# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*nat
:PREROUTING ACCEPT [1325:84802]
:POSTROUTING ACCEPT [106:5851]
:OUTPUT ACCEPT [3719:339421]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon May 31 01:38:33 2010
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*mangle
:PREROUTING ACCEPT [47440:36540491]
:INPUT ACCEPT [44216:35753288]
:FORWARD ACCEPT [3224:787203]
:OUTPUT ACCEPT [42838:5120000]
:POSTROUTING ACCEPT [44980:5850859]
COMMIT
# Completed on Mon May 31 01:38:33 2010
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*filter
:INPUT ACCEPT [38717:33813603]
:FORWARD DROP [188:10890]
:OUTPUT ACCEPT [22042:2985588]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 25,110,995,465,587,443,53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon May 31 01:38:33 2010
Ubuntu, iptables, две сетевухи и форвардинг
Продолжаю изучать iptables, но пока что сложновато.
Имеем:
1. Интерфейс eth1 - к нему подключен сетевой модем, так что на этот интерфейс "приходит" интернет.
2. Интерфейс eth0 - это локальная сеть офиса.
Данный компьютер является шлюзом. Включаю форвардинг, добавляю правила для того, чтобы доступ в инет был только на опр. порты:
На машине, скажем, г-на Дёмина я в качестве шлюза выставляю этот комп, но вот то ли чего то не хватает, то ли еще что:
1. Во первых когда я шлюз подключаю к офисной сети - он не пингуется, а вот если выдернуть сетевой шнур, а затем воткнуть начинает пинговаться. Что это такое может быть?
2. Даже когда шлюз пингуется, интернеты все равно не раздаются. Т.е. на машине г-на Дёмина, например, должен работать скайп. Но не работает.
Товарищи, что я делаю не так?
Имеем:
1. Интерфейс eth1 - к нему подключен сетевой модем, так что на этот интерфейс "приходит" интернет.
2. Интерфейс eth0 - это локальная сеть офиса.
Данный компьютер является шлюзом. Включаю форвардинг, добавляю правила для того, чтобы доступ в инет был только на опр. порты:
Код:
На машине, скажем, г-на Дёмина я в качестве шлюза выставляю этот комп, но вот то ли чего то не хватает, то ли еще что:
1. Во первых когда я шлюз подключаю к офисной сети - он не пингуется, а вот если выдернуть сетевой шнур, а затем воткнуть начинает пинговаться. Что это такое может быть?
2. Даже когда шлюз пингуется, интернеты все равно не раздаются. Т.е. на машине г-на Дёмина, например, должен работать скайп. Но не работает.
Товарищи, что я делаю не так?
тоже помниться с этим делом калупался, решилось установкой firestarter, при чем решилось почти магически, стоило его поставить и все заработало, а до это ни в какую...:confused:
Цитата: George
Продолжаю изучать iptables, но пока что сложновато.
Имеем:
1. Интерфейс eth1 - к нему подключен сетевой модем, так что на этот интерфейс "приходит" интернет.
2. Интерфейс eth0 - это локальная сеть офиса.
Данный компьютер является шлюзом. Включаю форвардинг, добавляю правила для того, чтобы доступ в инет был только на опр. порты:
На машине, скажем, г-на Дёмина я в качестве шлюза выставляю этот комп, но вот то ли чего то не хватает, то ли еще что:
1. Во первых когда я шлюз подключаю к офисной сети - он не пингуется, а вот если выдернуть сетевой шнур, а затем воткнуть начинает пинговаться. Что это такое может быть?
2. Даже когда шлюз пингуется, интернеты все равно не раздаются. Т.е. на машине г-на Дёмина, например, должен работать скайп. Но не работает.
Товарищи, что я делаю не так?
Имеем:
1. Интерфейс eth1 - к нему подключен сетевой модем, так что на этот интерфейс "приходит" интернет.
2. Интерфейс eth0 - это локальная сеть офиса.
