Автор Тема: Alt Linux server 4.0 и the bat 4.0!  (Прочитано 67635 раз)

Drool

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #15 : 11.12.2008 12:46:16 »
Городить огород вместо элементарного NAT?

Городить НАТ вместо элементарного проброса портов? :)

Чем это элементарней? Строчка для iptables по поднятию NAT, имхо, проще чем заворот кишок, т.е. портов :)

Alexei_VM

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #16 : 11.12.2008 12:56:38 »
Чем это элементарней? Строчка для iptables по поднятию NAT, имхо, проще чем заворот кишок, т.е. портов :)

Тем, что и там и там "одна строка", но при этом НАТ натит всё, и в инет лезут аськи/качалки/вирусы. А порты только по нужным сервисам. А остальное по одобрению начальника, с авторизацией, через Сквид, с попутным отрезанием баннеров, и ежемесячной распечаткой логов посещения порносайтов в рабоче время. :)

Drool

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #17 : 11.12.2008 13:11:09 »
...с авторизацией, через Сквид, с попутным отрезанием баннеров, и ежемесячной распечаткой логов посещения порносайтов в рабоче время. :)

И это проще? ;) Я в одной конторе примерно такое же (только авторизация там не нужна) сделал - доступ только до строго ограниченного списка сайтов. И попутно реклама угробилась. Исключительно через squid.conf :) И написали в тексте сообщения сквида что мол низя и все такое, "а если не согласны - обращаться к начальнику аппарата". И все тихо молчат в тряпочку.

Оффлайн SuperVisor

  • Участник
  • *
  • Сообщений: 778
  • разочарован в KDE
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #18 : 13.01.2009 09:53:30 »
Вопрос так и не решили. Пообсасывали варианты и затихли. Напишите, пожалуйста, как пробросить порт? Гугление  и 2 дня мороки к успеху не привели. Почему-то такая банальная задача не освещена толком и прямым текстом. Ведь, как понимаю, чтобы сделать проброс порта достаточно одной-двух команд iptables.

Drool

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #19 : 13.01.2009 10:05:18 »
Вопрос так и не решили. Пообсасывали варианты и затихли. Напишите, пожалуйста, как пробросить порт? Гугление  и 2 дня мороки к успеху не привели. Почему-то такая банальная задача не освещена толком и прямым текстом. Ведь, как понимаю, чтобы сделать проброс порта достаточно одной-двух команд iptables.

Она освещена даже в \том топаке на первой странице:
http://forum.altlinux.org/index.php/topic,1197.msg18133.html#msg18133
и я уже не раз показывал как я делаю роутинг для выхода внутренней сети в инет вместе с почтой:
http://forum.altlinux.org/index.php?action=search2;params=YWR2YW5jZWR8J3wwfCJ8YnJkfCd8MTEsMSwyLDMsNCwxMiw1LDYsNyw4LDksMTAsMTMsMTR8InxzaG93X2NvbXBsZXRlfCd8fCJ8c3ViamVjdF9vbmx5fCd8fCJ8c29ydHwnfHJlbGV2YW5jZXwifHNvcnRfZGlyfCd8ZGVzY3wifHNlYXJjaHwnfG5hdF9zcXVpZC50YXIuYnoy

Оффлайн SuperVisor

  • Участник
  • *
  • Сообщений: 778
  • разочарован в KDE
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #20 : 13.01.2009 12:00:24 »
и всё-таки я поддерживаю Alexei_VM : зачем пускать в инет всё подряд через NAT, если нужно всего-лишь  25 и 110 порты открыть для одного-единственного почтового сервера, к которому обращается клиентская программулина?

Drool

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #21 : 13.01.2009 12:27:33 »
зачем пускать в инет всё подряд через NAT, если нужно всего-лишь  25 и 110 порты открыть для одного-единственного почтового сервера, к которому обращается клиентская программулина?

Мое мнение - а что подразумевается под словом все? Те же браузеры и почтовики, ну и всякие аськи-шмаськи. Так они у Вас, наверное, и так пущены. Во-вторых - к примеру на gmail.com это ни разу не 25 и 110.

