Am configurat deja un server dhcp în rețeaua noastră.
Acum este momentul să distribuim Internetul la calculatoarele din rețeaua noastră. Să fim de acord că eth0 la noi - interfața externă prin care gateway-ul nostru primește un Internet. eth1 este interfața pe care gateway-ul o privește la rețeaua noastră.
Dacă serverul dvs. se conectează la Internet prin pppoe, atunci eth0 ar trebui înlocuit cu ppp0. Ei bine, și așa mai departe.
Aplicăm noul config pentru a nu reporni:
root @ debian-gateway:
Ca opțiune - executați comanda (aceasta va funcționa numai fără repornire):
root @ debian-gateway:
# sysctl -w net.ipv4.ip_forward = "1"
Acum ne spunem serverul nostru, care de fapt traficul direct care ajunge pe serverul nostru ca poarta de acces (eth0 în loc să specifice interfața care arată o poarta de acces la Internet):
root @ debian-gateway:
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Diagnosticarea problemelor. Problemele de aici pot fi din două motive. Primul este că nu ați configurat sysctl. Vom reveni la începutul manualului și vom reciti. Al doilea este iptables. Pentru a încerca să rezolvați această problemă - adăugați iptables -F la fișierul /etc/rc.local cu prima linie.
Dacă nu se întâmplă nimic - scrie-mi, voi ajuta.
Vă mulțumim pentru comentariu. Nu voi intra în articol, într-adevăr, dar lăsați-l în mod necesar să trăiască)
Da, ștergeți dhcp, eliminați paravanul de protecție, ați rupt toate regulile iptables și ați câștigat)
Încă o întrebare este posibil că sunt posibile anumite reguli
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
?
@RomanS
Scrieți ce a făcut în mod specific după ce "Internetul direct pe serverul principal a fost capabil să se configureze". În ce porturi au fost conectate, ce setări s-au schimbat.
Uv.Tovarisch Inchizitor, am următoarea schemă: în gateway-ul eth1 (192,168,10,254) de la modem VDSL (192.168.10.253) tradus în modul de pod conectați cablul, la poarta de acces a ridicat conexiunea PPPoE, cardiostimulați instrucțiunile de pe această pagină au doar o poarta de acces la Internet .
Specificați modul în care ar trebui să arate totul (și corectați-mă dacă greșesc)
modem 192,168,10,253
gateway 192,168,10,254 eth1
eth0 este blocat într-un comutator de rețea comună nu este alocat nici un ip, dar rețeaua este văzută punând-o lokalki și vede, iar dacă această interfață este de a scoate Ping dispare.
Ar trebui să funcționeze această instrucțiune în schema mea? Sau există caracteristici kakieto? mașina din rețeaua internă (linux crunch) vorbește engleza despre inaccesibilitatea rețelei și dacă dezactivezi poarta, inaccesibilitatea NODE-ului este dezactivată.
Un raționament suplimentar fără specificitate este lipsit de sens. Hai dacă ifconfig, ip ro sh, ping, urme de la toate gazdele, dacă nu înțelegi.
gateway # ifconfig
eth0 Legătură încapsulată: Ethernet HWaddr f8: d1: 11: 00: 6e: 92
inet addr: 192.168.10.254 Bcast: 19
rădăcină @ gw: / home / master # 2.168.10.255 Mască: 255.255.255.0
inet6 addr: fe80 :: fad1: 11ff: fe00: 6e92 / 64 Domeniul de aplicare: Link
UP MULTICAST MTU: 1500 Metric: 1
RX pachete: 98 erori: 0 scăzut: 0 depășiri: 0 cadru: 0
Pachete TX: 42 erori: 0 abandonate: 0 depășiri: 0 operator: 0
coliziuni: 0 txqueuelen: 1000
RX octeți: 11628 (11,3 KiB) ocțiți TX: 6450 (6,2 KiB)
Întrerupere: 26 Adresa de bază: 0x8000
et1 Legătură encap: Ethernet HWaddr 8c: 89: a5: 11: 09: 9c
inet addr: 192.168.100.1 Bcast: 192.168.100.255 Masca: 255.255.255.0
inet6 addr: fe880 :: 8e89: a5ff: fe11: 99c / 64 Domeniul de aplicare: Link
UP MULTICAST MTU: 1500 Metric: 1
RX pachete: 136 erori: 0 abandonate: 0 depășiri: 0 cadru: 0
TX pachete: 281 erori: 0 abandonate: 0 depășiri: 0 operator: 4
coliziuni: 0 txqueuelen: 1000
RX octeți: 21387 (20,8 KiB) ocțiți TX: 28474 (27,8 KiB)
Întrerupeți: 27
lo Link loopback: Loopback local
inet addr: 127.0.0.1 Mască: 255.0.0.0
inet6 addr. 1/128 Domeniu de aplicare: gazdă
UP LOOPBACK RUNNING MTU: 16436 Metric: 1
RX pachete: 0 erori: 0 abandonate: 0 depășiri: 0 cadru: 0
TX pachete: 0 erori: 0 abandonate: 0 depășiri: 0 operator: 0
coliziuni: 0 txqueuelen: 0
RX octeți: 0 (0,0 B) TX octeți: 0 (0,0 B)
ppp0 Link encap: Protocol punct-la-punct
. Am sărit.