Данный компьютер является шлюзом. Включаю форвардинг, добавляю правила для того, чтобы доступ в инет был только на опр. порты:
Код:
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*nat
:PREROUTING ACCEPT [1325:84802]
:POSTROUTING ACCEPT [106:5851]
:OUTPUT ACCEPT [3719:339421]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon May 31 01:38:33 2010
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*mangle
:PREROUTING ACCEPT [47440:36540491]
:INPUT ACCEPT [44216:35753288]
:FORWARD ACCEPT [3224:787203]
:OUTPUT ACCEPT [42838:5120000]
:POSTROUTING ACCEPT [44980:5850859]
COMMIT
# Completed on Mon May 31 01:38:33 2010
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*filter
:INPUT ACCEPT [38717:33813603]
:FORWARD DROP [188:10890]
:OUTPUT ACCEPT [22042:2985588]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 25,110,995,465,587,443,53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon May 31 01:38:33 2010
*nat
:PREROUTING ACCEPT [1325:84802]
:POSTROUTING ACCEPT [106:5851]
:OUTPUT ACCEPT [3719:339421]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon May 31 01:38:33 2010
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*mangle
:PREROUTING ACCEPT [47440:36540491]
:INPUT ACCEPT [44216:35753288]
:FORWARD ACCEPT [3224:787203]
:OUTPUT ACCEPT [42838:5120000]
:POSTROUTING ACCEPT [44980:5850859]
COMMIT
# Completed on Mon May 31 01:38:33 2010
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010
*filter
:INPUT ACCEPT [38717:33813603]
:FORWARD DROP [188:10890]
:OUTPUT ACCEPT [22042:2985588]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 25,110,995,465,587,443,53 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon May 31 01:38:33 2010
На машине, скажем, г-на Дёмина я в качестве шлюза выставляю этот комп, но вот то ли чего то не хватает, то ли еще что:
1. Во первых когда я шлюз подключаю к офисной сети - он не пингуется, а вот если выдернуть сетевой шнур, а затем воткнуть начинает пинговаться. Что это такое может быть?
2. Даже когда шлюз пингуется, интернеты все равно не раздаются. Т.е. на машине г-на Дёмина, например, должен работать скайп. Но не работает.
Товарищи, что я делаю не так?
1. Проверь, разрешён ли вообще форвардинг на шлюзе - cat /proc/sys/net/ipv4/ip_forward. Если нет - включи его.
2. На скайпе проверять не стоит - слишком специфично. Добавь в dports порт 80 и проверяй просто через веб пока.
3. -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 25,110,995,465,587,443,53 -j ACCEPT
А интерфейсы тут не перепутаны ? Если eth0 - локалка, то по идее, должно быть -i eth0 -o eth1
4. В этом пункте не уверен, но, возможно, стоит ещё в FORWARD после
-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dports 25,110,995,465,587,443,53 -j ACCEPT
добавить
-A FORWARD -i eth0 -o eth1 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Цитата: Artem_3A
тоже помниться с этим делом калупался, решилось установкой firestarter, при чем решилось почти магически, стоило его поставить и все заработало, а до это ни в какую...:confused:
Да ну, я вот так разобрался, как надо. :)
Код:
# Generated by iptables-save v1.4.4 on Mon Jun 14 11:52:11 2010
*filter
:INPUT ACCEPT [149:12885]
:FORWARD ACCEPT [104:24721]
:OUTPUT ACCEPT [20:2174]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dports 25,110,143,995,465,443,587,53,12975,32976,3899,4899 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon Jun 14 11:52:11 2010
# Generated by iptables-save v1.4.4 on Mon Jun 14 11:52:11 2010
*mangle
:PREROUTING ACCEPT [594:63919]
:INPUT ACCEPT [149:12885]
:FORWARD ACCEPT [432:50230]
:OUTPUT ACCEPT [20:2174]
:POSTROUTING ACCEPT [169:34972]
COMMIT
# Completed on Mon Jun 14 11:52:11 2010
# Generated by iptables-save v1.4.4 on Mon Jun 14 11:52:11 2010
*nat
:PREROUTING ACCEPT [305:19551]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [2:520]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Jun 14 11:52:11 2010
*filter
:INPUT ACCEPT [149:12885]
:FORWARD ACCEPT [104:24721]
:OUTPUT ACCEPT [20:2174]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dports 25,110,143,995,465,443,587,53,12975,32976,3899,4899 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Mon Jun 14 11:52:11 2010
# Generated by iptables-save v1.4.4 on Mon Jun 14 11:52:11 2010
*mangle
:PREROUTING ACCEPT [594:63919]
:INPUT ACCEPT [149:12885]
:FORWARD ACCEPT [432:50230]
:OUTPUT ACCEPT [20:2174]
:POSTROUTING ACCEPT [169:34972]
COMMIT
# Completed on Mon Jun 14 11:52:11 2010
# Generated by iptables-save v1.4.4 on Mon Jun 14 11:52:11 2010
*nat
:PREROUTING ACCEPT [305:19551]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [2:520]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Jun 14 11:52:11 2010