[Comm] Настройка NAT

[Comm] Настройка NAT

[Maria Shakhova]

Уважаемое комьюнити!

Помогите советом... 
Есть локальная сеть, есть роутер под Linux c 2 сетевыми картами,1 смотрит в локальную сеть ,вторая --в интернет (соединение через ADSL) необходимо сделать так, чтобы все люди в локальной сети могли получать и отправлять почту и пользоваться ICQ. Но у меня не получается настроить nat.
Настраиваю я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей, строки 

echo 1 > /proc/sys/net/ipv4/ip_forward

и 

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166

но почта не работает.... Чтение man iptables, iptables reference и сообщений на различных форумах не просветлила...Что я делаю не так?

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:80:48:1B:A2:02  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3505 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3152 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:391504 (382.3 Kb)  TX bytes:2159393 (2.0 Mb)
          Interrupt:11 Base address:0x6000 

eth1      Link encap:Ethernet  HWaddr 00:80:48:1C:26:B7  
          inet addr:81.195.221.166  Bcast:81.195.221.167  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6290 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6060 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:5194639 (4.9 Mb)  TX bytes:598094 (584.0 Kb)
          Interrupt:5 Base address:0xf000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4106 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4106 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:2134347 (2.0 Mb)  TX bytes:2134347 (2.0 Mb)
-- 
С уважением, 
Мария

Re: [Comm] Настройка NAT

[Sergey Solomonov]

7 Май 2003 16:11, Maria Shakhova написал:

> но почта не работает.... Чтение man iptables, iptables

Почтовый сервер на этой машине или где-то?
Порты tcp 25, 110 открыты iptables?

----
Соломонов С.Н.

Re: [Comm] Настройка NAT

[Arkadiy Pavlik]

В сообщении от 7 Май 2003 23:11 Maria Shakhova написал(a):

> > Помогите советом...
> Есть локальная сеть, есть роутер под Linux c 2 сетевыми картами,1 смотрит в
> локальную сеть ,вторая --в интернет (соединение через ADSL) необходимо
> сделать так, чтобы все люди в локальной сети могли получать и отправлять
> почту и пользоваться ICQ. Но у меня не получается настроить nat. Настраиваю
> я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей,
> строки

Вот скрипт бы и увидеть... В остальном большого криминала нет.

> iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166

Поскольку этот адрес на карте один, то это правило лишнее. По идее, оно не 
мешает, просто лишнее.

> но почта не работает.... Чтение man iptables, iptables reference и
> сообщений на различных форумах не просветлила...Что я делаю не так?

Скорей всего что-то в том скрипте "собачьем" :) криво сгенерировалось...
Лучше поискать "iptables tutorial"! Есть уже и на русском. Там, кстати, и 
примеров рабочих много.

-- 
С наилучшими пожеланиями,
Аркадий Павлик

Re: [Comm] Настройка NAT

[Yuri Hramov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 671 bytes --]

В сообщении от 7 Май 2003 16:11 Maria Shakhova написал:

> почту и пользоваться ICQ. Но у меня не получается настроить nat. Настраиваю
> я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей,
> строки
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> и
>
> iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166
>
> но почта не работает.... Чтение man iptables, iptables reference и
> сообщений на различных форумах не просветлила...Что я делаю не так?

Что именно не работает? Какие правила заданы для smtp, pop3, imap портов?

-- 
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания) 

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Настройка NAT

[Pavel S. Khmelinsky]

А зачем собственно SNAT? У вас ведь динамический ип (не так-ли?).
Т.е. при каждом переконнекте АДСЛ придется стирать предыдущую 
цепочку и создавать новую подменяя --to-source.

Я бы на Вашем месте просто воспользовался старым добрым маскарадом:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
Тогда не будет проблем с --to-source.

