Автор Тема: ALTLinux 5.0.0 Ковчег в качестве брандмауэра.  (Прочитано 1606 раз)

Оффлайн Sergulet

  • Участник
  • *
  • Сообщений: 73
Всем здравствуйте!
Есть компьютер ALTLinux 5.0.0 Ковчег Рабочая станция в качестве брандмауэра. 1 сетевая карта  со статическим IP смотрит в Windows-сеть, 2 сетевая карта со статическим IP соединена с  тестовым Windows-компьютером тоже статический IP. Карты настраивал по этой инструкции http://forum.altlinux.org/index.php/topic,4563.0.html. С ALTLinuxa пингуется и сеть и компьютер. Из сети пингуется только 1 сетевая. С компа только 1 и 2 сетевые. Друг с другом не пингуются.В центре управления все входящие соединения разрешены. Iptables тоже все разрешено
[root@comp ~]# iptables -P FORWARD ACCEPT
[root@comp ~]# iptables -P OUTPUT ACCEPT
[root@comp ~]# iptables -P INPUT ACCEPT
Подскажите в чем проблема? Заранее спасибо.

Оффлайн palex

  • Участник
  • *
  • Сообщений: 125
Посмотрите разрешен ли форвардинг вообще как таковой:
cat /proc/sys/net/ipv4/ip_forward
если выдает 0, то поправить параметр в
/etc/net/sysctl.conf
и перезапустить сеть.
или echo "1"> /proc/sys/net/ipv4/ip_forward

Оффлайн Sergulet

  • Участник
  • *
  • Сообщений: 73
Выдает - 1.
« Последнее редактирование: 10.03.2011 12:04:22 от Sergulet »

Оффлайн palex

  • Участник
  • *
  • Сообщений: 125
Выдает - 1.
Проверьте, выполняется ли подмена адресов клиентов в iptables
В секции nat /etc/sysconfig/iptables нужно включить NAT или MASQUERADE
-A POSTROUTING -o eth1 -j SNAT --to-source eth1_address
или
-A POSTROUTING -s local_net_address -o eth1 -j MASQUERADE
local_net_address - адрес локальной сети. eth1 - здесь внешняя сетевая карта. У Вас может быть иначе
« Последнее редактирование: 10.03.2011 12:59:19 от palex »

Оффлайн Sergulet

  • Участник
  • *
  • Сообщений: 73
Ругается что не найдено :(.Может неправильно сетевые карты настроил?
[root@comp ~]# iptables -A POSTROUTING -o eth1 -j SNAT --to-source eth1_192.168.1.0/24
iptables v1.4.5: Bad IP address "eth1_192.168.1.0/24"

Try `iptables -h' or 'iptables --help' for more information.
[root@comp ~]# iptables -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables: No chain/target/match by that name.
« Последнее редактирование: 10.03.2011 15:26:36 от Sergulet »

Оффлайн palex

  • Участник
  • *
  • Сообщений: 125
Ругается что не найдено :(.Может неправильно сетевые карты настроил?
[root@comp ~]# iptables -A POSTROUTING -o eth1 -j SNAT --to-source eth1_192.168.1.0/24
iptables v1.4.5: Bad IP address "eth1_192.168.1.0/24"

Try `iptables -h' or 'iptables --help' for more information.
[root@comp ~]# iptables -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables: No chain/target/match by that name.
Виноват, я некорректно поумничал. А Вы не обратили внимания, что "eth1_address" было указано как переменная адреса карты eth1 например 192.168.1.1 . Правильнее будет так:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.1Конечно, при условии, что у eth1 такой адрес.
Смысл примерно такой- сказать таблесам, что при поступлении пакета на маршрутизацию с eth0 на eth1 и выходе пакета дальше с eth1 присваивать пакету адрес отправителя якобы от имени eth1.
ИМХО,для понимания лучше настраивать таблесы, редактируя /etc/sysconfig/iptables , есс-но с их рестартом после сохранения файла. Там проще видеть цепочки и правила.
 
http://linuxportal.ru/entry.php/95_0_3_0/
http://www.ingineer.ru/linux/iptables/

в прицепе урезанный пример для форвардинга и маскирования внутренней сети 192.168.1.0(eth0)
« Последнее редактирование: 10.03.2011 17:02:56 от palex »

Оффлайн Sergulet

  • Участник
  • *
  • Сообщений: 73
Пробовал и с "eth1" и без все равно выдает "iptables: No chain/target/match by that name."
Попробую разобраться с маскарадингом. Palex спасибо за помощь.