Видео смотреть бесплатно

Смотреть 365 видео

Официальный сайт e-rus 24/7/365

Смотреть видео бесплатно

uscr 18.02.2011 17:54

Есть проблема![РЕШЕНО] Iptables виноват?

Здравствуйте. Буду краток. Есть debian 6. Нужно сделать из него шлюз.

eth1 - 192.168.0.254/24
eth2 - 192.168.1.1/24

Пишу скрипт с правилами:
 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#!/bin/sh

LAN="eth2"
WAN="eth1"


# Delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT

# Allow established connections, and those not coming from the outside
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i $WAN -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow outgoing connections from the LAN side.
iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT

# Masquerade.
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

# Don't forward from the outside to the inside.
iptables -A FORWARD -i $WAN -o $LAN -j REJECT

# Enable routing.
#Do it in /etc/sysctl.conf, noob!
#echo 1 > /proc/sys/net/ipv4/ip_forward



eth1 смотрит во "внешку" (на время теста в офисную сеть).
В eth2 втыкаю ноут. 192.168.1.1 с ноута пингуется, а 8.8.8.8, например, нет.
С самой машинки всё работает исправно.



P.S.
route -n
1
2
3
4
5
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1



cat /proc/sys/net/ipv4/ip_forward показывает "1".

Скрипт взял отсюда, исправив в нём ряд очевидных ошибок.

Как быть?

Решение:
Я не первый раз задаю вопросы здесь, в которых спрашиваю элементарные вещи. Как правило, решением является "выспаться" или на худой конец "выпить кофе". В данном случае у ноутбука стоял адрес 192.168.1.1. После установки корректного адреса всё заработало.


Тэги:
+ 0 -
Похожие Поделиться

Zend 18.02.2011 18:34 #
+ 0 -
Там написано:
# Don't forward from the outside to the inside.
iptables -A FORWARD -i eth1 -o eth1 -j REJECT

А у вас написано:
Don't forward from the outside to the inside.
iptables -A FORWARD -i eth1 -o eth2 -j REJECT

Пакеты из инета вообще в локалку не попадают. В инет уходят а обратно их не пускают...
Zend 18.02.2011 18:35 #
+ 0 -
В общем не Iptables виноват, а вы
uscr 18.02.2011 18:41 #
+ 0 -
Э... Хайвмайнд посчитал это "очевидной ошибкой" автора скрипта.
uscr 18.02.2011 18:42 #
+ 0 -
Ну кстати в изначальном варианте тоже не работает.
$kat 18.02.2011 18:51 #
+ 0 -
ребят, пожалуйста, поясните тайный смысл этой строчки. "не пускать наружу трафик, который пришел снаружи"?
uscr 18.02.2011 18:57 #
+ 0 -
Там нет такой строчки.
$kat 18.02.2011 19:01 #
+ 0 -
iptables -A FORWARD -i eth1 -o eth1 -j REJECT
в случае, если интерфейс получения eth1 и исходящий интерфейс eth1 отказать в прохождении.Вроде так переводится. А вот смысла в таком правиле я не вижу и прошу объяснить.
$kat 18.02.2011 18:36 #
+ 0 -
Что то я не понял.
у тебя твоя машина имеет адрес wan 192.168.0.1, правильно?
Исходя из route -n шлюз у тебя тоже 192.168.0.1
Т.е. Сам для себя шлюз. Если так, то действительно, ничего работать не будет, пропиши шлюз по умолчанию, который у тебя в офисе.
uscr 18.02.2011 18:41 #
+ 0 -
192.168.0.254 ошибка. Поправил в посте.
lastkrick 18.02.2011 18:45 #
+ 0 -
А у вас ipv4_forwarding включен?
lastkrick 18.02.2011 18:46 #
+ 0 -
я к тому, что сначала нужно его включить, а только потом ставить маскарад
uscr 18.02.2011 18:49 #
+ 0 -
Включён, да.
wiz 18.02.2011 19:02 #
+ 0 -
Бросай костыли, есть отличный готовый скрипт. Просто правишь его и кидаешь запуск в /etc/rc.local
$kat 18.02.2011 19:06 #
+ 3 -
У меня дома вот так, все работает.

iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j SNAT --to-source $IP_GATEWAY
Где $P0_NET - локальная сеть, $IP_GATEWAY - ip адрес твоей внешней карточки.

Дальше уже можно накручивать всякие прибомбасы для безопасности.
ZED 18.02.2011 19:22 #
+ 0 -
Попробуйте arno-iptables-firewall
dront78 18.02.2011 19:40 #
+ 1 -
что-то мне подсказывает, что
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

должно хватить. а может и нет ;)
wat_che 18.02.2011 20:15 #
+ 2 -
лучше не маскарадить при статике а снатить
$kat 18.02.2011 22:15 #
+ 0 -
тут хотя бы заставить работать)
uscr 18.02.2011 22:21 #
+ 0 -
Почему? Что вы понимаете под "статикой". В боевом варианте адреса будут по DHCP, если вы об этом.
wat_che 19.02.2011 13:49 #
+ 0 -
статический внешний ай пи
in1t 18.02.2011 21:30 #
+ 0 -
А есть еще firehol само то для начинающих и не только.
uscr 18.02.2011 22:22 #
+ 0 -
Нельзя. В холодную воду нужно с разбегу.
Да и потом я не могу назвать себя "начинающим" в вопросах настройки фаерволла. Просто я до этого только с ipfw дело имел.
in1t 19.02.2011 02:36 #
+ 2 -
Если вы незнакомы с iptables и вам нужен результат, то используйте готовые решения. Посмотреть и по изучать текущие правила можно выгрузив их через iptables-save.
Чуть попозже, могу скинуть пример как можно просто и изящно все настроить с помощью firehol.
uscr 19.02.2011 09:35 #
+ 1 -
Тогда уж реквестирую полноценную статью. Только полноценную, а не "Установите firehol. Теперь напишите нужные правила. Видите как всё просто?!".
in1t 19.02.2011 22:18 #
+ 0 -
Набросал вроде неплохо получилось)
http://welinux.ru/post/5154
digiwhite 19.02.2011 11:07 #
+ 1 -
Вы раз решили задачку, то оформите пожалуйста решение в пост, чтобы потом народ в поисках решения не лазил по куче комментариев.
uscr 19.02.2011 21:03 #
+ 0 -
Сразу и оформил. Внизу же.

Смотреть онлайн бесплатно

Онлайн видео бесплатно


Смотреть русское с разговорами видео

Online video HD

Видео скачать на телефон

Русские фильмы бесплатно

Full HD video online

Смотреть видео онлайн

Смотреть HD видео бесплатно

School смотреть онлайн