> Уважаемое комьюнити!
> 
> Помогите советом... 
> Есть локальная сеть, есть роутер под Linux c 2 сетевыми картами,1 смотрит в локальную сеть ,вторая --в интернет (соединение через ADSL) необходимо сделать так, чтобы все люди в локальной сети могли получать и отправлять почту и пользоваться ICQ. Но у меня не получается настроить nat.
> Настраиваю я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей, строки 
> 
> echo 1 > /proc/sys/net/ipv4/ip_forward
> 
> и 
> 
> iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166
> 
> но почта не работает.... Чтение man iptables, iptables reference и сообщений на различных форумах не просветлила...Что я делаю не так?
> 
> ifconfig
> 
> eth0      Link encap:Ethernet  HWaddr 00:80:48:1B:A2:02  
>           inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           RX packets:3505 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:3152 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:100 
>           RX bytes:391504 (382.3 Kb)  TX bytes:2159393 (2.0 Mb)
>           Interrupt:11 Base address:0x6000 
> 
> eth1      Link encap:Ethernet  HWaddr 00:80:48:1C:26:B7  
>           inet addr:81.195.221.166  Bcast:81.195.221.167  Mask:255.255.255.0
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           RX packets:6290 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:6060 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:100 
>           RX bytes:5194639 (4.9 Mb)  TX bytes:598094 (584.0 Kb)
>           Interrupt:5 Base address:0xf000 
> 
> lo        Link encap:Local Loopback  
>           inet addr:127.0.0.1  Mask:255.0.0.0
>           UP LOOPBACK RUNNING  MTU:16436  Metric:1
>           RX packets:4106 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:4106 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:0 
>           RX bytes:2134347 (2.0 Mb)  TX bytes:2134347 (2.0 Mb)

Re: [Comm] Настройка NAT

[Maria Shakhova]

В сообщении от Среда 07 Май 2003 18:59 Pavel S. Khmelinsky написал(a):
> А зачем собственно SNAT? У вас ведь динамический ип (не так-ли?).
> Т.е. при каждом переконнекте АДСЛ придется стирать предыдущую
> цепочку и создавать новую подменяя --to-source.
>
> Я бы на Вашем месте просто воспользовался старым добрым маскарадом:
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
> Тогда не будет проблем с --to-source.
Нет, ip у меня статический, мне его провайдер выделил -- tochka.ru -- в 
количестве 4 штук, поэтому мне Snat показался наиболее приемлимым вариантом 

Re: [Comm] Настройка NAT

[Владимир]

Maria Shakhova пишет:

>В сообщении от Среда 07 Май 2003 18:59 Pavel S. Khmelinsky написал(a):
>  
>
>>А зачем собственно SNAT? У вас ведь динамический ип (не так-ли?).
>>Т.е. при каждом переконнекте АДСЛ придется стирать предыдущую
>>цепочку и создавать новую подменяя --to-source.
>>
>>Я бы на Вашем месте просто воспользовался старым добрым маскарадом:
>>iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>>Тогда не будет проблем с --to-source.
>>    
>>
>Нет, ip у меня статический, мне его провайдер выделил -- tochka.ru -- в 
>количестве 4 штук, поэтому мне Snat показался наиболее приемлимым вариантом 
>  
>

SNAT позволяет пользователям локальной сети по своей инициативе откывать 
внешние соединения.
Почтовый сервер работает на прием. Если почтоый сервер во внутренней 
сети для 25 (113) порта
необходимо настроить DNAT. Поскольку статический IP не один, советую 
использовать под почту
дополнительный IP, настроив на шлюзе IPalias.

-- 
Best regards
Vladimir

Re: [Comm] Настройка NAT

[Владимир]

Maria Shakhova пишет:

>>SNAT позволяет пользователям локальной сети по своей инициативе откывать
>>внешние соединения.
>>Почтовый сервер работает на прием. Если почтоый сервер во внутренней
>>сети для 25 (113) порта
>>необходимо настроить DNAT. Поскольку статический IP не один, советую
>>использовать под почту
>>дополнительный IP, настроив на шлюзе IPalias.
>>    
>>
>То есть нельзя сделать просто переадресацию запроса пользователя с удаленной 
>машины на удаленный почтовый сервер и после ответа (открыто получение почты) 
>этот ответ перенаправить? 
>

"С удаленной машины" это с машины вне локальной сети?

>Почтовый сервер обязательно ставить? Я думала 
>,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового 
>сервера -- с другой машиной экспериментировали -- почта у всей локалки 
>получается)
>  
>

Если отправлять письма индивидуально каждому пользователю по SMTP (или 
через WEB), а
получать по POP/IMAP, то достаточно SNAT, плюс форвардинг, плюс правила 
фильтрации.
Но, если есть 4 статических IP само напрашивается настроить собственные 
DNS и MAIL.

