Автор Тема: Office Server 4 - настройка Gateway NAT Proxy (Прочитано 78517 раз)

Z-Root · « : 11.10.2008 00:29:27 »

Установил на еще одном сертифицированном пол линух сревере с нуля Оффис Сервер 4.
(Исправил баг по обдейту из бранча) обновил систему.
попробовал через WEB настроить прокси...
задал:

Код: [Выделить]

Принимать соединения
 	Адрес	Порт
		3128

(это изначальная настройка)

Код: [Выделить]

Допускать сети
 	Диапазон
	192.168.0.0/16

запустил службу, на странице "Сетевой экран" все открыто на внутренней сети и на внешней: конфигуратор, ICMP, SMTP.
проверил пинг с сервера - яндекс с майлом пингуются.
настроил на клиентской машине шлюзом и днс сие тварение и... Браузер через проксю проходит, но пинг (ICMP) нет!
пингуется лишь внутренний и внешний интерфейс, шлюзак сервера уже не виден, не говоря о чем-то дальше.
хотя в правиле внешнего интерфейса >>Таблица filter>>Цепочка stdin
-i eth0 -d x.x.x.x -p icmp -j ACCEPT
-i eth1 -d y.y.y.y -p icmp -j ACCEPT

где еще должны быть правила, о которых WEB интерфейс молчит?
как мне сделать из Офис прокси еще и нормальный шлюз?
попробовал сделать как написано в статье http://heap.altlinux.org/alt-docs/server/proxy_squid/index.html
"Кеширующий прокси-сервер (Squid) / Андрей Горев, Георгий Курячий"

Код: [Выделить]

# iptables  -t NAT -A PREROUTING -p tcp -d 0/0 --dport www  -i eth0 -j DNAT --to 192.168.x.x:3128
iptables v1.3.7: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

тоесть по умолчанию таблици нет? а для кого этот способ?
и что за insmod, с еще более странным MANом

Код: [Выделить]

# man -k insmod
insmod               (8)  - install loadable kernel module
insmod               (8)  - simple program to insert a module into the Linux Kernel

ruslandh · « **Ответ #1 :** 11.10.2008 00:38:36 »

http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html

Z-Root · « **Ответ #2 :** 11.10.2008 02:54:34 »

БлагоДарю!
Вот это по нашему))) сий гранит уже можно и грызть.
приступимс...
PS:вот бы такое ру`ководство по самбе... ;)

Drool · « **Ответ #3 :** 11.10.2008 07:48:46 »

Я для себя закинул готовый конфиг сквида и инит-скрипт для поднятия NAT:
http://fly.osdn.org.ua/~drool/nat_squid.tar.bz2

Там все очевидно

ruslandh · « **Ответ #4 :** 11.10.2008 10:44:38 »

https://www.ibm.com:443/developerworks/ru/edu/samba/

Только боюсь, оно не полное.

А также ищем в FAQ

Z-Root · « **Ответ #5 :** 11.10.2008 22:57:12 »

ммм. нда...
пробую по простому, как в скрипте... (сверив это все с iptables-tutorial.html)

Код: [Выделить]

[root@srv-gtw1 ~]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@srv-gtw1 ~]# iptables -I PREROUTING -t nat -s 192.168.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.3:3128
[root@srv-gtw1 ~]# echo "1" >  /proc/sys/net/ipv4/ip_forward
[root@srv-gtw1 ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
[root@srv-gtw1 ~]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.0.0/16       anywhere            tcp dpt:http to:192.168.10.3:3128

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  0    --  192.168.0.0/16       anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@srv-gtw1 ~]# service iptables restart
iptables firewall is not configured                                                                            [PASSED]
[root@srv-gtw1 ~]# ping ya.ru
PING ya.ru (213.180.204.8) 56(84) bytes of data.
64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=57 time=10.0 ms
64 bytes from ya.ru (213.180.204.8): icmp_seq=2 ttl=57 time=11.2 ms

--- ya.ru ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 10.027/10.623/11.220/0.605 ms
[root@srv-gtw1 ~]#