Оффлайн SuperVisor

  • Участник
  • *
  • Сообщений: 778
  • разочарован в KDE
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #22 : 13.01.2009 12:38:22 »
а вот и нет. лично мне нужно чтобы одна-единственная бухгалтерская программа могла ходить на свой сервер в инете. и я не хочу чтобы на этом компе были аськи/шмаськи/браузеры/шмаузеры

Drool

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #23 : 13.01.2009 13:15:31 »
а вот и нет. лично мне нужно чтобы одна-единственная бухгалтерская программа могла ходить на свой сервер в инете. и я не хочу чтобы на этом компе были аськи/шмаськи/браузеры/шмаузеры

Ну, тогда что-то типа
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 25 -j DNAT -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 110 -j DNAT -o eth0 -j MASQUERADE
при условии что интерфейс в интернет на раздающей машине - это eth0. Пусть знатоки поправят, я в iptables не ковырялся больше, чем мне нужно.

Оффлайн Andrey

  • Участник
  • *
  • Сообщений: 734
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #24 : 13.01.2009 13:16:55 »
SNAT

Drool

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #25 : 13.01.2009 13:20:41 »
SNAT

Вместо DNAT? А остальное?

Оффлайн Andrey

  • Участник
  • *
  • Сообщений: 734
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #26 : 13.01.2009 13:24:54 »
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 25 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 110 -o eth0 -j MASQUERADE

Drool

  • Гость
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #27 : 13.01.2009 13:26:03 »
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 25 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 110 -o eth0 -j MASQUERADE

Это будет работать при динамическом внешнем IP?

Оффлайн SuperVisor

  • Участник
  • *
  • Сообщений: 778
  • разочарован в KDE
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #28 : 15.01.2009 10:46:07 »
вот тут: http://www.iptables.ru/index.html нашел отличное описание настройки с примерами. Очень помогло. Мой конфиг:
*nat
:PREROUTING ACCEPT [595:31499]
:POSTROUTING ACCEPT [105:7702]
:OUTPUT ACCEPT [105:7702]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Jan 15 12:55:14 2009
# Generated by iptables-save v1.3.7 on Thu Jan 15 12:55:14 2009
*mangle
:PREROUTING ACCEPT [1169:139531]
:INPUT ACCEPT [1169:139531]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1235:109722]
:POSTROUTING ACCEPT [1236:109951]
COMMIT
# Completed on Thu Jan 15 12:55:14 2009
# Generated by iptables-save v1.3.7 on Thu Jan 15 12:55:14 2009
*filter
:INPUT ACCEPT [1168:139302]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1235:109722]
-A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
-A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.11 -p icmp -i lan -j ACCEPT
-A FORWARD -d 192.168.1.11 -p icmp -o lan -j ACCEPT
-A FORWARD -s 192.168.1.11 -p udp -m udp --dport 53 -i lan -j ACCEPT
-A FORWARD -d 192.168.1.11 -p udp -m udp --sport 53 -o lan -j ACCEPT
-A FORWARD -s 192.168.1.11 -p tcp -m multiport --dports 25,110 -i lan -j ACCEPT
-A FORWARD -d 192.168.1.11 -p tcp -m multiport --sports 25,110 -o lan -j ACCEPT
-A FORWARD -s 192.168.1.11 -p ! icmp -m state --state INVALID -i lan -j DROP
-A FORWARD -d 192.168.1.11 -p ! icmp -m state --state INVALID -o lan -j DROP
-A FORWARD -o ppp0 -j DROP
-A FORWARD -o lan -j DROP

COMMIT

192.168.1.11 -  клиентская машина
lan - переименованный iftab-ом eth0
ppp0 - внешний интерфейс

Пускает клиента 192.168.1.11 в интернет по портам 25 и 110, т.е. почтовики.
На клиентской машине нужно прописать шлюз: ip-адрес интерфейса lan (у меня это 192.168.1.1) и ДНС серверы провайдера.

Оффлайн sasa13e

  • Участник
  • *
  • Сообщений: 11
Re: Alt Linux server 4.0 и the bat 4.0!
« Ответ #29 : 16.07.2009 14:49:57 »
Цитировать
Потом
apt-get install bind
service squid restart
service bind restart
и чтоб они стартовали автоматом при включении
chkconfig squid on
chkconfig bind on
Аналогичные действия провести над nat

bash вот что мне выдал
Цитировать
[root@gt ~]# service nat start
/sbin/service: /etc/init.d/nat: /bin/sh^M: bad interpreter: No such file or directory
сижу теперь и загадочно чешу репу...
« Последнее редактирование: 16.07.2009 15:55:39 от Skull »