nat +

[toten]

Доброго времени, помогите пожалуйста настроить nat, на маны не отсылайте, читал его)
Вкратце ситуация, по общажитиям раскинута локальная сеть, в которой включена технология port security(фильтрация по mac адресу). Имеется ноут и старенький комп еще на 370 сокете селерон 1.2г, хочу на нем сделать фтп+качалку торрентов(rtorrent+wtorrent)+lразместить на нем свою страничку. На "серве" стоит 2 сетевые карты eth0 смотрит на ноут(стат ип) и eth1(dhcp) смотрит в локалку. Управление сервом происходит по ssh.
Собственно нат, не могу настроить, при попытке запуска такого скрипта

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state –state NEW -i ! eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT

выдает ошибку

(Нажмите, чтобы показать/скрыть)

root@serv:/home/zer0# sh /etc/nat-up
iptables v1.4.4: option `state' requires an argument
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: option `state' requires an argumentО
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.4: option `state' requires an argument
Try `iptables -h' or 'iptables --help' for more information.

пробывал заменить state --state на conntrack --ctstate но тоже самое, при вбивании всего этого руками никаких изменений не наблюдается
подскажите что делать, возможные варинты решения этой задачи
заранее благодарен

[Mam(O)n]

Уж не знаю, откуда это копировал. Но оттуда не стоит больше копировать. Мало того, что скрипт типографом обработан, да он еще и неправильный. Т.е. работать то будет, но он крив и небезопасен...

[toten]

частично копировал, частично сам писал, так что сворее всего моя вина
какие есть варианты решения описанйо мной задачи? просто сам что то не могу сообразить

[Mam(O)n]

Код: [Выделить]

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0  -j ACCEPT
sysctl net.ipv4.ip_forward=1


[toten]

к сожалению не роботает, так же не работает

Код: [Выделить]

sysctl net.ipv4.ip_forward = 1
iptables -F FORWARD
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -s 192.168.0.3 -j ACCEPT #ip ноута
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE в чем проблема, что я делаю не так я не пойму, прочитал 2 мана, но толку от этого никогого не нет к сожалению

[AnrDaemon]

Что именно не работает?

[Mam(O)n]

Куда дел -P FORWARD DROP? В этом вообще вся суть прописывания правил в FORWARD, иначе всё открыто.

Если не работает то проверь, что прописалось:

Код: [Выделить]

sudo iptables-save
sysctl net.ipv4.ip_forward

И как клиентов настраиваешь?

[toten]

настройки прописываются все, на ноуте стоит 7ка(ну надо так) пробывал коннектица как со статическим ипом так и на автомате, при 1ом верианте в локалку нет выхода, зато пингуется серв и свободно работает sshЮ во 2ом ничего не пингует

[Mam(O)n]

Вот чего, а на доступность сервера эти команды влияние не оказывают, только на транзит. Показывай реальное положение дел после моего способа:

Код: [Выделить]

ifconfig -a
route -n
sudo iptables-save
sysctl net.ipv4.ip_forward

настройки прописываются все

Яссен пень Вот только какие конкретно? А главное какой DNS указываешь? Провайдерский или сервера? Если днс своего сервера, то как настраивал на нём днс софт?

[toten]

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:01:02:b0:7c:f2
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::201:2ff:feb0:7cf2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:246 errors:0 dropped:0 overruns:1 frame:0
          TX packets:115 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:20933 (20.9 KB)  TX bytes:15634 (15.6 KB)
          Interrupt:16 Base address:0xc000

eth1      Link encap:Ethernet  HWaddr 00:10:dc:d7:18:3c
          inet addr:10.10.237.81  Bcast:10.10.237.127  Mask:255.255.255.128
          inet6 addr: fe80::210:dcff:fed7:183c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:142 errors:0 dropped:0 overruns:0 frame:0
          TX packets:43 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:12066 (12.0 KB)  TX bytes:5326 (5.3 KB)
          Interrupt:19 Base address:0xe400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:215 errors:0 dropped:0 overruns:0 frame:0
          TX packets:215 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:12175 (12.1 KB)  TX bytes:12175 (12.1 KB)

virbr0    Link encap:Ethernet  HWaddr 0e:94:7e:ee:80:be
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:32 (32.0 B)

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination        Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.237.0       0.0.0.0         255.255.255.128  U     0      0        0 eth1
192.168.0.0       0.0.0.0         255.255.255.0     U     0      0        0 eth0
192.168.122.0    0.0.0.0         255.255.255.0    U     0      0        0 virbr0
0.0.0.0            10.10.237.1     0.0.0.0             UG    100    0        0 eth1

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Mar 11 01:48:16 2010
*nat
:PREROUTING ACCEPT [208:16875]
:POSTROUTING ACCEPT [568:34166]
:OUTPUT ACCEPT [568:34166]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Mar 11 01:48:16 2010
# Generated by iptables-save v1.4.4 on Thu Mar 11 01:48:16 2010
*filter
:INPUT ACCEPT [15097:2469932]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14403:2431157]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.3/32 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
# Completed on Thu Mar 11 01:48:16 2010

(Нажмите, чтобы показать/скрыть)

net.ipv4.ip_forward = 1

п.с. почему то у меня такое ощущение что что-то я сделал не тос днс

[Mam(O)n]

О! А это кто такой virbr0? brctl show покажи тоже. И обрати внимание, в цепочку forward не попал ни один пакет.

[toten]

(Нажмите, чтобы показать/скрыть)

bridge name     bridge id               STP enabled     interfaces
virbr0          8000.000000000000       yes

так и не смог разобраться что к чему, буду дальше думать

[Mam(O)n]

С такими настройками, что выше, работать должно, но они конечно корявенькие. А судя по тому, что в транзит не попал ни один пакет - копать нужно настройки на клиентах. В частности адрес шлюза и DNS сервера. DNS должен стоять провайдерский, если на своём серваке не разворачивал dns-сервер.

[toten]

(Нажмите, чтобы показать/скрыть)

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8168B/8111B Fami
ly PCI-E Gigabit Ethernet NIC (NDIS 6.20)
   Физический адрес. . . . . . . . . : 00-26-18-7E-4B-57
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::64ed:4720:18a0:8bcd%11(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.10.237.88(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Аренда получена. . . . . . . . . . : 11 марта 2010 г. 14:31:19
   Срок аренды истекает. . . . . . . . . . : 12 марта 2010 г. 14:31:19
   Основной шлюз. . . . . . . . . : 10.10.237.1
   DHCP-сервер. . . . . . . . . . . : 10.10.237.1
   IAID DHCPv6 . . . . . . . . . . . : 234890776
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-13-15-8D-74-00-26-18-7E-4B-57

   DNS-серверы. . . . . . . . . . . : 80.250.181.2
                                       10.0.0.3
   NetBios через TCP/IP. . . . . . . . : Включен

как основной днс ставил днс локалка(237.1) но всеравно ничего не поподает в форвардине,

[AnrDaemon]

Простите, а где в вашем выводе ifconfig (выше тремя постами) фигурирует адрес  10.10.237.1, назначенный основным шлюзом в винде?