Office Server 4 - настройка Gateway NAT Proxy

[Drool]

НЕ хотелось бы мусорить в теме, но можете подсказать комманду, чтобы собрать из всего полученного готовый дистриб со всеми настройками и обдейтами на DVD? а то устал для чистоты эксперимента переставлять с нуля (особено кучу дисков монтировать с шарами).
или собирать дистриб  лучше без подключенных доп дисков?

У... Это в рассылку и долго вникать в mkimage

[darknet]

раздел "Вопросы новичков" поэтому и вопрос... Скажите как настроить Gateway NAT Proxy, пожалуйсто подробнее опишите... а то в 4 листах я реально запутался
в локалку 192.168.0.1
в интернет 172.172.17.0.2

[Drool]

раздел "Вопросы новичков" поэтому и вопрос... Скажите как настроить Gateway NAT Proxy, пожалуйсто подробнее опишите... а то в 4 листах я реально запутался
в локалку 192.168.0.1
в интернет 172.172.17.0.2

Стукнитесь в джаббер - настроим.

[Z-Root]

Все там же - конфиг squid и скрипт nat - откуда куда пробрасывать и кого пускать ;)

ТОгда маленький вопрос:
как будет выглядеть добавочная запись в него же типа разрешение порта в инет  IP 192.168.10.100 > tcp 12345 >WAN
и форвардинг обратно DNAT WAN > tcp 3389 > IP 192.168.10.100

зарание Благодарен...)

[Drool]

как будет выглядеть добавочная запись в него же типа разрешение порта в инет  IP 192.168.10.100 > tcp 12345 >WAN
и форвардинг обратно DNAT WAN > tcp 3389 > IP 192.168.10.100

Не совсем понятно. Уточните - Вам нужно пустить снаружи внутрь по определенному порту на определенный IP?

[Z-Root]

Не совсем понятно. Уточните - Вам нужно пустить снаружи внутрь по определенному порту на определенный IP?

Да, но это во второй части вопроса, а в первой открыть определенный порт на выход определенным IP и закрыть все остальные (это правда уже получается 3я задача)
правило:
(0- Proxi по 80 прту для всех(уже работает))
1- IP машины > LAN > NAT(tcp 12345) > WAN(inet)
2- WAN(inet)>NAT(tcp3389)>LAN > IP машины
3-IP всей сети > LAN > NAT(tcp все порты запретить) > WAN(inet)
и по всем этим направлениям логи с локальным временем, а не UTC (не знаю  будут ли они отображаться в WEB интерфейсе как логи прокси, но хотя бы складывались и хранились следующий месяц, а потом затирались...)

[Drool]

Начните с

http://core.nix.bofh.ru/docs/ip/iptables-tutorial.html

[dp]

доброго времени суток...

Поставил Office Server 4.0, свои познания в линуксах оцениваю как "ниже среднего", но "котелок варит"
Произвел первоначальную настройку ftp, smb, dhcp... доволен как слон  :) все работает как часики
с настройкой NAT мучаюсь уже 3й день... 

схема такая:
eth0(192.168.0.2/24) смотрит на ADSL (192.168.0.1/24) с NAT (в альтераторе шлюзом прописан модем, но в ifconfig никак это шлюз не отображается)
eth1(192.168.1.1(24)) смотрит на клиентские машины


разобрался в приведенном выше скрипте (все гениальное - просто :) )
прописал с изменениями на мои сет.интерфейсы и IP
правда squid.conf у меня несколько другой (номера строк не совпадают), разобрался в своем конфиге все прописал...

в результате имеем следующее:
с клиентских машин (шлюзом и DNS-сервером прописан 192.168.1.1) проходит ping ya.ru и ping IP, но http не работает, хотя на web-морду модема заходит...
что самое странное, что на сервере локально при ping ya.ru он не находит такого хоста, а по IP пингуется на УРА...

думаю надо наверно bind как-то подшаманить, только как? - "ума не приложу"... поставил alterator-bind - но он меня как-то не впечатлил... и вобще меня альтератор не впечатлил...но для начальной настройки и настройки специалистами низкого уровня - "ВЕСЧ НУЖНАЯ" ))))

куда копать? какие мысли?
посещали уже мысли настроить модем бриджем....но почитав здесь в форуме как народ убивается с этой настройкой, от таких идей я  отказался...
 

[Salomatin]

думаю надо наверно bind как-то подшаманить, только как? - "ума не приложу"... поставил alterator-bind - но он меня как-то не впечатлил... и вобще меня альтератор не впечатлил...но для начальной настройки и настройки специалистами низкого уровня - "ВЕСЧ НУЖНАЯ" ))))

Посмотрите в сторону:
http://forum.altlinux.org/index.php/topic,964.msg14599.html#msg14599

[Drool]

1. с клиентских машин (шлюзом и DNS-сервером прописан 192.168.1.1) проходит ping ya.ru и ping IP, но http не работает, хотя на web-морду модема заходит...
2. что самое странное, что на сервере локально при ping ya.ru он не находит такого хоста, а по IP пингуется на УРА...

Первое выплывает из второго - если Вы использовали мой инит-скрипт nat - там http заворачивается на сквид, остальные протоколы идут через NAT. У Вас сам сервер не понимает DNS, то и клиентам он http не передаст.
Уточните - что фигурирует в качестве шлюза и DNS на самом сервере? Покажите вывод ifconfig, содержимое инит-скрипта nat, какие изменения сделаны в конфиге сквида?

