Masquerading - Пингвинятник (ОС *NIX)

lyuq · 16.12.2003, 17:52

Настроил тут маскарадинг через iptables, интернет хосты отлично пингуются, а через браузер никуда не вылезти, кто-нибудь знает в чем может быть проблема?

Doctorrr · 16.12.2003, 18:40

В любом случае -

конфиг в студию!

lyuq · 16.12.2003, 18:47

я не большой спец в этом, надеюсь будет достаточно:

[root@others lyuq]# iptables --list
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[root@others lyuq]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:192.168.2.67

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

InsaneX · 16.12.2003, 23:43

%cat /etc/resolv.conf
nameserver 10.0.0.1

propishi dns tuda i budet vse ok

lyuq · 17.12.2003, 15:50

Спасибо за совет, но проблема оказалась не в Linux сервере (с настройками dns все Ok' и на нем dns тоже установлен), просто юзера не прописали наш прокси в настройках браузера, а я сначала и не посмотрел...

Doctorrr · 17.12.2003, 15:54

>юзера не прописали наш прокси в настройках браузера

Ты когда эту тему открыл, я хотел было сказать... но, думаю, вдруг обижу человека

lyuq · 17.12.2003, 19:49

И еще вопрос в догонку, как сделать, чтобы правила iptables сохранялись после перезагрузки?

Gennadi · 17.12.2003, 22:06

1.Создай файл "firewall"

touch firewall

2. Открой этот файл и напиши там следующее:

=================================
#!/bin/bash

case "$1" in
start)
echo "Starte IP-Paketfilter"

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp

# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Default-Policies установить
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#################################
# Здесь записываешь свои iptables-правила для твоего firewall'а
#
iptables **********
iptables **********
iptables **********
iptables **********
.... и так далее.....

#################################
;;

stop)
echo "Stoppe IP-Paketfilter"
# Tabelle flushen
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward

# Default-Policies установить
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;

status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;

*)
echo "Bad run"
echo "Syntax: $0 {start|stop|status}"
exit 1
;;

esac
=================================

Потом выполни следующие приказы:

cp firewall /etc/init.d
chmod 755 /etc/init.d/firewall
ln -s /etc/init.d/firewall /sbin/rcfirewall
chkconfig -a firewall
rcfirewall start
rcfirewall status
rcfirewall stop

Что бы этот firewall стартовал как демон при старте Linux'a,
нужно создать символические линки ( .. например ) для runlevel 3 и 5:

ln -s /etc/init.d/firewall /etc/init.d/rc3.d/K02firewall
ln -s /etc/init.d/firewall /etc/init.d/rc3.d/S19firewall
ln -s /etc/init.d/firewall /etc/init.d/rc5.d/K02firewall
ln -s /etc/init.d/firewall /etc/init.d/rc5.d/S19firewall

где S01*,S02*,... S02firewall,.. S099* означает - в какой последовательности стартуют демоны при старте OS,
К01*,К02*,... К02firewall,.. К099* означает - в какой последовательности отключаются демоны при выключении OS,
S - start
K - kill

.. ну а дальше думай....

lyuq · 17.12.2003, 22:41

Gennadi
Спасибо!

16.12.2003, 17:52	# 1
lyuq Member Регистрация: 15.06.2003 Адрес: underneath it all Пол: Male Сообщения: 348	Masquerading Настроил тут маскарадинг через iptables, интернет хосты отлично пингуются, а через браузер никуда не вылезти, кто-нибудь знает в чем может быть проблема? __________________ Сердце раскололось на тысячи искр, разжигая огонь угасающих глаз, бесконечно смотрящих на холодный свет звезд, не знающих страсти, любви и печали.(c)я

16.12.2003, 18:40	# 2
Doctorrr Junior Member Регистрация: 28.07.2003 Адрес: Moscow Сообщения: 100	В любом случае - конфиг в студию! __________________ С уважением, Doctorrr

16.12.2003, 18:47	# 3
lyuq Member Регистрация: 15.06.2003 Адрес: underneath it all Пол: Male Сообщения: 348	я не большой спец в этом, надеюсь будет достаточно: [root@others lyuq]# iptables --list Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@others lyuq]# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- anywhere anywhere to:192.168.2.67 Chain OUTPUT (policy ACCEPT) target prot opt source destination __________________ Сердце раскололось на тысячи искр, разжигая огонь угасающих глаз, бесконечно смотрящих на холодный свет звезд, не знающих страсти, любви и печали.(c)я

16.12.2003, 23:43	# 4
InsaneX ::VIP:: Регистрация: 15.12.2002 Адрес: Spain Сообщения: 500	%cat /etc/resolv.conf nameserver 10.0.0.1 propishi dns tuda i budet vse ok __________________ hm. I've lost a machine.. literally _lost_. it responds to ping, it works completely, I just can't figure out where in my apartment it is.

