[Comm] Как настроить шлюз в инет?

[Comm] Как настроить шлюз в инет?

[Denis Kirienko]

Добрый вечер!

Помогите пожалуйста, нужно срочно настроить шлюз в инет, никогда этого
не делал.

Поставил Master 2.4 в качестве шлюза, настроил два сетевых интерфейса:

eth0 имеет белый IP 212.65.71.74, он подключен к ADSL-модему, его IP
212.65.71.73, это для него это шлюз в инет.
eth1 имеет IP 172.16.8.250, в него воткнут hub.

В тот же hub воткнута локальная машина, на ней IP прописан в
172.16.8.249 и 172.16.8.250 указан в качестве шлюза.

Настройки на шлюзе:

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:E0:18:5B:5C:F1  
          inet addr:212.65.71.74  Bcast:212.65.71.79  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2009 errors:0 dropped:0 overruns:0 frame:0
          TX packets:329 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:161967 (158.1 Kb)  TX bytes:19307 (18.8 Kb)
          Interrupt:10 Base address:0xd400 

eth1      Link encap:Ethernet  HWaddr 00:A0:24:6D:31:95  
          inet addr:172.16.8.250  Bcast:172.16.8.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:111 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:8009 (7.8 Kb)  TX bytes:1978 (1.9 Kb)
          Interrupt:11 Base address:0x9400 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:33 errors:0 dropped:0 overruns:0 frame:0
          TX packets:33 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:7534 (7.3 Kb)  TX bytes:7534 (7.3 Kb)


# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
212.65.71.72    *               255.255.255.248 U     0      0        0 eth0
172.16.8.0      *               255.255.255.0   U     0      0        0 eth1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         212.65.71.73    0.0.0.0         UG    0      0        0 eth0

В /etc/sysctl.conf исправил net.ipv4.ip_forward = 1

Сделал # service network restart
# cat /proc/sys/net/ipv4/ip_forward 
1

iptables на шлюзе не установлено.

С локальной машины 172.16.8.249 пингуется 172.16.8.250,
пингуется 212.65.71.74 (наружний интерфейс шлюза, то есть
пакеты уходят куда надо), но не пингуется 212.65.71.73 (ADSL-модем).

С шлюза пингуется и модем, и инет, и локальная машина.

Что я забыл сделать?

--
Денис

Re: [Comm] Как настроить шлюз в инет?

[Jury Levykin]

Denis Kirienko пишет:

>Добрый вечер!
>
>Помогите пожалуйста, нужно срочно настроить шлюз в инет, никогда этого
>не делал.
>  
>
Вам нужно настроить NAT с помощью iptables.
Прочитайте рассылку с темой "шлюз в корпоротивной сети" 18 - 20.08.2004
там обсуждалась такаяже проблема.

Re: [Comm] Как настроить шлюз в инет?

[Denis Kirienko]

Получил Thu, 16 Dec 2004 19:29:55 +0300 от Jury Levykin <altcomm@list.ru> следующее письмо:

> Вам нужно настроить NAT с помощью iptables.
> Прочитайте рассылку с темой "шлюз в корпоротивной сети" 18 - 20.08.2004
> там обсуждалась такаяже проблема.

Я это подозревал :)

Но кажется, нигде в печатной документации к Мастеру
в описании построения шлюза не сказано, что надо iptables
настраивать.

Правильно ли я понимаю, что
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT
должно спасти (eth0 смотрит наружу)?

--
Денис

Re: [Comm] Как настроить шлюз в инет?

[Denis Kirienko]

Получил Thu, 16 Dec 2004 19:43:27 +0300 от Denis Kirienko <kirienko@mccme.ru> следующее письмо:

> Правильно ли я понимаю, что
> # iptables -t nat -A POSTROUTING -o eth0 -j SNAT
> должно спасти (eth0 смотрит наружу)?

Спасибо,

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
помогло

Первый шаг сделан, а дальше будем думать и доки читать.

Некоторый ступор был, когда я смог отпинговать www.ya.ru,
но не смог окрыть его в IE. Оказалось, IE на Windows-машине
запрещен файрволом :)

А теперь такой вопрос. У меня сейчас в верхний свитч воткнут
ADSL-модем, локалка (не имеющая выхода в интернет) и несколько
компьютеров с белыми IP, то есть через свитч ходят пакеты двух
сетей: локалки и сети с белыми IP. Могу ли я поднять на сервере
на eth0 внешний IP, а на eth0:1 - внутренний IP и превратить его
в шлюз, хотя у него будет только одна сетевая карточка?

То есть пакет из локалки приходит на свитч, оттуда на сервер, тот
его через ту же карточку посылает через тот же свитч на модем.

Получится?

--
Денис

Re: [Comm] Как настроить шлюз в инет?

[Jury Levykin]

Denis Kirienko пишет:

>Получил Thu, 16 Dec 2004 19:43:27 +0300 от Denis Kirienko <kirienko@mccme.ru> следующее письмо:
>  
>
Зря вы mail адреса без надобности постите, __________________^^^^^^^^^^^_может пойти спам.

Re: [Comm] Как настроить шлюз в инет?