RX pachete: 109 erori: 0 abandonate: 0 depășiri: 0 cadru: 0
Pachete TX: 211 erori: 0 abandonate: 0 depășiri: 0 operator: 0
coliziuni: 0 txqueuelen: 3
RX octeți: 17245 (16,8 KiB) TX octeți: 15536 (15,1 KiB)
utilizator
root @ comp1: / home / jenny # ifconfig
eth0 Legătură încapsulată: Ethernet HWaddr 00: 25: 22: 1c: f6: 07
inet addr: 192.168.10.101 Bcast: 192.168.10.255 Masca: 255.255.255.0
inet6 addr: fe80 :: 225: 22ff: fe1c: f607 / 64 Domeniul de aplicare: Link
UP MULTICAST MTU: 1500 Metric: 1
RX pachete: 710 erori: 0 abandonate: 0 depășiri: 0 cadru: 0
Pachete TX: 617 erori: 0 abandonate: 0 depășiri: 0 operator: 0
coliziuni: 0 txqueuelen: 1000
RX octeți: 188098 (183,6 KiB) octeți TX: 59491 (58,0 KiB)
Întrerupere: 26 Adresa de bază: 0xe000
lo Link loopback: Loopback local
inet addr: 127.0.0.1 Mască: 255.0.0.0
inet6 addr. 1/128 Domeniu de aplicare: gazdă
UP LOOPBACK RUNNING MTU: 16436 Metric: 1
Pachete RX: 40 erori: 0 abandonate: 0 depășiri: 0 cadru: 0
Pachete TX: 40 erori: 0 abandonate: 0 depășiri: 0 operator: 0
coliziuni: 0 txqueuelen: 0
RX octeți: 3808 (3.7 KiB) Bytes TX: 3808 (3.7 KiB)
rădăcină @ comp1: / home / jenny # ping ya.ru
ping: gazdă necunoscută ya.ru
root @ comp1: / home / jenny #
utilizatorul 192,168,10,254 ca gateway este înregistrat, la gateway eth1 se uită la rețeaua eth0 la rețea. de ce pachetele nu merge nu înțeleg. există o poartă de internet
Bine. I-am spus asta. După aplicarea regulilor din oraș, Internetul a încetat să mai funcționeze. spune-mi regulile? Iată configurația
#! / bin / sh
/ sbin / depmod -a
/ sbin / modprobe ip_tables
/ sbin / modprobe ip_conntrack
/ sbin / modprobe iptable_filter
/ sbin / modprobe iptable_nat
echo "1"> / proc / sys / net / ipv4 / ip_forward
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P ACCEPT POSTROUTING
iptables -t nat -P ACCEPTUL OUTPUT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i ppp0 -j ACCEPT
#iptables -A FORWARD -i ppp1 -j ACCEPT
#iptables -t nat -A POSTROUTING -s 10.10.10.2 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.10 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.7 -j MARK -set-mark 103
iptables -t nat -A POSTROUTING -s 10.10.10.3 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.3 -j MARK -set-mark 106
iptables -t nat -A POSTROUTING -s 10.10.10.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.5 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.6 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.7 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.9 -j MARK -set-mark 105
#iptables -t mangle -A FORWARD -s 10.10.10.6 -j MARK -set-mark 101
iptables -t nat -A POSTROUTING -s 10.10.10.8 -o ppp0 -j MASQUERADE
#iptables -t mangle -A FORWARD -s 10.10.10.8 -j MARK -set-mark 102
iptables -t nat -A POSTROUTING -s 10.10.10.9 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.11 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.12 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.10.13 -o ppp0 -j MASQUERADE
lo Link loopback: Loopback local
inet addr: 127.0.0.1 Mască: 255.0.0.0
UP LOOPBACK RUNNING MTU: 16436 Metric: 1
RX pachete: 957 erori: 0 scăzut: 0 depășiri: 0 cadru: 0
Pachete TX: 957 erori: 0 abandonate: 0 depășiri: 0 operator: 0
coliziuni: 0 txqueuelen: 0
RX octeți: 52515 (51,2 KiB) TX octeți: 52515 (51,2 KiB)
Vă mulțumim anticipat
De unde a venit descărcarea?
