* [Comm] Настройка NAT
@ 2003-05-07 12:11 Maria Shakhova
2003-05-07 12:38 ` Sergey Solomonov
` (4 more replies)
0 siblings, 5 replies; 12+ messages in thread
From: Maria Shakhova @ 2003-05-07 12:11 UTC (permalink / raw)
To: community
Уважаемое комьюнити!
Помогите советом...
Есть локальная сеть, есть роутер под Linux c 2 сетевыми картами,1 смотрит в локальную сеть ,вторая --в интернет (соединение через ADSL) необходимо сделать так, чтобы все люди в локальной сети могли получать и отправлять почту и пользоваться ICQ. Но у меня не получается настроить nat.
Настраиваю я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей, строки
echo 1 > /proc/sys/net/ipv4/ip_forward
и
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166
но почта не работает.... Чтение man iptables, iptables reference и сообщений на различных форумах не просветлила...Что я делаю не так?
ifconfig
eth0 Link encap:Ethernet HWaddr 00:80:48:1B:A2:02
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3505 errors:0 dropped:0 overruns:0 frame:0
TX packets:3152 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:391504 (382.3 Kb) TX bytes:2159393 (2.0 Mb)
Interrupt:11 Base address:0x6000
eth1 Link encap:Ethernet HWaddr 00:80:48:1C:26:B7
inet addr:81.195.221.166 Bcast:81.195.221.167 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6290 errors:0 dropped:0 overruns:0 frame:0
TX packets:6060 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:5194639 (4.9 Mb) TX bytes:598094 (584.0 Kb)
Interrupt:5 Base address:0xf000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:4106 errors:0 dropped:0 overruns:0 frame:0
TX packets:4106 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2134347 (2.0 Mb) TX bytes:2134347 (2.0 Mb)
--
С уважением,
Мария
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-07 12:11 [Comm] Настройка NAT Maria Shakhova
@ 2003-05-07 12:38 ` Sergey Solomonov
2003-05-07 12:43 ` Arkadiy Pavlik
` (3 subsequent siblings)
4 siblings, 0 replies; 12+ messages in thread
From: Sergey Solomonov @ 2003-05-07 12:38 UTC (permalink / raw)
To: community
7 Май 2003 16:11, Maria Shakhova написал:
> но почта не работает.... Чтение man iptables, iptables
Почтовый сервер на этой машине или где-то?
Порты tcp 25, 110 открыты iptables?
----
Соломонов С.Н.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-07 12:11 [Comm] Настройка NAT Maria Shakhova
2003-05-07 12:38 ` Sergey Solomonov
@ 2003-05-07 12:43 ` Arkadiy Pavlik
2003-05-07 13:27 ` Yuri Hramov
` (2 subsequent siblings)
4 siblings, 0 replies; 12+ messages in thread
From: Arkadiy Pavlik @ 2003-05-07 12:43 UTC (permalink / raw)
To: community
В сообщении от 7 Май 2003 23:11 Maria Shakhova написал(a):
> > Помогите советом...
> Есть локальная сеть, есть роутер под Linux c 2 сетевыми картами,1 смотрит в
> локальную сеть ,вторая --в интернет (соединение через ADSL) необходимо
> сделать так, чтобы все люди в локальной сети могли получать и отправлять
> почту и пользоваться ICQ. Но у меня не получается настроить nat. Настраиваю
> я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей,
> строки
Вот скрипт бы и увидеть... В остальном большого криминала нет.
> iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166
Поскольку этот адрес на карте один, то это правило лишнее. По идее, оно не
мешает, просто лишнее.
> но почта не работает.... Чтение man iptables, iptables reference и
> сообщений на различных форумах не просветлила...Что я делаю не так?
Скорей всего что-то в том скрипте "собачьем" :) криво сгенерировалось...
Лучше поискать "iptables tutorial"! Есть уже и на русском. Там, кстати, и
примеров рабочих много.