[dp]

что фигурирует в качестве шлюза и DNS на самом сервере?

ifconfig+squid+bind

Покажите вывод ifconfig

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:15:17:9C:9B:E3
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:314 errors:0 dropped:0 overruns:0 frame:0
          TX packets:310 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:152248 (148.6 KiB)  TX bytes:37439 (36.5 KiB)
          Memory:81a00000-81a20000

eth1      Link encap:Ethernet  HWaddr 00:15:17:9C:9B:E1
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:298416 errors:0 dropped:0 overruns:0 frame:0
          TX packets:299402 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:38001237 (36.2 MiB)  TX bytes:56309700 (53.7 MiB)
          Base address:0x1000 Memory:81920000-81940000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:6140 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6140 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:401479 (392.0 KiB)  TX bytes:401479 (392.0 KiB)

содержимое инит-скрипта nat

Код: [Выделить]

start)
            $0 stop
            echo -n "Starting NAT: "
                iptables -I PREROUTING -t nat -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to 192.168.0.2:3128 \
                && echo 1 > /proc/sys/net/ipv4/ip_forward \
                && iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE \
                && success
            echo
            ;;больше ничего не менял

какие изменения сделаны в конфиге сквида

acl our_networks src 192.168.1.0/24
http_port 3128 transparent
(Только у меня номера строк получилиьс другие,
наверно версии сквида разные)


провел следующий эксперимент:
подключил в свитч(к которому подключен eth1) ADSL(192.168.1.2/24)

Код: [Выделить]

service nat stopчерез eth1 нормально пингует ya.ru


вечером буду разбираться с bind'ом
может еще есть советы куда копать?

[Mikhail]

доброго времени суток...

Произвел первоначальную настройку ftp, smb, dhcp...
А DNS на серере поднял?

(в альтераторе шлюзом прописан модем, но в ifconfig никак это шлюз не отображается)
А как бы и не должен. Шлюзы, это из области маршрутизации.
А что по этому поводу говорит route?

с клиентских машин (шлюзом и DNS-сервером прописан 192.168.1.1)
Еще раз. Ты ДНС на сервере поставил?

с клиентских машин (шлюзом и DNS-сервером прописан 192.168.1.1) проходит ping ya.ru и ping IP
Значит DNS на сервере есть и работает.

но http не работает, хотя на web-морду модема заходит...
На "веб морду" ты заходишь по ип, а на "http" по имени?
Я точно угадал? Значит прокси у тебя настроен и нормально работает, на на сервере есть проблема с DNS.

что на сервере локально при ping ya.ru он не находит такого хоста, а по IP пингуется на УРА...
Во! Проблема в DNS. То что на сервере крутится DNS сервер, еще ничего не значит. Системе нужно сказать, что использовать именно его.

думаю надо наверно bind как-то подшаманить, только как?
Что-то мне кажется, что не нужно. Так, как он нормально работает.
Какой DNS сервер прописан на серевере?
А если прописать 192.168.1.1 Работает?
А если 127.0.0.1 то же работает?

посещали уже мысли настроить модем бриджем....
Правильные мысли.

куда копать? какие мысли?
В адрес DNS сервера, который использует твой сервер.

но почитав здесь в форуме как народ убивается с этой настройкой,
Это обьем темы большой, если выкинуть оттуда все сообщения все не по теме, то ужмется до 3х сообщений.
В которых все четко описано. Два вариатна всего. У каждого свои плюсы и минусы.

от таких идей я  отказался...
Не правильная мысль. Хотя, если модем от циско, то мысль очень правильная, но не понятно тогда зачем сеть пускать еще и через юникс.

"ВЕСЧ НУЖНАЯ"
Что-то мне так не кажется. Может привычка сказывается, все черезтекстовые файлы настраивить.

[Mikhail]

Покажите вывод ifconfig

Не трогайте ifconfig, все с этим свзанное, у Вас настроенно правильно, и рабтает нормально.

содержимое инит-скрипта nat

Э.... А где Вы это взяли? Заталкайте это обратно, и не трогайте больше каку.

через eth1 нормально пингует ya.ru
А вот самое интересное, что в этом вариатне как раз и не должен!

вечером буду разбираться с bind'ом
Не нужно.

может еще есть советы куда копать?
Парой постов раньше написал.

[Drool]

Не трогайте ifconfig, все с этим свзанное, у Вас настроенно правильно, и рабтает нормально.

Э.... А где Вы это взяли? Заталкайте это обратно, и не трогайте больше каку.

А вот самое интересное, что в этом вариатне как раз и не должен!

В отличие от Вас, я хочу видеть комплексную картину, а не тыркаться по обрывочной информации.

[dp]

точно в etc/resolv.conf был прописан 192.168.1.2
потому и все работало когда на этом Ip болтался ADSL через eth1

вечером переставлю модем на eth0 и пропишу его в etc/resolv.conf как DNS
может тогда и нет пока смысла поднимать свой DNS на сервере
а использовать DNS модема?

но не понятно тогда зачем сеть пускать еще и через юникс

шире возможности администрирования
+ в перспективе планируеться подключение еще одного провайдера

немного в офф-топ
стоит ли заморачиваться подключением модема в бридж?
для себя вижу плюсы в следующем:
удобство администрирования, независимость от прошивок модема и ограничения их возможностей ну и соответственно
чем меньше узлов в стурктуре тем все стабильней работает...
из минусов пока только недостаток своих знаний и знаний в области настройки безопасности...