Scrieți singuri regulile. Ce sunt necesare.
P / S Am amânat în mod eronat întrebarea mea la prima parte a dhcp - îl puteți îndepărta de acolo, și apoi lăsați-l?
Am verificat din nou viteza prin iperf către serverul public. Se pare că am greșit, iar viteza de descărcare este de asemenea jumătate din cea pe computer decât pe poarta de acces.
De asemenea, m-am uitat la încărcarea procesorului folosind ps aux pe gateway.
rădăcină 2343 1.9 0.0 12592 892 puncte / 0 sec + Apr18 48:50 / usr / sbin / xl2tpd
Există încă câțiva angajați cu 1,6%. Procesorul costă i7, așa că nu mă așteptam la astfel de probleme. Și pe computer, totul este liniștit.
MAIL = mail1.ru.com
LOCALNET = 192.168.10.0 / 24
LOCALNET1 = 192.168.2.0 / 24
#mail
iptables -A FORWARD -p tcp -s $ LOCALNET -d $ MAIL -port 25 -j ACCEPT
iptables -A FORWARD -p tcp -s $ MAIL -d $ LOCALNET -sport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s $ LOCALNET -d $ MAIL -port 110 -j ACCEPT
iptables -A FORWARD -p tcp -s $ MAIL -d $ LOCALNET -sport 110 -j ACCEPT
#nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s $ LOCALNET1 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s $ LOCALNET -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $ LOCALNET -dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $ LOCALNET -dport 25 -j MASQUERADE
), dar de la baht locale nu trimite nu acceptă. e-mail. Nu există niciun element principal peste tot acolo, iar gateway-ul încă împarte rețeaua în două logici prin DSP.
Și de ce toată construcția asta, spune-ne?
În general, aparent, tocmai ați acumulat ceva din locurile aleatoare. Vă sugerăm mai întâi să înțelegeți ce are fiecare linie, apoi să o impuneți în sarcina dvs., atunci veți vedea unde este eroarea.
Toate scripturile nashol sane în limbaj inteligibil ka pentru mine sunt mici editări și voila