но при этом с моей машины (клиентской) браузер по 80 порту не проходит и пинг проходит только до внешнего порта сервера и + до внешнего порта второго моего сервера, который стоит в одном свитче с первым (тое сть куда то он таки пропускать стал...), шлюз провайдера уже не доступен.
что не так? и почему # service iptables restart
iptables firewall is not configured

Интересно, почему данный релиз Альта не поддерживает работу сервера в режиме простого шлюза по ICMP??? каким способом проверять выход в инет от клиента, когда он пропадает по вине провайдера?
и каким образом так далеко разошлись в сложности управления Офисный linux от тех же Офисно-Unixo-вых D-Link-ов и Linksys-ов, где эти элементарные задачи простого NAt-Firewal решаются давным давно в три нажатия мышкой.

ruslandh · « **Ответ #6 :** 12.10.2008 00:35:42 »

Цитировать

iptables firewall is not configured

/etc/sysconfig/iptables пустой ?

PS Не смотрел, но вроде есть alterator-firewal

Drool · « **Ответ #7 :** 12.10.2008 00:45:08 »

Обрисуйте:
1. Какой интерфейс смотрит в инет, какой у него IP?
2. Какой интерфейс смотрит в локалку, какой у него IP?

Я правильно понимаю -Ваша задача выпустить локалку в инет?

Z-Root · « **Ответ #8 :** 12.10.2008 12:41:02 »

Цитата: Drool от 12.10.2008 00:45:08

Обрисуйте:
1. Какой интерфейс смотрит в инет, какой у него IP?
2. Какой интерфейс смотрит в локалку, какой у него IP?

1. WAN - 83.x.x.219/29 Eth1
2. LAN - 192.168.10.3/16 Eth0
нужно всю сеть 192.168.0.0/16 выпустить наружу через WAN

вот я только понять не могу, где в Вашем скрипте WAN, там все адреса в сети 192.168 - в инет таких не пущают...

Z-Root · « **Ответ #9 :** 12.10.2008 13:50:40 »

Цитата: ruslandh от 12.10.2008 00:35:42

/etc/sysconfig/iptables пустой ?
PS Не смотрел, но вроде есть alterator-firewal

ндя... учитывая, что внешний IP сервера занят linkSys-ом, через который мне нужно подцепиться впн тунелем, посмотреть это из дома будет гораздо сложнее (из висты уже не получилось). попробую старым добрым ХР с ноута залезть.
вчерашняя битва над iptables-firewal с 16 до 11 ночи закончилась победой последнего над моим здоровьем (полный перегрев моего ЦП) :(

я конечно не смотрел все rpm-ки но firewal точно значится в WEB интерфейсе, с 2 вариантами настроек
1. - для новичков (где в принцыпе все изначально включено, но работает лишь прокси по порту 3128)
2. - для тех у кого не моск а Core 2 duo quad, как минимум, потому что дописать туда хоть что нибуть - это нужно иметь хотябы какой нибуть мануал по этому интерфейсу, (NAT в нем не настроен ни как) и при всех моих часовых попыткакх восстоздать через него те стандартные команды типа
iptables -I PREROUTING -t nat -s 192.168.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.3:3128
он отвечал, что или не понимает значения --dport 80, или --to-destination 192.168.10.3:3128 не соответствует правильности записи самой --to-destination
короче полный бред

,
при этом хелп просто поражает, типа, если вас утомило написание правила маршрутизации, воспользуйтесь стандартным видом управления... (тоесть тем, в котором NAt не работает)

И кстате, там есть кнопка сброса и еще кнопка к возврату дефолтовых настроек - сколько на неё не жал, ни кокаго возврата не наблюдается.

Z-Root · « **Ответ #10 :** 12.10.2008 14:24:11 »

Цитировать

/etc/sysconfig/iptables пустой ?

/etc/sysconfig/iptables:
# iptables firewall config file in iptables-save format.
# DO NOT USE THE -t (table) OPTION IN THIS FILE!