17.12.2003, 15:50	# 5
lyuq Member Регистрация: 15.06.2003 Адрес: underneath it all Пол: Male Сообщения: 348	Спасибо за совет, но проблема оказалась не в Linux сервере (с настройками dns все Ok' и на нем dns тоже установлен), просто юзера не прописали наш прокси в настройках браузера, а я сначала и не посмотрел... __________________ Сердце раскололось на тысячи искр, разжигая огонь угасающих глаз, бесконечно смотрящих на холодный свет звезд, не знающих страсти, любви и печали.(c)я

17.12.2003, 15:54	# 6
Doctorrr Junior Member Регистрация: 28.07.2003 Адрес: Moscow Сообщения: 100	>юзера не прописали наш прокси в настройках браузера Ты когда эту тему открыл, я хотел было сказать... но, думаю, вдруг обижу человека __________________ С уважением, Doctorrr

17.12.2003, 19:49	# 7
lyuq Member Регистрация: 15.06.2003 Адрес: underneath it all Пол: Male Сообщения: 348	И еще вопрос в догонку, как сделать, чтобы правила iptables сохранялись после перезагрузки? __________________ Сердце раскололось на тысячи искр, разжигая огонь угасающих глаз, бесконечно смотрящих на холодный свет звезд, не знающих страсти, любви и печали.(c)я

17.12.2003, 22:06	# 8
Gennadi Member Регистрация: 26.08.2002 Адрес: Germany Сообщения: 232	1.Создай файл "firewall" touch firewall 2. Открой этот файл и напиши там следующее: ================================= #!/bin/bash case "$1" in start) echo "Starte IP-Paketfilter" modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_irc modprobe ip_conntrack_ftp # Tabelle flushen iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # Default-Policies установить iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ################################# # Здесь записываешь свои iptables-правила для твоего firewall'а # iptables ******** iptables ****** iptables ****** iptables ******** .... и так далее..... ################################# ;; stop) echo "Stoppe IP-Paketfilter" # Tabelle flushen iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X echo "Deaktiviere IP-Routing" echo 0 > /proc/sys/net/ipv4/ip_forward # Default-Policies установить iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ;; status) echo "Tabelle filter" iptables -L -vn echo "Tabelle nat" iptables -t nat -L -vn echo "Tabelle mangle" iptables -t mangle -L -vn ;; ) echo "Bad run" echo "Syntax: $0 {start\|stop\|status}" exit 1 ;; esac ================================= Потом выполни следующие приказы: cp firewall /etc/init.d chmod 755 /etc/init.d/firewall ln -s /etc/init.d/firewall /sbin/rcfirewall chkconfig -a firewall rcfirewall start rcfirewall status rcfirewall stop Что бы этот firewall стартовал как демон при старте Linux'a, нужно создать символические линки ( .. например ) для runlevel 3 и 5: ln -s /etc/init.d/firewall /etc/init.d/rc3.d/K02firewall ln -s /etc/init.d/firewall /etc/init.d/rc3.d/S19firewall ln -s /etc/init.d/firewall /etc/init.d/rc5.d/K02firewall ln -s /etc/init.d/firewall /etc/init.d/rc5.d/S19firewall где S01,S02,... S02firewall,.. S099 означает - в какой последовательности стартуют демоны при старте OS, К01,К02,... К02firewall,.. К099* означает - в какой последовательности отключаются демоны при выключении OS, S - start K - kill .. ну а дальше думай.... __________________ Я - root, мне всё разрешено... ... и это тоже echo "I am king" \| perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-\|}<&\|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' & Последний раз редактировалось Gennadi; 17.12.2003 в 22:08.

17.12.2003, 22:41	# 9
lyuq Member Регистрация: 15.06.2003 Адрес: underneath it all Пол: Male Сообщения: 348	Gennadi Спасибо! __________________ Сердце раскололось на тысячи искр, разжигая огонь угасающих глаз, бесконечно смотрящих на холодный свет звезд, не знающих страсти, любви и печали.(c)я