| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
karnage
Гость
|
 Добавлено: Чт Мар 20 2003 10:05 Заголовок сообщения: iptables (+) |
 |
|
Ситуация следующая: шлюз в интернет почти умер физически, настраиваю новый компьютер.
Lunux Mandrake 8.2 (2.4.1
Подскажите команду как настроить SNAT, соответственно нужно чтобы все из локалки могли лезть в интернет. Без всяких доп настроек и файрволов (это пока я не разберусь сам с иптаблс).
eth0: 192.168.3.1/24 -локалка
eth1: 192.168.2.210/24 - идет на адсл модем.
Спасибо. |
|
| Вернуться к началу |
|
 |
Sol
Гость
|
| Добавлено: Чт Мар 20 2003 14:00 Заголовок сообщения: Re: iptables (+) |
|
|
iptables -t nat -A POSTROUTING -s 192.168.3.0/255.255.255.0 -d ! 192.168.3.0/255.255.255.0 -j SNAT --to-source XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX -это твой внешний IP
Если у тебя внешним является 192.168.2.210, то подставляешь его
Только одного snat недостаточно вообще то.. |
|
| Вернуться к началу |
|
|
karnage
Гость
|
| Добавлено: Чт Мар 20 2003 15:55 Заголовок сообщения: Спасибо!. Но если одного SNAT недостаточно, то что нужно еще? (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
karnage
Гость
|
| Добавлено: Чт Мар 20 2003 16:02 Заголовок сообщения: Спасибо!. Но если одного SNAT недостаточно, то что нужно еще? (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
Sol
Гость
|
| Добавлено: Пт Мар 21 2003 06:43 Заголовок сообщения: Re: iptables (+) |
|
|
ну вот к примеру как это приблизительно может выглядеть.. (не исключаю наличия ошибок)
#!/bin/bash
# eth0 is connected to the internet.
# eth1 is connected to a private subnet.
# 192.168. -локальная сеть
# 172.16. - инет
# Loopback address
LOOP=127.0.0.1
# Delete old iptables rules
# and temporarily block all traffic.
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
# Set default policies
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Prevent external packets from using loopback addr
iptables -A INPUT -i eth0 -s $LOOP -j DROP
iptables -A FORWARD -i eth0 -s $LOOP -j DROP
iptables -A INPUT -i eth0 -d $LOOP -j DROP
iptables -A FORWARD -i eth0 -d $LOOP -j DROP
# Anything coming from the Internet should have a real Internet address
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
# Block outgoing NetBios (if you have windows machines running
# on the private subnet).
iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
# Allow local loopback
iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT
# Allow incoming pings (can be disabled)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Allow services such as www and ssh (can be disabled)
iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# Allow packets from private subnets
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
# Keep state of connections from local machine and private subnets
iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ну и ещё твоё правило Snat надо добавить.. либо маскарад. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