Я вот что подумал:
Может кто нить подскажет обновления из Сизифуса, где есть уже более мене настроенные варианты NAT и Firewall? куда осталось только IP вбить и порты открыть...

ruslandh · « **Ответ #11 :** 12.10.2008 16:06:09 »

Посмотрите ещё это :
http://www.altlinux.org/Etcnet_Firewall

Drool · « **Ответ #12 :** 12.10.2008 17:15:00 »

Цитата: Z-Root от 12.10.2008 12:41:02

1. WAN - 83.x.x.219/29 Eth1
2. LAN - 192.168.10.3/16 Eth0
нужно всю сеть 192.168.0.0/16 выпустить наружу через WAN

вот я только понять не могу, где в Вашем скрипте WAN, там все адреса в сети 192.168 - в инет таких не пущают...

В моем скрипте - WAN это eth0. Итак, в Вашем случае:
Ставим, если не стоят, squid и bind, потом
/etc/squid/squid.conf, строка 2560:

Код: [Выделить]

acl our_networks src 192.168.0.0/16

строка 92:

Код: [Выделить]

http_port 3128 transparent

/etc/rc.d/init.d/nat :

Код: [Выделить]

#!/bin/sh

# chkconfig: 2345 13 89
# description: NAT
. /etc/init.d/functions

case "$1" in
        start)
                $0 stop
                echo -n "Starting NAT: "
                        iptables -I PREROUTING -t nat -s 192.168.0.0/16 -p tcp --dport 80 -j DNAT --to 192.168.10.3:3128 \
                        && echo 1 > /proc/sys/net/ipv4/ip_forward \
                        && iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth1 -j MASQUERADE \
                        && success
                echo
                ;;
        stop)
                echo -n "Stopping NAT: "
                        echo 0 > /proc/sys/net/ipv4/ip_forward \
                        && iptables -t filter -F \
                        && iptables -t filter -X \
                        && iptables -t nat -F \
                        && iptables -t nat -X \
                        && success
                echo
                ;;
        restart)
                $0 stop
                $0 start
                ;;
        list)
                iptables -L -t nat
                ;;
        *)
                echo "Usage: nat {start|stop|restart|list}"
                exit 1
                ;;
esac

exit $RETVAL

service squid restart
service bind restart
service nat restart
chkconfig squid on
chkconfig bind on
chkconfig nat on

По идее все должно работать

Z-Root · « **Ответ #13 :** 14.10.2008 18:28:20 »

Извиняюсь за отсутствие - болел...

Цитата: Drool от 12.10.2008 17:15:00

service squid restart
service bind restart
service nat restart
chkconfig squid on
chkconfig bind on
chkconfig nat on

По идее все должно работать

БлагоДарю.
только как удалить старые настройки
IPtables -F что-то не помогает.

и второе:

Код: [Выделить]

[root@srv-gtw1 ~]# service  bind restart
service: bind: Unrecognized service
[root@srv-gtw1 ~]# service  nat restart
service: nat: Unrecognized service
[root@srv-gtw1 ~]# chkconfig squid on
[root@srv-gtw1 ~]# chkconfig bind on
error reading information on service bind: No such file or directory
[root@srv-gtw1 ~]# chkconfig nat on
error reading information on service nat: No such file or directory

Я так чувствую, что в Office версии Альта много чего нехватает от стандартного сервера....
И с ним, похоже, мало кто работал...

чуть не забыл... 3-й вопрос:
Есть ли полный перечень файлов в которых у Альта задействована настройка таблиц маршрутизации и фаервола, так как вижу множество таких мест, а при этом те настройки, что в WEB интерфейсе и, что в консоли по Iptables ни там, ни там не нахожу...

Код: [Выделить]

/etc/alterator/alterator-firewall-conf
/etc/net/ifaces/default/fw/
/etc/net/scripts/config-fw
/etc/iproute2/
/etc/rc.d/init.d/iptables

...

Drool · « **Ответ #14 :** 14.10.2008 23:07:02 »

Вы забыли установить bind и положить описанный выше инит-скрипт nat в каталог /etc/rc.d/init.d/

Форум сообщества
Альт Линукс