Автор Тема: Alt Linux server 4.0 и the bat 4.0! (Прочитано 67635 раз)

Drool · « **Ответ #15 :** 11.12.2008 12:46:16 »

Цитата: Alexei_VM от 11.12.2008 12:37:14

Цитата: Drool от 11.12.2008 09:26:04
Городить огород вместо элементарного NAT?

Городить НАТ вместо элементарного проброса портов? :)

Чем это элементарней? Строчка для iptables по поднятию NAT, имхо, проще чем заворот кишок, т.е. портов :)

Alexei_VM · « **Ответ #16 :** 11.12.2008 12:56:38 »

Цитата: Drool от 11.12.2008 12:46:16

Чем это элементарней? Строчка для iptables по поднятию NAT, имхо, проще чем заворот кишок, т.е. портов :)

Тем, что и там и там "одна строка", но при этом НАТ натит всё, и в инет лезут аськи/качалки/вирусы. А порты только по нужным сервисам. А остальное по одобрению начальника, с авторизацией, через Сквид, с попутным отрезанием баннеров, и ежемесячной распечаткой логов посещения порносайтов в рабоче время. :)

Drool · « **Ответ #17 :** 11.12.2008 13:11:09 »

Цитата: Alexei_VM от 11.12.2008 12:56:38

...с авторизацией, через Сквид, с попутным отрезанием баннеров, и ежемесячной распечаткой логов посещения порносайтов в рабоче время. :)

И это проще? ;) Я в одной конторе примерно такое же (только авторизация там не нужна) сделал - доступ только до строго ограниченного списка сайтов. И попутно реклама угробилась. Исключительно через squid.conf :) И написали в тексте сообщения сквида что мол низя и все такое, "а если не согласны - обращаться к начальнику аппарата". И все тихо молчат в тряпочку.

SuperVisor · « **Ответ #18 :** 13.01.2009 09:53:30 »

Вопрос так и не решили. Пообсасывали варианты и затихли. Напишите, пожалуйста, как пробросить порт? Гугление и 2 дня мороки к успеху не привели. Почему-то такая банальная задача не освещена толком и прямым текстом. Ведь, как понимаю, чтобы сделать проброс порта достаточно одной-двух команд iptables.

Drool · « **Ответ #19 :** 13.01.2009 10:05:18 »

Цитата: SuperVisor от 13.01.2009 09:53:30

Вопрос так и не решили. Пообсасывали варианты и затихли. Напишите, пожалуйста, как пробросить порт? Гугление и 2 дня мороки к успеху не привели. Почему-то такая банальная задача не освещена толком и прямым текстом. Ведь, как понимаю, чтобы сделать проброс порта достаточно одной-двух команд iptables.

Она освещена даже в \том топаке на первой странице:
http://forum.altlinux.org/index.php/topic,1197.msg18133.html#msg18133
и я уже не раз показывал как я делаю роутинг для выхода внутренней сети в инет вместе с почтой:
http://forum.altlinux.org/index.php?action=search2;params=YWR2YW5jZWR8J3wwfCJ8YnJkfCd8MTEsMSwyLDMsNCwxMiw1LDYsNyw4LDksMTAsMTMsMTR8InxzaG93X2NvbXBsZXRlfCd8fCJ8c3ViamVjdF9vbmx5fCd8fCJ8c29ydHwnfHJlbGV2YW5jZXwifHNvcnRfZGlyfCd8ZGVzY3wifHNlYXJjaHwnfG5hdF9zcXVpZC50YXIuYnoy

SuperVisor · « **Ответ #20 :** 13.01.2009 12:00:24 »

и всё-таки я поддерживаю Alexei_VM : зачем пускать в инет всё подряд через NAT, если нужно всего-лишь 25 и 110 порты открыть для одного-единственного почтового сервера, к которому обращается клиентская программулина?

Drool · « **Ответ #21 :** 13.01.2009 12:27:33 »

Цитата: SuperVisor от 13.01.2009 12:00:24

зачем пускать в инет всё подряд через NAT, если нужно всего-лишь 25 и 110 порты открыть для одного-единственного почтового сервера, к которому обращается клиентская программулина?

Мое мнение - а что подразумевается под словом все? Те же браузеры и почтовики, ну и всякие аськи-шмаськи. Так они у Вас, наверное, и так пущены. Во-вторых - к примеру на gmail.com это ни разу не 25 и 110.

