From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 14 Feb 2003 22:35:13 +0200 From: Aleksandr Blokhin To: community@altlinux.ru Message-Id: <20030214223513.7913e3f8.sass@uustoll.ee> In-Reply-To: <200302142253.16256.alex@oparin.ru> References: <200302142253.16256.alex@oparin.ru> Mime-Version: 1.0 Content-Type: text/plain; charset="KOI8-R" Content-Transfer-Encoding: 8bit X-Mailer: Mutt/1.2.5i-nntp2 Subject: [Comm] =?KOI8-R?B?UmU6IFtDb21tXSDuwdPU0s/Ky8Egyc7UxdLFztTBINcgzM/LwczYzs/KINPF1Mk=?= Sender: community-admin@altlinux.ru Errors-To: community-admin@altlinux.ru X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: community@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: On Fri, 14 Feb 2003 22:53:16 +0300 Oparin Alexey wrote: OA> Вчера поставил первый раз в жизни Линукс - это был ALT Linux OA> 2.2. У меня в компьютере 2 сетевые карточки. Одна смотрит в OA> интернет, другая - Локальная сеть. Мне нужно настроить выход OA> в интернет для локальной сети. Подскажите пожалуйта OA> ПОДРОБНО, как можно это сделать??? Огромное спасибо за OA> ответы! $ chkconfig --level 345 ipchains on $ service ipchains start Затем выполняете следующий сценарий: <-------------------------- CUT HERE -----------------------------> #!/bin/sh # # firewall-masq This script sets up firewall rules for a machine # acting as a masquerading gateway # # Copyright (C) 2000 Roaring Penguin Software Inc. This software may # be distributed under the terms of the GNU General Public License, version # 2 or any later version. # # installing MASQUERADE modules # insmod ip_masq_user insmod ip_masq_ftp insmod ip_masq_irc insmod ip_masq_icq insmod ip_masq_raudio insmod ip_masq_vdolive insmod ip_masq_quake insmod ip_masq_portfw # # Interface to Internet EXTIF=ppp+ ANY=0.0.0.0/0 ipchains -P input ACCEPT ipchains -P output ACCEPT ipchains -P forward DENY ipchains -F forward ipchains -F input ipchains -F output # Deny TCP and UDP packets to privileged ports ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p udp -j DENY ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p tcp -j DENY # Do masquerading ipchains -A forward -j MASQ echo 1 > /proc/sys/net/ipv4/ip_forward <-------------------------- CUT HERE -----------------------------> После того, как сценарий отработает, выполните команду $ service ipchains save Это был один вариант. Вот второй. $ chkconfig --level 345 iptables on $ service iptables start Затем выполняете следующий сценарий: <-------------------------- CUT HERE -----------------------------> #!/bin/sh # # firewall-masq-iptables This script sets up firewall rules for a machine # acting as a masquerading gateway # # Этот скрипт устанавливает правила фильтации пакетов # для машины выступающей в роли маршрутизатора # # Copyright (C) 2002 ALT Linux Team. This software may be distributed under the terms # of the GNU General Public License, version 2 or any later version. # # installing MASQUERADE modules # insmod ip_tables insmod ip_conntrack insmod ip_conntrack_ftp insmod iptable_nat insmod ip_nat_ftp insmod ipt_multiport insmod ip_masq_ftp # # Interface to Internet EXTIF=ppp+ ANY=0.0.0.0/0 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD # Syn-flood protection. # Защита от Syn-flood. iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT # Furtive port scanner. # Защита от скрытого сканирования портов. iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Ping of death. # Защита от Ping of death. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Deny NEW end INVALID incoming or required routings packets from ppp0. # Запрещаем NEW и INVALID входящие или требующие маршрутизации пакеты с ppp0. iptables -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP # Allow a packets which is related to, and part of an existing connection. # Разрешаем пакеты принадлежащие и относящиеся к уже установленному соединению. iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! $EXTIF -j ACCEPT iptables -A block -j DROP iptables -A INPUT -j block iptables -A FORWARD -j block # Do masquerading. # Маскарадим ppp0. iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # Включаем маршрутизацию пакетов. echo 1 > /proc/sys/net/ipv4/ip_forward <-------------------------- CUT HERE -----------------------------> После того, как сценарий отработает, выполните команду $ service iptables save После перезагрузки правила будут применены автоматически. -- Best regards AB -- ... In nomine Altli, et Ctrli, et Spititus Deli, Reset!