPT
# Если есть интерфейс с пониженным mtu, раскомментировать следующее:
# iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
« Последнее редактирование: 20 Июнь 2010, 20:50:18 от Mam(O)n »

Оффлайн seyferrum

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Настройка NAT
« Ответ #8 : 18 Февраль 2010, 13:52:45 »
а у клиента какой шлюз?(ip vpn сервера)
а dns?

Пользователь решил продолжить мысль 18 Февраль 2010, 13:53:57:
вопрос?
как будет с распределением трафика в зависимости от активности пользователей?

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Настройка NAT
« Ответ #9 : 18 Февраль 2010, 13:55:45 »
Шлюз - да, ip vpn сервера. В случае tap конечно. С tun я еще не игрался. А dns - провайдерские. Или поднимай собственный днс-прокси. Например dnsmasq.

Оффлайн seyferrum

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Настройка NAT
« Ответ #10 : 18 Февраль 2010, 13:59:31 »
:В случае tap конечно. С tun я еще не игрался:
ты о чем?

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Настройка NAT
« Ответ #11 : 18 Февраль 2010, 14:01:25 »
Про vpn ты первый начал  ;) http://ru.wikipedia.org/wiki/TUN/TAP

Оффлайн seyferrum

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Настройка NAT
« Ответ #12 : 18 Февраль 2010, 14:05:31 »
нашел описание про деление канала
http://linuxportal.ru/forums/index.php/t/22591/
имеет право на жизнь?

Пользователь решил продолжить мысль 18 Февраль 2010, 13:05:15:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
добавил к виндовому клиенту dns провайдера и все пошло

вопрос про разделение канала на равные части???
« Последнее редактирование: 18 Февраль 2010, 15:06:12 от seyferrum »

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Настройка NAT
« Ответ #13 : 18 Февраль 2010, 18:52:47 »
Эм. Сорри. Глаз замылился. Я в том посте изначально немного неправильно написал. Исправленному верить.

Про разделение - попробуй. Никто не против.

Оффлайн Unreg

  • Активист
  • *
  • Сообщений: 751
  • Ubuntu 8.04 / Acer Aspire One 110 > Debian 5.04
    • Просмотр профиля
    • LJ
Re: Настройка NAT
« Ответ #14 : 18 Февраль 2010, 19:11:10 »
Полезно, когда на этой тачке используется vpn с соответственно сниженным mtu. А команда неправильная. -t mangle нужно еще.
http://www.gentoo.org/doc/en/home-router-howto.xml
Цитировать
Incorrect MTU Value

If you experience odd errors (such as not being able to access some webpages while others load fine), you may be having Path MTU Discovery trouble. The quick way to test is to run this iptables command:

Code Listing 7.2: Circumvent MTU issues
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
This will affect all new connections, so just refresh the website you're having problems with in order to test. In case it helps, the standard MTU value for 100mbit ethernet connections is 1500; this value also applies to PPPoA. For PPPoE connections it is 1492. For more info, you should read Chapter 15 of the Linux Advanced Routing & Traffic Control HOWTO.

If that command does not work for you, you may want to try putting the rule into the mangle table. Simply add -t mangle to the command.

 

Страница сгенерирована за 0.055 секунд. Запросов: 22.