--
С наилучшими пожеланиями,
Аркадий Павлик
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-07 12:11 [Comm] Настройка NAT Maria Shakhova
2003-05-07 12:38 ` Sergey Solomonov
2003-05-07 12:43 ` Arkadiy Pavlik
@ 2003-05-07 13:27 ` Yuri Hramov
2003-05-07 14:59 ` Pavel S. Khmelinsky
2003-05-12 16:47 ` Maria Shakhova
4 siblings, 0 replies; 12+ messages in thread
From: Yuri Hramov @ 2003-05-07 13:27 UTC (permalink / raw)
To: community
[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 671 bytes --]
В сообщении от 7 Май 2003 16:11 Maria Shakhova написал:
> почту и пользоваться ICQ. Но у меня не получается настроить nat. Настраиваю
> я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей,
> строки
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> и
>
> iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166
>
> но почта не работает.... Чтение man iptables, iptables reference и
> сообщений на различных форумах не просветлила...Что я делаю не так?
Что именно не работает? Какие правила заданы для smtp, pop3, imap портов?
--
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания)
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-07 12:11 [Comm] Настройка NAT Maria Shakhova
` (2 preceding siblings ...)
2003-05-07 13:27 ` Yuri Hramov
@ 2003-05-07 14:59 ` Pavel S. Khmelinsky
2003-05-07 21:28 ` Maria Shakhova
2003-05-12 16:47 ` Maria Shakhova
4 siblings, 1 reply; 12+ messages in thread
From: Pavel S. Khmelinsky @ 2003-05-07 14:59 UTC (permalink / raw)
To: community
А зачем собственно SNAT? У вас ведь динамический ип (не так-ли?).
Т.е. при каждом переконнекте АДСЛ придется стирать предыдущую
цепочку и создавать новую подменяя --to-source.
Я бы на Вашем месте просто воспользовался старым добрым маскарадом:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
Тогда не будет проблем с --to-source.
> Уважаемое комьюнити!
>
> Помогите советом...
> Есть локальная сеть, есть роутер под Linux c 2 сетевыми картами,1 смотрит в локальную сеть ,вторая --в интернет (соединение через ADSL) необходимо сделать так, чтобы все люди в локальной сети могли получать и отправлять почту и пользоваться ICQ. Но у меня не получается настроить nat.
> Настраиваю я его так: в скрипт, сгенеренный guarddog'ом, дописываю подгрузку модулей, строки
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> и
>
> iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 81.195.221.166
>
> но почта не работает.... Чтение man iptables, iptables reference и сообщений на различных форумах не просветлила...Что я делаю не так?
>
> ifconfig
>
> eth0 Link encap:Ethernet HWaddr 00:80:48:1B:A2:02
> inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> RX packets:3505 errors:0 dropped:0 overruns:0 frame:0
> TX packets:3152 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:100
> RX bytes:391504 (382.3 Kb) TX bytes:2159393 (2.0 Mb)
> Interrupt:11 Base address:0x6000
>
> eth1 Link encap:Ethernet HWaddr 00:80:48:1C:26:B7
> inet addr:81.195.221.166 Bcast:81.195.221.167 Mask:255.255.255.0
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> RX packets:6290 errors:0 dropped:0 overruns:0 frame:0
> TX packets:6060 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:100
> RX bytes:5194639 (4.9 Mb) TX bytes:598094 (584.0 Kb)
> Interrupt:5 Base address:0xf000
>
> lo Link encap:Local Loopback
> inet addr:127.0.0.1 Mask:255.0.0.0
> UP LOOPBACK RUNNING MTU:16436 Metric:1
> RX packets:4106 errors:0 dropped:0 overruns:0 frame:0
> TX packets:4106 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:0
> RX bytes:2134347 (2.0 Mb) TX bytes:2134347 (2.0 Mb)
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-07 14:59 ` Pavel S. Khmelinsky
@ 2003-05-07 21:28 ` Maria Shakhova
2003-05-08 6:04 ` Владимир
0 siblings, 1 reply; 12+ messages in thread
From: Maria Shakhova @ 2003-05-07 21:28 UTC (permalink / raw)
To: community
В сообщении от Среда 07 Май 2003 18:59 Pavel S. Khmelinsky написал(a):
> А зачем собственно SNAT? У вас ведь динамический ип (не так-ли?).
> Т.е. при каждом переконнекте АДСЛ придется стирать предыдущую
> цепочку и создавать новую подменяя --to-source.
>
> Я бы на Вашем месте просто воспользовался старым добрым маскарадом:
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
> Тогда не будет проблем с --to-source.
