adsl club

Справочник
Форум
Программы
Фильмы
Ресурсы
Файлообмен
Хостинг
Ростелеком
iptables | SNAT - MASQUERADE? нужна помощь в настройке.
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)*NIX OS
Автор Сообщение
TROLL_
Эксперт
СообщениеДобавлено: Пн 2-02-09 : 23-12    Заголовок сообщения: iptables | SNAT - MASQUERADE? нужна помощь в настройке. Ответить с цитатой
была тема по но незнаю почему может неработать. перепробовал все.

есть eth1(192.168.0.10) - 192.168.0.0/24 - int
есть eth0 (192.168.1.10)- 192.168.1.10 - ext

сначала при загрузке системы смотрю что в таблицах.
iptables -L по умолчанию все ACCEPT (INPUT,OUTPUT,FORWARD)
дальше вбиваю

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 90.*.*.*

как я понял все должно бы заработать, дак нефига!!!
попробовал и так через MASQUERADE
iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE
эффект тотоже.

набирая iptables -L правил новых нет.
короче че не так и вчем косяк?????
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
TROLL_
Эксперт
СообщениеДобавлено: Вт 3-02-09 : 00-09    Заголовок сообщения: Ответить с цитатой
все разобрался.
вообще было бы неплохо выкладывать сюда у кого какой конфиг.
делится опытом и т.д.

чтоб вся эта байда работала нада:
в /proc/sys/net/ipv4/ip_forward вместо 0 поставить 1. т.е. разрешить форвардинг. к концу недели выложу свой конфиг, под свои задачи, но постараюсь охватить и другое.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
ProFfeSsoRr
Гуру
СообщениеДобавлено: Вт 3-02-09 : 00-46    Заголовок сообщения: Ответить с цитатой
А вон, чуть ниже моя "Эх, настройка Iptables" - там уже подкидывали умные люди советов Wink
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение   Номер ICQ
TROLL_
Эксперт
СообщениеДобавлено: Чт 5-02-09 : 00-47    Заголовок сообщения: Ответить с цитатой
ProFfeSsoRr
ага видел.
вот мой конфиг. пока неполный.
-----
eth0-inet
eth1-lan

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -X
iptables -t nat -X
iptables -X -t mangle

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# MASKARAD ppc
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 192.168.1.1


#SQUID TRANSPARENT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128


# traf local lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# ICMP ping_lan
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -j ACCEPT


########################## SERVER --- > INET

# DNS v inet_ connect
iptables -A INPUT -i eth0 -p tcp --dport 0:65535 --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 0:65535 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 0:65535 --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --sport 0:65535 --dport 53 -j ACCEPT
# server v_inet http https --no
iptables -A INPUT -i eth0 -p tcp --sport 80 --dport 0:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 --sport 0:65535 -j ACCEPT
# mail pop3 v inet_connect
iptables -A INPUT -i eth0 -p tcp --sport 110 --dport 0:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 0:65535 --dport 110 -j ACCEPT
# mail smtp v inet_connect
iptables -A INPUT -i eth0 -p tcp --sport 25 --dport 0:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 0:65535 --dport 25 -j ACCEPT
# ftp v inet_connect
#iptables -A INPUT -i eth0 -p tcp --sport 21 --dport 0:65535 -j ACCEPT
#iptables -A OUTPUT -o -eth0 -p tcp --sport 0:65535 --dport 21 -j ACCEPT


############# LAN ------> INET

# ICMP ping_lan
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -j ACCEPT
# DNS v inet_ connect for lan
iptables -A INPUT -i eth1 -p tcp --dport 0:65535 --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 0:65535 --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 0:65535 --sport 53 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --sport 0:65535 --dport 53 -j ACCEPT
# forward lan--->inet 25.110.80.443.143
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --destination-port 80,443,110,25,143 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -m multiport --source-port 80,110,443,25,143 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --sport 53 -j ACCEPT
# forward p2p lan-->inet
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 411 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 411 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 411 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --sport 411 -j ACCEPT




# LAN -------- > SERVER
# ssh only for admin IP
iptables -A INPUT -i eth1 -s 192.168.0.11 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.0.11 -p tcp --sport 22 -j ACCEPT
# webmin + report only for admin IP provereno
iptables -A INPUT -s 192.168.0.11 -p tcp -m multiport --destination-port 9999,10000 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.11 -p tcp -m multiport --source-port 9999,10000 -j ACCEPT
# dostup k vnutrennemu serveru + webmail
iptables -A INPUT -i eth1 -p tcp -m multiport --destination-port 80,443 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -m multiport --source-port 80,443 -j ACCEPT
# pop.imap.smtp
iptables -A INPUT -i eth1 -p tcp --dport 143 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 143 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 110 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 25 -j ACCEPT
# NETBIOS - SAMBA
iptables -A INPUT -i eth1 -p tcp --dport 139:445 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 139:445 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 137:138 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --dport 137:138 -j ACCEPT
# DHCP
iptables -A INPUT -i eth1 -p udp --dport 67:68 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --sport 67:68 -j ACCEPT
# SQUID TRANSPARENT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT

# int mojno vse
#iptables -A INPUT -i eth1 -p tcp --dport 0:65535 -j ACCEPT
#iptables -A OUTPUT -o eth1 -p tcp --sport 0:65535 -j ACCEPT


# INET ------------ > SERVER

# web iz_ineta_connect na server
iptables -A INPUT -i eth0 -p tcp -m multiport --destination-port 80,443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --source-port 80,443 -j ACCEPT
# mail pop3 iz_ineta_connect
iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -j ACCEPT
# mail smtp iz_ineta_connect
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -j ACCEPT
# imap
iptables -A INPUT -i eth0 -p tcp --dport 143 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -j ACCEPT

# openvpn !!
#iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 1194 -j ACCEPT
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
Показать сообщения:   
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)*NIX OS Часовой пояс: GMT + 7
Страница 1 из 1

 

 
Аватары: Вкл|Выкл   ЮзерИнфо: Вкл|Выкл   Подписи: Вкл|Выкл
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы