Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
named
Зарегистрирован: 25.09.2005 Сообщения: 112
|
Добавлено: Вт Ноя 15 2005 02:10 Заголовок сообщения: интернет без squida |
|
|
подскажите как обойтись без сквида, пробросив напрямую запросы от пользователей прямо в мир ? понятно что iptables с таблицей нат. но что то не получается. |
|
Вернуться к началу |
|
|
McZim
Зарегистрирован: 09.08.2005 Сообщения: 275 Откуда: Omsk
|
Добавлено: Вт Ноя 15 2005 07:36 Заголовок сообщения: |
|
|
А стркутура сети какая?
Если ваш комп находится за шлюзом в инет, то все просто на шлюзе в iptables и nat открываешь что тебе нужно, все остальное закрываешь. (По принципу, то что не разрешено, то запрещено). На своем компе (ip+dns(провайдера)+gateway(своего шлюза)). Можешь присваивать хоть по DHCP хоть статически.
Естесвенно настройки (на шлюзе) eth-интерфейса должны бвть на строены в соответсвии с провайдером.
В чем трудность та? _________________ Я странный... |
|
Вернуться к началу |
|
|
named
Зарегистрирован: 25.09.2005 Сообщения: 112
|
Добавлено: Вт Ноя 15 2005 08:45 Заголовок сообщения: |
|
|
да дело в том что есть за шлюзом локальная сеть. и стоит squid как прокси )) а я его хочу снести нафиг и всё выполнить средствами iptables/ таблицу фильтрации настроил но они и так уже есть и работает. но вот с натом разобратся не могу. вот во free там как то попроще. уже неделю ковыряюсь. никак не доходит как же мне всё пустить в нет
строчка -A postrouting -o eth0 -j snat --to-source IP_EXT
ну понятно eth0 - вшнешка и IP_EX внешний ip
ip_forward = 1
что опять я делаю не так ???
на время эксперемента filter таблицах разрешаю всем всё.
на форвардах тож всё разрешаю |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Ср Ноя 16 2005 06:45 Заголовок сообщения: |
|
|
Цитата: | строчка -A postrouting -o eth0 -j snat --to-source IP_EXT
ну понятно eth0 - вшнешка и IP_EX внешний ip
|
6.5.12. Действие SNAT
SNAT используется для преобразования сетевых адресов (Source Network Address Translation), т.е. изменение исходящего IP адреса в IP заголовке пакета. Например, это действие можно использовать для предоставления выхода в Интернет другим компьютерам из локальной сети, имея лишь один уникальный IP адрес. Для этого. необходимо включить пересылку пакетов (forwarding) в ядре и затем создать правила, которые будут транслировать исходящие IP адреса нашей локальной сети в реальный внешний адрес. В результате, внешний мир ничего не будет знать о нашей локальной сети, он будет считать, что запросы пришли с нашего брандмауэра.
SNAT допускается выполнять только в таблице nat, в цепочке POSTROUTING. Другими словами, только здесь допускается преобразование исходящих адресов. Если первый пакет в соединении подвергся преобразованию исходящего адреса, то все последующие пакеты, из этого же соединения, будут преобразованы автоматически и не пойдут через эту цепочку правил.
Таблица 6-22. Действие SNAT
Ключ --to-source
Пример
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
Описание
Ключ --to-source используется для указания адреса, присваемового пакету. Все просто, вы указываете IP адрес, который будет подставлен в заголовок пакета в качестве исходящего. Если вы собираетесь перераспределять нагрузку между несколькими брандмауэрами, то можно указать диапазон адресов, где начальный и конечный адреса диапазона разделяются дефисом, например: 194.236.50.155-194.236.50.160. Тогда, конкретный IP адрес будет выбираться из диапазона случайным образом для каждого нового потока. Дополнительно можно указать диапазон портов, которые будут использоваться только для нужд SNAT. Все исходящие порты будут после этого перекартироваться в заданный диапазон. iptables старается, по-возможности, избегать перекартирования портов, однако не всегда это возможно, и тогда производится перекартирование . Если диапазон портов не задан, то исходные порты ниже 512 перекартируются в диапазоне 0-511, порты в диапазоне 512-1023 перекартируются в диапазоне 512-1023, и, наконец порты из диапазона 1024-65535 перекартируются в диапазоне 1024-65535. Что касается портов назначения, то они не подвергаются перекартированию. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
named
Зарегистрирован: 25.09.2005 Сообщения: 112
|
Добавлено: Чт Ноя 17 2005 17:58 Заголовок сообщения: |
|
|
так вот я и не понимаю почему не получается ??
или нужно ещё писать например -p tcp & -p ICMP & -p GRE и т д и тп |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пт Ноя 18 2005 09:12 Заголовок сообщения: |
|
|
ну нам трудно судить о том что именно у тебя не получается..
так как ты никакой информации не предоставляешь..
Что не получается то??
что у тебя в таблице nat ? _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
named
Зарегистрирован: 25.09.2005 Сообщения: 112
|
Добавлено: Пт Ноя 18 2005 11:35 Заголовок сообщения: |
|
|
-A postrouting -o eth0 -j snat --to-source 195.195.195.1
ну понятно eth0 - вшнешка и IP_EX внешний ip
ip_forward = 1
вот всё что указываю. соостветственно тушу сквид ещё на всякий когда проверяю. и перезагружаю фаервол и интерфейсы |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пт Ноя 18 2005 11:45 Заголовок сообщения: |
|
|
покажи результаты команд
iptables -t nat -L -n
iptables -L -n _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пт Ноя 18 2005 11:52 Заголовок сообщения: |
|
|
в одной из версий iptables я сталкивался с проблемой такого характера:
команда
iptables -t nat -A postrouting -o eth0 -j snat --to-source xxx.xxx.xxx.xxx
выдавала ошибку.. типа неверные параметры команды..
Поэтому я ставил другую команду:
iptables -t nat -A postrouting -s 192.168.xxx.0/255.255.255.0 -j snat --to-source xxx.xxx.xxx.xxx
вроде у них до сих пор работает в таком виде.. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
named
Зарегистрирован: 25.09.2005 Сообщения: 112
|
Добавлено: Пт Ноя 18 2005 11:58 Заголовок сообщения: |
|
|
всё везде accept
forward =1
в нате
SNAT all -- 0.0.0.0/0 0.0.0.0/0 to:195.195.195.1
больше ниичгео нету )))
всё может я тормоззззз.
и чего то не так делаю |
|
Вернуться к началу |
|
|
named
Зарегистрирован: 25.09.2005 Сообщения: 112
|
Добавлено: Пт Ноя 18 2005 11:59 Заголовок сообщения: |
|
|
у меня версия 1.3.3 |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пт Ноя 18 2005 12:10 Заголовок сообщения: |
|
|
попробуй второй вариант.. с указанием ip сети которая натится... вместо интерфейса eth0 ..
посмотри tcpdump-ом внешний интерфейс, на предмет того - уходят от тебя пакеты или нет.. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
|