Нет, ip у меня статический, мне его провайдер выделил -- tochka.ru -- в
количестве 4 штук, поэтому мне Snat показался наиболее приемлимым вариантом
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-07 21:28 ` Maria Shakhova
@ 2003-05-08 6:04 ` Владимир
2003-05-08 11:28 ` Maria Shakhova
0 siblings, 1 reply; 12+ messages in thread
From: Владимир @ 2003-05-08 6:04 UTC (permalink / raw)
To: community
Maria Shakhova пишет:
>В сообщении от Среда 07 Май 2003 18:59 Pavel S. Khmelinsky написал(a):
>
>
>>А зачем собственно SNAT? У вас ведь динамический ип (не так-ли?).
>>Т.е. при каждом переконнекте АДСЛ придется стирать предыдущую
>>цепочку и создавать новую подменяя --to-source.
>>
>>Я бы на Вашем месте просто воспользовался старым добрым маскарадом:
>>iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>>Тогда не будет проблем с --to-source.
>>
>>
>Нет, ip у меня статический, мне его провайдер выделил -- tochka.ru -- в
>количестве 4 штук, поэтому мне Snat показался наиболее приемлимым вариантом
>
>
SNAT позволяет пользователям локальной сети по своей инициативе откывать
внешние соединения.
Почтовый сервер работает на прием. Если почтоый сервер во внутренней
сети для 25 (113) порта
необходимо настроить DNAT. Поскольку статический IP не один, советую
использовать под почту
дополнительный IP, настроив на шлюзе IPalias.
--
Best regards
Vladimir
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-08 11:28 ` Maria Shakhova
@ 2003-05-08 8:22 ` Владимир
2003-05-08 9:05 ` Andriy Dobrovol's'kii
2003-05-10 0:50 ` Mulder
1 sibling, 1 reply; 12+ messages in thread
From: Владимир @ 2003-05-08 8:22 UTC (permalink / raw)
To: community
Maria Shakhova пишет:
>>SNAT позволяет пользователям локальной сети по своей инициативе откывать
>>внешние соединения.
>>Почтовый сервер работает на прием. Если почтоый сервер во внутренней
>>сети для 25 (113) порта
>>необходимо настроить DNAT. Поскольку статический IP не один, советую
>>использовать под почту
>>дополнительный IP, настроив на шлюзе IPalias.
>>
>>
>То есть нельзя сделать просто переадресацию запроса пользователя с удаленной
>машины на удаленный почтовый сервер и после ответа (открыто получение почты)
>этот ответ перенаправить?
>
"С удаленной машины" это с машины вне локальной сети?
>Почтовый сервер обязательно ставить? Я думала
>,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового
>сервера -- с другой машиной экспериментировали -- почта у всей локалки
>получается)
>
>
Если отправлять письма индивидуально каждому пользователю по SMTP (или
через WEB), а
получать по POP/IMAP, то достаточно SNAT, плюс форвардинг, плюс правила
фильтрации.
Но, если есть 4 статических IP само напрашивается настроить собственные
DNS и MAIL.
--
Best regards
Vladimir
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-08 8:22 ` Владимир
@ 2003-05-08 9:05 ` Andriy Dobrovol's'kii
0 siblings, 0 replies; 12+ messages in thread
From: Andriy Dobrovol's'kii @ 2003-05-08 9:05 UTC (permalink / raw)
To: community
Владимир wrote:
> Maria Shakhova пишет:
>
>>
>> То есть нельзя сделать просто переадресацию запроса пользователя с
>> удаленной машины на удаленный почтовый сервер и после ответа (открыто
>> получение почты) этот ответ перенаправить?
>
Это и делает SNAT. Просто мало дать команду поднятия SNAT. Мне Миша
(Шигорин) уже объяснил, что нужно ещё ключить форвардинг в ядре и
прописать правила форвардинга в iptables. Простейший вариант есть в
учебнике по iptables. :)
>
> "С удаленной машины" это с машины вне локальной сети?
>
>> Почтовый сервер обязательно ставить? Я думала ,достаточно NAT...
>> (Вопрос постольку поскольку с WinGate и без почтового сервера -- с
>> другой машиной экспериментировали -- почта у всей локалки получается)
>>
Не обязательно.
>>
>
> Если отправлять письма индивидуально каждому пользователю по SMTP (или
> через WEB), а
> получать по POP/IMAP, то достаточно SNAT, плюс форвардинг, плюс правила
> фильтрации.
> Но, если есть 4 статических IP само напрашивается настроить собственные
> DNS и MAIL.