SuperVisor · « **Ответ #22 :** 13.01.2009 12:38:22 »

а вот и нет. лично мне нужно чтобы одна-единственная бухгалтерская программа могла ходить на свой сервер в инете. и я не хочу чтобы на этом компе были аськи/шмаськи/браузеры/шмаузеры

Drool · « **Ответ #23 :** 13.01.2009 13:15:31 »

Цитата: SuperVisor от 13.01.2009 12:38:22

а вот и нет. лично мне нужно чтобы одна-единственная бухгалтерская программа могла ходить на свой сервер в инете. и я не хочу чтобы на этом компе были аськи/шмаськи/браузеры/шмаузеры

Ну, тогда что-то типа

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 25 -j DNAT -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 110 -j DNAT -o eth0 -j MASQUERADE

при условии что интерфейс в интернет на раздающей машине - это eth0. Пусть знатоки поправят, я в iptables не ковырялся больше, чем мне нужно.

Andrey · « **Ответ #24 :** 13.01.2009 13:16:55 »

Drool · « **Ответ #25 :** 13.01.2009 13:20:41 »

Цитата: Andrey от 13.01.2009 13:16:55

SNAT

Вместо DNAT? А остальное?

Andrey · « **Ответ #26 :** 13.01.2009 13:24:54 »

iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 25 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 110 -o eth0 -j MASQUERADE

Drool · « **Ответ #27 :** 13.01.2009 13:26:03 »

Цитата: Andrey от 13.01.2009 13:24:54

iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 25 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s IP-адрес-бухгалтерской-машины -p tcp --dport 110 -o eth0 -j MASQUERADE

Это будет работать при динамическом внешнем IP?

SuperVisor · « **Ответ #28 :** 15.01.2009 10:46:07 »

вот тут: http://www.iptables.ru/index.html нашел отличное описание настройки с примерами. Очень помогло. Мой конфиг:

Код: [Выделить]

*nat
:PREROUTING ACCEPT [595:31499]
:POSTROUTING ACCEPT [105:7702]
:OUTPUT ACCEPT [105:7702]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Jan 15 12:55:14 2009
# Generated by iptables-save v1.3.7 on Thu Jan 15 12:55:14 2009
*mangle
:PREROUTING ACCEPT [1169:139531]
:INPUT ACCEPT [1169:139531]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1235:109722]
:POSTROUTING ACCEPT [1236:109951]
COMMIT
# Completed on Thu Jan 15 12:55:14 2009
# Generated by iptables-save v1.3.7 on Thu Jan 15 12:55:14 2009
*filter
:INPUT ACCEPT [1168:139302]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1235:109722]
-A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options
-A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.11 -p icmp -i lan -j ACCEPT
-A FORWARD -d 192.168.1.11 -p icmp -o lan -j ACCEPT
-A FORWARD -s 192.168.1.11 -p udp -m udp --dport 53 -i lan -j ACCEPT
-A FORWARD -d 192.168.1.11 -p udp -m udp --sport 53 -o lan -j ACCEPT
-A FORWARD -s 192.168.1.11 -p tcp -m multiport --dports 25,110 -i lan -j ACCEPT
-A FORWARD -d 192.168.1.11 -p tcp -m multiport --sports 25,110 -o lan -j ACCEPT
-A FORWARD -s 192.168.1.11 -p ! icmp -m state --state INVALID -i lan -j DROP
-A FORWARD -d 192.168.1.11 -p ! icmp -m state --state INVALID -o lan -j DROP
-A FORWARD -o ppp0 -j DROP
-A FORWARD -o lan -j DROP

COMMIT

192.168.1.11 - клиентская машина
lan - переименованный iftab-ом eth0
ppp0 - внешний интерфейс

Пускает клиента 192.168.1.11 в интернет по портам 25 и 110, т.е. почтовики.
На клиентской машине нужно прописать шлюз: ip-адрес интерфейса lan (у меня это 192.168.1.1) и ДНС серверы провайдера.

sasa13e · « **Ответ #29 :** 16.07.2009 14:49:57 »

Цитировать

Потом
Код: [Выделить]
apt-get install bind service squid restart service bind restartи чтоб они стартовали автоматом при включении
Код: [Выделить]
chkconfig squid on chkconfig bind onАналогичные действия провести над nat

bash вот что мне выдал

Цитировать

[root@gt ~]# service nat start
/sbin/service: /etc/init.d/nat: /bin/sh^M: bad interpreter: No such file or directory

сижу теперь и загадочно чешу репу...

Форум сообщества
Альт Линукс