-- 
Best regards
Vladimir

Re: [Comm] Настройка NAT

[Andriy Dobrovol's'kii]

Владимир wrote:
> Maria Shakhova пишет:
> 
>>
>> То есть нельзя сделать просто переадресацию запроса пользователя с 
>> удаленной машины на удаленный почтовый сервер и после ответа (открыто 
>> получение почты) этот ответ перенаправить?
> 
Это и делает SNAT. Просто мало дать команду поднятия SNAT. Мне Миша 
(Шигорин) уже объяснил, что нужно ещё ключить форвардинг в ядре и 
прописать правила форвардинга в iptables. Простейший вариант есть в 
учебнике по iptables. :)
> 
> "С удаленной машины" это с машины вне локальной сети?
> 
>> Почтовый сервер обязательно ставить? Я думала ,достаточно NAT... 
>> (Вопрос постольку поскольку с WinGate и без почтового сервера -- с 
>> другой машиной экспериментировали -- почта у всей локалки получается)
>>  
Не обязательно.
>>
> 
> Если отправлять письма индивидуально каждому пользователю по SMTP (или 
> через WEB), а
> получать по POP/IMAP, то достаточно SNAT, плюс форвардинг, плюс правила 
> фильтрации.
> Но, если есть 4 статических IP само напрашивается настроить собственные 
> DNS и MAIL.
> 
Боюсь, что из этих 4-х один - адрес сетки, а последний - broadcast. 
:) Ну и соответственно два других на концах шнурка к прову. :))

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re: [Comm] Настройка NAT

[Maria Shakhova]

>
> SNAT позволяет пользователям локальной сети по своей инициативе откывать
> внешние соединения.
> Почтовый сервер работает на прием. Если почтоый сервер во внутренней
> сети для 25 (113) порта
> необходимо настроить DNAT. Поскольку статический IP не один, советую
> использовать под почту
> дополнительный IP, настроив на шлюзе IPalias.
То есть нельзя сделать просто переадресацию запроса пользователя с удаленной 
машины на удаленный почтовый сервер и после ответа (открыто получение почты) 
этот ответ перенаправить? Почтовый сервер обязательно ставить? Я думала 
,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового 
сервера -- с другой машиной экспериментировали -- почта у всей локалки 
получается)
-- 
С уважением,
Мария Шахова

Re: [Comm] Настройка NAT

[Mulder]

Maria Shakhova пишет:

>>SNAT позволяет пользователям локальной сети по своей инициативе откывать
>>внешние соединения.
>>Почтовый сервер работает на прием. Если почтоый сервер во внутренней
>>сети для 25 (113) порта
>>необходимо настроить DNAT. Поскольку статический IP не один, советую
>>использовать под почту
>>дополнительный IP, настроив на шлюзе IPalias.
>>    
>>
>То есть нельзя сделать просто переадресацию запроса пользователя с удаленной 
>машины на удаленный почтовый сервер и после ответа (открыто получение почты) 
>этот ответ перенаправить? Почтовый сервер обязательно ставить? Я думала 
>,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового 
>сервера -- с другой машиной экспериментировали -- почта у всей локалки 
>получается)
>  
>

Все это можно.
Вот как, приблизительно, у меня, но тут вообще полный доступ наружу для 
компов локалки, а не только почту, если надо, например, только почту по 
POP, то в цепочке POSTROUTING таблицы nat  указать конкретные порты , на 
которые разрешен доступ (например 110 для POP3),
Вобще-то, саму трансляцию тут делает последняя  строка (и она совпадает 
с вашей), а предыдущие три - разрешают соединения, инициированные только 
с внутренних компов.
У меня так работает.

modprobe ip_conntrack
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state 
ESTABLISHED,RELATED -j ACCCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCCEPT
iptables -t nat -A POSTROUTING  -s <внутренний_диапазон_адресов> -o eth1 
-j SNAT --to-source <внешний_адрес>

Re: [Comm] Настройка NAT

[Maria Shakhova]

Огромное спасибо всем, кто мне ответил!!!! Заработало!!!!!

-- 
С уважанием,
Мария Шахова