welinux.ru / Есть вопрос! — РЕШЕНО Раздача интернет в класс!

MAXH0 19.12.2011 12:12

Есть вопрос! — РЕШЕНО Раздача интернет в класс!

Добрый день всем!
У меня есть вопрос к сообществу - как с минимальным количеством телодвижений раздать интернет в классе.

Есть один IP адрес, есть компьютер с двумя сетевыми картами и установленным Ubuntu, два свитча: через один мне идет интернет, другой поддерживает сетку в классе.

Я понимаю, что в интернет это все есть. Но во первых там советы разные, а во вторых хотелось бы пошаговую инструкцию - у меня мало опыта и времени, чтобы осваивать методом тыка.

Может стоит установить Школьный сервер Альт Линукс? Там все "искаропки"

Тэги:

+ 0 -

Похожие

jumper47 19.12.2011 12:26 #

+ -3 -

Где то в интернетах нашел скрипт

#!/bin/sh

IPTABLES=/sbin/iptables
# EXTIF - external interface connected to the Internet
# INTIF - internal interface
EXTIF="wlan0"
INTIF="eth0"

echo "   External Interface:  $EXTIF"
echo "   Internal Interface:  $INTIF"

echo "   Enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward

echo "   Clearing any existing rules and setting default policy.."
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -F
$IPTABLES -X

echo "   FWD: Allow all connections OUT and only existing and related ones IN"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

echo "   Enabling SNAT (MASQUERADE) functionality on $EXTIF"
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

сохраните этот текст в файл, сделайте исполняемым (sudo chmode +x file) и запускайте от рута.

uscr 19.12.2011 12:34 # ↑

+ 2 -

Ну зачем вы такие вещи советуете? Во-первых в таком виде - это раздача интернета из вайфая в провод, во-вторых это аналогично моему способу, изложенному ниже, потому как безопасность тут тоже на уровне дна колодца.

jumper47 19.12.2011 13:11 # ↑

+ -1 -

Ну да, недоглядел-скинул скрипт с ноута без изменений. А фраза "найденный на просторах интернета" намекала, что я в этом разбираюсь не очень хорошо.И да, это ваш способ аналогичен моему-я ответил раньше:-). Пойду читать опеннет)

exelens 19.12.2011 17:12 # ↑

+ 3 -

что я в этом разбираюсь не очень хорошо

может тогда и не стоило =) советовать?

А то как в анекдоте.
Я не гинеколог, но посмотреть могу.

jumper47 20.12.2011 02:16 # ↑

+ 0 -

ну, у меня дома на разных дистрах работал, написан скрипт приятно(комменты, например), почему бы и не поделиться? Я когда сам с этим столкнулся - нужно было раздать интернет с ноута на второй комп - довольно долго рылся в гугле в поисках готового рецепта.

uscr 19.12.2011 12:32 #

+ 3 -

Это делается правкой одной строки в /etc/sysctl.conf:

net.ipv4.ip_forward=1

И добавлением одного правила в iptables:

iptables -t nat -A POSTROUTING -o ИНТЕРФЕЙС_КОТОРЫМ_КОМПЬЮТЕР_СМОТРИТ_В_ИНТЕРНЕТ -j SNAT --to-source ИП_ЭТОГО_ИНТЕРФЕЙСА

Или iptables -t nat -A POSTROUTING -o ИНТЕРФЕЙС_КОТОРЫМ_КОМПЬЮТЕР_СМОТРИТ_В_ИНТЕРНЕТ -j MASQUERADE, если адрес на "внешнем" интерфейсе динамический.

Но такой вариант, разумеется, небезопасен. Требуется более адекватная настройка iptables. Вот огромная статья, по сути - всё это описание для скрипта rc.firewall, который всё делает сам и требует минимальной настройки (ссылка на скрипт есть в статье). Но почитать, что бы понимать, что происходит - нужно.

ananas 19.12.2011 18:28 # ↑

+ 0 -

для класса проще transparent proxy поднять, чем с тюнингом голых iptables заморачиваться.

MAXH0 19.12.2011 19:24 # ↑

+ 0 -

Squid и все?

Zend 19.12.2011 20:24 # ↑

+ 0 -

Squid и все?

Неа. Не всё так просто. Все равно придётся IPTABLES крутить вертеть приблизительно так:

1 2	# Включаем прозрачное проксирование http трафика iptables -t nat -A PREROUTING -p tcp -s $LAN_IP_RANGE ! -d $LAN_IP --dport 80 -j REDIRECT --to-ports 3128

Заметьте http трафика! С https в прозрачном режиме такое не прокатит (Squid, кстати, это и не поддерживает и правильно делает). Так что uscr всё правильно говорит. Копайте в эту сторону. А прозрачную проксю разве, что для экономии трафика можете пользовать: пусть картинки кэширует.

PS
И да, про кэширующий DNS сервер не забудьте если трафик экономить задумаете и, тем самым "отзывчивость" сети повышать. Я пробовал. Понравилось :-)

Zend 19.12.2011 20:14 # ↑

+ 0 -

Все хорошо с transparent proxy до тех пор, пока через него трафик шифрованный не пойдёт. В том то и дело, что он через него не пойдёт. Подробнее: Человек посередине

dront78 19.12.2011 21:00 # ↑

+ 0 -

ssl proxy также имеется в наличии. остается редирект https->http и отдавать расшифрованные страницы

Zend 19.12.2011 21:38 # ↑

+ 0 -

Которые можно свободно перехватывать внутри локальной сети? О_о

MAXH0 19.12.2011 23:19 # ↑

+ 0 -

И зачем нам шифрованный трафик в КЛАССЕ?

dront78 19.12.2011 23:39 # ↑

+ 0 -

наоборот. дешифровать трафик и анализировать например

Zend 20.12.2011 07:28 # ↑

+ 1 -

Затем, что или делать хорошо или забить и вообще ничего не делать, так как одного только:

1	iptables -t nat -A POSTROUTING -o ИНТЕРФЕЙС_КОТОРЫМ_КОМПЬЮТЕР_СМОТРИТ_В_ИНТЕРНЕТ -j MASQUERADE

вам за глаза хватит для того, чтобы раздать интернет куда угодно (форвардинг включить не забудьте: "Это делается правкой одной строки в /etc/sysctl.conf: net.ipv4.ip_forward=1" конец цитаты). Введите эту команду в терминале роутера и отметьте вопрос [РЕШЕННЫМ].

MAXH0 20.12.2011 08:13 # ↑

+ 0 -

ИМХО Надо сначала сделать быстро, а потом год допиливать готовое и рабочее.

Я наверное отмечу вопрос решенным, но потом буду еще спрашивать детали.

uscr 20.12.2011 08:07 # ↑

+ 0 -

https же. В классе никто почту на гугле не смотрит? Если нужен строго только 80 порт, то может и правда лучше проксю задействовать. Тут уж смотрите, что по времени более приемлемо.

MAXH0 20.12.2011 08:23 # ↑

+ 0 -

Хотя ДА - гуглопочта это то чему стоит учить, НО в реале у учеников обычно майл.