Nu împărtășesc lăcomia mea
#! / bin / sh
# Închideți totul de la început până la TOATE (adică inițial tot ceea ce nu este permis este interzis):
#iptables -P INPUT DROP
#iptables -P DROP OUTPUT
#iptables -P FORWARD DROP
# Starea ESTABLISHED indică faptul că acesta nu este primul pachet din conexiune.
# Ignorați toate conexiunile deja inițiate, precum și copiii acestora
iptables -U INPUT -p toate -m state-state ESTABLISHED, RELATED -j ACCEPT
# Ignorați noi, precum și cele deja inițiate, și conexiunile lor pentru copii
iptables -A OUTPUT -p toate -m state -state NEW, ESTABLISHED, RELATED -j ACCEPT
# Permiteți redirecționarea pentru conexiuni noi, precum și deja inițiate și conexiuni pentru copii
iptables -A FORWARD -p toate -m state -state NEW, ESTABLISHED, RELATED -j ACCEPT
###
iptables -P INPUT DROP
iptables -P DROP OUTPUT
####
iptables -P FORWARD DROP
## ************************************************* *********************
# Aici, în principiu, este posibil să nu aveți nevoie de acest întreg, dar nu este o piedică
# modulul care nu este încărcat sau redirecționarea nu este activată
#echo "1"> / proc / sys / net / ipv4 / ip_forward
echo "1"> / proc / sys / net / ipv4 / ip_dynaddr
#modprobe iptable_nat
#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
# Interfața care arată pe Internet
WAN = eth0
# Rețea locală
LAN = eth1
LAN_IP_RANGE = 192.168.10.0 / 24
LAN_IP2_RANGE = 192.168.2.0 / 24
# Curățați toate lanțurile iptables
$ IPT -F
$ IPT -F -t nat
$ IPT -F -t mangle
$ IPT -X
$ IPT -t nat -X
$ IPT -t mangle -X
# Închideți totul de la început până la TOATE (adică inițial tot ceea ce nu este permis este interzis):
$ IPT-P INTRARE DROP
$ IPT-P DROP OUTPUT
$ IPT-P FORWARD DROP
# rezolva traficul local pentru loopback și rețeaua internă
$ IPT -U INTRARE -i lo -j ACCEPT
$ IPT -U INTRARE -i $ LAN -j ACCEPT
$ IPT -A OUTPUT -o lo -j ACCEPT
$ IPT -A OUTPUT -o $ LAN -j ACCEPT
# Starea ESTABLISHED indică faptul că acesta nu este primul pachet din conexiune.
# Ignorați toate conexiunile deja inițiate, precum și copiii acestora
$ IPT -A INPUT -p toate -m stat -state ESTABLISHED, RELATED -j ACCEPT
# Ignorați noi, precum și cele deja inițiate, și conexiunile lor pentru copii
$ IPT -A OUTPUT -p toate -m state -state NEW, ESTABLISHED, RELATED -j ACCEPT
# Permiteți redirecționarea pentru noi, precum și pentru cele deja inițiate
# și conexiunile lor pentru copii
$ IPT -A FORWARD -p toate -m stat -stat NOU, ESTABLISHED, RELATED -j ACCEPT
# Activați fragmentarea pachetelor. Este necesar din cauza diferitelor valori MTU
$ IPT -I FORWARD -p tcp -tcp-flags SYN, RST SYN -j TCPMSS -clamp-mss-to-pmtu
# Drop toate pachetele care nu pot fi identificate
# și, prin urmare, nu poate avea un statut specific.
$ IPT -A INPUT -m state -state INVALID -j DROP
$ IPT -A FORWARD -m stat -state INVALID -j DROP
# Duce la legarea de resurse de sistem, astfel încât real
# Schimbul de date nu este posibil.
$ IPT -U INPUT -p tcp. -syn -m state -state NEW -j DROP
$ IPT -A OUTPUT -p tcp. -syn -m state -state NEW -j DROP
# Permitem accesul din rețeaua internă la exterior
$ IPT -A FORWARD -i $ LAN -o $ WAN -j ACCEPT
• Dați acces din exterior la rețeaua internă
$ IPT -A FORWARD -i $ WAN -o $ LAN -j REJECT
# Masquerading
$ IPT -t nat -A POSTROUTIE -o $ WAN -s $ LAN_IP_RANGE -j MASQUERADE
$ IPT -t nat -A POSTROUTIE -o $ WAN -s $ LAN_IP2_RANGE -j MASQUERADE
# Următorul este un exemplu de deschidere a porturilor din exterior:
# ***************************************************** *********************
# Deschideți portul pentru ssh
# $ IPT -U INPUT -i $ WAN -p tcp -dport 22 -j ACCEPT
# Deschiderea porturilor pentru torrente (aceeași specificare în clientul torrent)
# $ IPT -U INPUT -i $ WAN -p tcp -m porturi multiport -ports 49152: 65535 -j ACCEPT
# Deschiderea portului 443
$ IPT -A INPUT -p tcp -dport 443 -j ACCEPT
# Open 80 port pentru site-uri web
$ IPT -A INPUT -i $ WAN -p tcp -dport 80 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 80 -j ACCEPT
# Porturi de deschidere pentru servere de jocuri
$ IPT -A INPUT -i $ WAN -p tcp -dport 27010: 27030 -j ACCEPT
$ IPT -U INPUT -i $ WAN -p udp -dport 27010: 27030 -j ACCEPT
# Deschiderea portului pentru serverul de voce Team Speak
$ IPT -A INPUT -i $ WAN -p tcp -dport 9987 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 9987 -j ACCEPT
# Deschideți porturile de e-mail
$ IPT -A INPUT -i $ WAN -p tcp -dport 25 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 25 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p tcp -dport 110 -j ACCEPT
$ IPT -A INPUT -i $ WAN -p udp -dport 110 -j ACCEPT
# ***************************************************** *********************
#
## iptables -A INPUT -i lo -j ACCEPT
#iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j MASQUERADE
#
Articole similare
Trimiteți-le prietenilor: