Настройка маршрутов и IPTABLES

[burtom]

Нашел интересую статью по настройке как раз того, что мне нужно.

1.  Я все так так и не понял про домен. Я сделал shkola. Эт оя так понимаю одноуровневый. Но есть рекомендация не создавать ткие домен. Тогда какой домен мне сделать? kombunat.network подойдет?

2. Про настройку доступа к web морде сервер из вне я понял, но есть ли какой-нибудь механизм ходить через pytty на мой сервер при доступном для меня 80 порту?  Или устновить необходимые web морды для всех сервисов?

3. Про postfix проясните. Я так понял что сервер приема почты. Но я хочу сделать вот что. Создать внутренний почтовый сервер для всех пользоваталей. Сделать web интерфейс для управления почтой. Дать доступ только для определенной группы пользоваталей на отправку  почту наружу. Почта первоначально будет собираться на внешнем почтовом сервере (google) с доменом типа domen.ru.  То есть я буду заводить пользователей как на внутреннем почтовом сервере, так и через интерфейс управления google почтой. Почему google? Потому что у нее навороченный спам фильтр.

[burtom]

Вот тут кое-что записал с экрана.
http://forum.altlinux.org/index.php/topic,6283.0.html

Видео полезное, но честно говоря плохое качество. Можешь выложить куда-нибудь в нормальном качестве?

Что сделал сегодня. Обновил дистр, и закачал какие то обновления из репозитория. Стал более уверенно чувствовать себя в консоли ))

Попробовал пойти по статье, которую приводил выше. Добавил маршруты и настроил iptables. Но как и всегда сразу все не заработало.
Конфа сети:
1. 192.168.0.100 - IP внешнего интерфейса
2. 192.168.0.200 - IP внутреннего интерфейса
3. 192.168.0.5 - IP клиента (на клиенте шлюз 192.168.0.200, DNS такой же)
DNS на Linux пока не поднимал.
Маршруты имеем следующее:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
irk-bbar1.ncc.s *               255.255.255.255 UH    0      0        0 ppp1
192.168.1.0     *               255.255.255.0   U     0      0        0 breth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp1

В IPTABLES:

[root@server ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/24       anywhere
SNAT       all  --  192.168.0.5          anywhere            to:192.168.0.100

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@server ~]#

Что то из этого настроено не правильно. Поправьте ))

[ruslandh]

Кто поможет с маршрутами и брандмауэром?

Заведите отдельную тему. В маленьких темах работы решаются быстрее. Не понял о какой статье речь и как вы настраивали. У меня на демонстрационном сервере выдаёт

MASQUERADE  all  --     anywhere     anywhere

[burtom]

Попробовал пойти по статье. Добавил маршруты и настроил iptables. Но как и всегда сразу все не заработало.
Конфа сети:
1. 192.168.0.100 - IP внешнего интерфейса
2. 192.168.0.200 - IP внутреннего интерфейса
3. 192.168.0.5 - IP клиента (на клиенте шлюз 192.168.0.200, DNS такой же)
DNS на Linux пока не поднимал.
Маршруты имеем следующее:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
irk-bbar1.ncc.s *               255.255.255.255 UH    0      0        0 ppp1
192.168.1.0     *               255.255.255.0   U     0      0        0 breth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp1

В IPTABLES:

[root@server ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/24       anywhere
SNAT       all  --  192.168.0.5          anywhere            to:192.168.0.100

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@server ~]#

Что то из этого настроено не правильно. Поправьте ))

[ruslandh]

Статья уж очень сомнительная - чувствуется, автор особо не разбирался с etcnet.
1 Маршруты надо прописывать в настройках etcnet, а не в /etc/rc.d/rc (что может снестись при обновлении)
(в файле /etc/net/ifaces/eth0/ipv4route для etc0)
2. Если установил альтератор файервола, то логично из него настраивать.
3. Или в лес или на реку - зачем вы одновременно установили и правило SNAT и MASQUERADE  (и опять - зачем save и restore, если всё это есть внутри etcnet, тем более, что из альтератора это настраивается элементарно).
Чувствуется, что автор статьи осбо с ALT Linuх дистрибутивами не работал, специфику etcnet знает слабо.
4. для простых задач BIND лучше настраивать из центра управления.

PS Что неправильно - скорее всего, что вы одновременно используете и SNAT и MASQUERADE. Вроде правила читабтся сверху вниз, до SNAT дело не доходит.

PPS не считаю себя специалистом по iptables.

[black_13]

Какая маска на клиенте? Почему сначала в таблице нат маскарад? Зачем он там нужен? До SNAT дело же не доходит! Короче бред какойто. И еще вы ничего не сказали про цепочку FORWARDING и про включенный/выключенный forwarding в sysctl.

[MisHel64]

Конфа сети:
1. 192.168.0.100 - IP внешнего интерфейса
2. 192.168.0.200 - IP внутреннего интерфейса
3. 192.168.0.5 - IP клиента (на клиенте шлюз 192.168.0.200, DNS такой же)

Вот здесь точно нет ошибки?
Во первых, для нормальной работы сквида вовсе не обязательно иметь два адреса, и два интерфейса.
Во вторых. Если делает два интерфейса, то разнесите их по разным сетям.

И далее.
Если я все правильно понял.
У вас есть KVM? Если нет, то зачем вам BRETH0? Что к нему вообще подключено?
Я правильно понял, что инет приходит через PPP1 интерфейс, а локальная сеть подключена к ETH1?
Тогда внутренний интерфейс будет ETH1, а внешний PPP1 для сквида, если он стоит на той же машине.
Зачем вам SNAT и что вы хотели этим сказать? Если и маршруты и настройки пакетника с одной машины, то это правило написано не верно.
Адрес источника из локальной сети должен заменяться на адрес внешнего интерфейса. И необходимо проверять, откуда пришло, и куда собирается уйти.

[MisHel64]

up

Вы бы точно указали сколько у вас сетевых интерфейсов. Судя по логике их три.
И точно указали сеть и маску для каждого интерфейса.
Ошибка сразу будет видна.
IMHO их тут не менее трех. Основная причина, слабое владение сетями.

[black_13]

Во вторых. Если делает два интерфейса, то разнесите их по разным сетям.

Маска то не приведена :) Поэтому они могут быть и в разных сетях.

[MisHel64]

Во вторых. Если делает два интерфейса, то разнесите их по разным сетям.

Маска то не приведена :) Поэтому они могут быть и в разных сетях.

Прошу прощения, а вы прочитали весь топик?
Маршруты видели?
Судя по маршрутам они в одной сети.

[PSV]

Извиняюсь, но подскажите, как же включить дхцп для одного интерфейса? Если у меня не один сервер, то нет смысла всех делать статик IP!

[burtom]

Много всего понаписали ))

Ответы на вопросы:
1. BRETH0 - внешняя сетевая ))
2. eth1 - внутренняя сетевая
3. Маска везде 255.255.255.0
4. И-нет через ETTH (соединение поднимается через PPOE)
5. Про SNAT я вычитал в статье, которую уже приводил ))
6. Мне как такой он не нужен ))

Итак, по порядку:
1. Оставляем одну сетевую eth1 (ее IP будет 192.168.0.100)
2. Тогда я так понимаю, внешним интерфейсом будет PPP1 ?
3. Маска везде 255.255.255.0

В таком случае какие правила нужно добавить чтобы все изнутри ходило куда угодно? Пока рассматриваем вариант без использования прокси.

[black_13]

Судя по маршрутам они в одной сети.

Точно ... сорри не заметил .... Ржу-немагу  :D :D :D

[MisHel64]

Извиняюсь, но подскажите, как же включить дхцп для одного интерфейса? Если у меня не один сервер, то нет смысла всех делать статик IP!

Ответ есть в мане, в разделе про командную строку.

[MisHel64]

Итак, по порядку:
1. Оставляем одну сетевую eth1 (ее IP будет 192.168.0.100)
2. Тогда я так понимаю, внешним интерфейсом будет PPP1 ?
3. Маска везде 255.255.255.0
В таком случае какие правила нужно добавить чтобы все изнутри ходило куда угодно? Пока рассматриваем вариант без использования прокси.

BRETH0 это ну ни разу не сетевая карта. А бридж, если мне память не изменяет, который вам совершенно не нужен.
Для поднятия PPPoE соединения вовсе не требуется TCP/IP стек. Разве что для доступа к модему его оставить.
Если две сетевые смотрят в разные физические сети, то и IP адреса должны быть из разных сетей.
Правило для пакетного фильтра должно выглядеть следующим образом:
"Если пакет пришел из локальной сети, и собирается уйти наружу, то заменить адрес источника на адрес внешнего интерфейса". Все. Переводите эту фразу на язык пакетного фильтра.