>
Боюсь, что из этих 4-х один - адрес сетки, а последний - broadcast.
:) Ну и соответственно два других на концах шнурка к прову. :))
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-08 6:04 ` Владимир
@ 2003-05-08 11:28 ` Maria Shakhova
2003-05-08 8:22 ` Владимир
2003-05-10 0:50 ` Mulder
0 siblings, 2 replies; 12+ messages in thread
From: Maria Shakhova @ 2003-05-08 11:28 UTC (permalink / raw)
To: community
>
> SNAT позволяет пользователям локальной сети по своей инициативе откывать
> внешние соединения.
> Почтовый сервер работает на прием. Если почтоый сервер во внутренней
> сети для 25 (113) порта
> необходимо настроить DNAT. Поскольку статический IP не один, советую
> использовать под почту
> дополнительный IP, настроив на шлюзе IPalias.
То есть нельзя сделать просто переадресацию запроса пользователя с удаленной
машины на удаленный почтовый сервер и после ответа (открыто получение почты)
этот ответ перенаправить? Почтовый сервер обязательно ставить? Я думала
,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового
сервера -- с другой машиной экспериментировали -- почта у всей локалки
получается)
--
С уважением,
Мария Шахова
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-08 11:28 ` Maria Shakhova
2003-05-08 8:22 ` Владимир
@ 2003-05-10 0:50 ` Mulder
1 sibling, 0 replies; 12+ messages in thread
From: Mulder @ 2003-05-10 0:50 UTC (permalink / raw)
To: community
Maria Shakhova пишет:
>>SNAT позволяет пользователям локальной сети по своей инициативе откывать
>>внешние соединения.
>>Почтовый сервер работает на прием. Если почтоый сервер во внутренней
>>сети для 25 (113) порта
>>необходимо настроить DNAT. Поскольку статический IP не один, советую
>>использовать под почту
>>дополнительный IP, настроив на шлюзе IPalias.
>>
>>
>То есть нельзя сделать просто переадресацию запроса пользователя с удаленной
>машины на удаленный почтовый сервер и после ответа (открыто получение почты)
>этот ответ перенаправить? Почтовый сервер обязательно ставить? Я думала
>,достаточно NAT... (Вопрос постольку поскольку с WinGate и без почтового
>сервера -- с другой машиной экспериментировали -- почта у всей локалки
>получается)
>
>
Все это можно.
Вот как, приблизительно, у меня, но тут вообще полный доступ наружу для
компов локалки, а не только почту, если надо, например, только почту по
POP, то в цепочке POSTROUTING таблицы nat указать конкретные порты , на
которые разрешен доступ (например 110 для POP3),
Вобще-то, саму трансляцию тут делает последняя строка (и она совпадает
с вашей), а предыдущие три - разрешают соединения, инициированные только
с внутренних компов.
У меня так работает.
modprobe ip_conntrack
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state
ESTABLISHED,RELATED -j ACCCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCCEPT
iptables -t nat -A POSTROUTING -s <внутренний_диапазон_адресов> -o eth1
-j SNAT --to-source <внешний_адрес>
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] Настройка NAT
2003-05-07 12:11 [Comm] Настройка NAT Maria Shakhova
` (3 preceding siblings ...)
2003-05-07 14:59 ` Pavel S. Khmelinsky
@ 2003-05-12 16:47 ` Maria Shakhova
4 siblings, 0 replies; 12+ messages in thread
From: Maria Shakhova @ 2003-05-12 16:47 UTC (permalink / raw)
To: community
Огромное спасибо всем, кто мне ответил!!!! Заработало!!!!!
--
С уважанием,
Мария Шахова
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2003-05-12 16:47 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-05-07 12:11 [Comm] Настройка NAT Maria Shakhova
2003-05-07 12:38 ` Sergey Solomonov
2003-05-07 12:43 ` Arkadiy Pavlik
2003-05-07 13:27 ` Yuri Hramov
2003-05-07 14:59 ` Pavel S. Khmelinsky
2003-05-07 21:28 ` Maria Shakhova
2003-05-08 6:04 ` Владимир
2003-05-08 11:28 ` Maria Shakhova
2003-05-08 8:22 ` Владимир
2003-05-08 9:05 ` Andriy Dobrovol's'kii
2003-05-10 0:50 ` Mulder
2003-05-12 16:47 ` Maria Shakhova
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git