[Denis Kirienko]

Получил Thu, 16 Dec 2004 23:34:39 +0300 от Jury Levykin следующее письмо:

> Denis Kirienko пишет:
> 
> >Получил Thu, 16 Dec 2004 19:43:27 +0300 от
> >Denis Kirienko <kirienko@mccme.ru> следующее письмо:
> >  
> >
> Зря вы mail адреса без надобности постите, __________________^^^^^^^^^^^_может пойти спам.

Ok, исправился.

--
Денис

Re: [Comm] Как настроить шлюз в инет?

[Alexey S. Kuznetsov]

Hello!

Вы писали 16 грудня 2004 р., 18:15:05:

> Добрый вечер!
> Что я забыл сделать?
  Маскарад
  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
  
-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE

Re: [Comm] Как настроить шлюз в инет?

[Jury Levykin]

Alexey S. Kuznetsov пишет:

>  Маскарад
>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
>  
>
На сколько я помню, ipchains это для ядра 2.2, а для 2.4 рекомендовано 
использовать iptables.

Re[2]: [Comm] Как настроить шлюз в инет?

[Alexey S. Kuznetsov]

Hello!

Вы писали 16 грудня 2004 р., 18:35:33:

> Alexey S. Kuznetsov пишет:

>>  Маскарад
>>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
>>  
>>
> На сколько я помню, ipchains это для ядра 2.2,
да хоть на 2.6

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE

Re: [Comm] Как настроить шлюз в инет?

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 525 bytes --]

On Thu, Dec 16, 2004 at 10:08:46PM +0200, Alexey S. Kuznetsov wrote:
> Hello!
> 
> Вы писали 16 грудня 2004 р., 18:35:33:
> 
> > Alexey S. Kuznetsov пишет:
> 
> >>  Маскарад
> >>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
> >>  
> >>
> > На сколько я помню, ipchains это для ядра 2.2,
> да хоть на 2.6

Из 2.6 грозятся скоро выбросить вместе с ещё более старой поддержкой
совместимости с ipfwadm (Linux 2.0).  Так что лучше сразу смотреть в
сторону iptables.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Как настроить шлюз в инет?

[Mike Lykov]

В сообщении от Четверг 16 Декабрь 2004 20:30 Alexey S. Kuznetsov написал:

> > Что я забыл сделать?
>   Маскарад
>   поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя
> сетка] -d 0/0 -j MASQ

какие-то устаревшие на несколько лет у вас советы.
Сейчас современно использовать iptables и SNAT

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Как настроить шлюз в инет?

[Шишков Евгений]

Mike Lykov пишет:
> В сообщении от Четверг 16 Декабрь 2004 20:30 Alexey S. Kuznetsov написал:
> 
> 
>>>Что я забыл сделать?
>>
>>  Маскарад
>>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя
>>сетка] -d 0/0 -j MASQ
> 
> 
> какие-то устаревшие на несколько лет у вас советы.
> Сейчас современно использовать iptables и SNAT
> 
www.opennet.ru
Там есть отличная статья  с примерами по iptables.

-- 
С уважением,
Шишков Евгений (evgen@tulanews.ru)
ЗАО "СГ "Спасские ворота" ф-л в г.Тула
тел. (0872) 32-56-90

Re[2]: [Comm] Как настроить шлюз в инет?

[Alexey S. Kuznetsov]

Hello!

Вы писали 17 грудня 2004 р., 7:59:16:

> В сообщении от Четверг 16 Декабрь 2004 20:30 Alexey S. Kuznetsov написал:

>> > Что я забыл сделать?
>>   Маскарад
>>   поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя
>> сетка] -d 0/0 -j MASQ

> какие-то устаревшие на несколько лет у вас советы.
> Сейчас современно использовать iptables и SNAT
Пусть человек начнёт с самого начала, потом будет переходить на более новые шняги :-)

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE

Re: [Comm] Как настроить шлюз в инет?

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 409 bytes --]

On Fri, Dec 17, 2004 at 01:20:20PM +0200, Alexey S. Kuznetsov wrote:
> Пусть человек начнёт с самого начала, потом будет переходить на более новые шняги :-)
Смысл? 

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Я уже придумал способ изготовления Манны Небесной на время этого перехода.
Как только hasher-0.9.5-alt1 будет выложен, я расскажу подробнее.
		-- ldv in sisyphus@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Как настроить шлюз в инет?

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 291 bytes --]

On Mon, Dec 20, 2004 at 08:03:08PM +0500, Andrey Rahmatullin wrote:
> > Пусть человек начнёт с самого начала, потом будет переходить
> > на более новые шняги :-)
> Смысл? 

Никакого.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Как настроить шлюз в инет?

[Alexey S. Kuznetsov]

Andrey Rahmatullin wrote:
> On Fri, Dec 17, 2004 at 01:20:20PM +0200, Alexey S. Kuznetsov wrote:
> 
>>Пусть человек начнёт с самого начала, потом будет переходить на более новые шняги :-)
> 
> Смысл? 
Нужно понимать концепцию, а не тупо заучивать комманды. Я считаю, что 
нужно знать и старые версии софта и новые.


-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE

Re: [Comm] Как настроить шлюз в инет?

[Denis Kirienko]

> > >Пусть человек начнёт с самого начала, потом будет переходить на
> > >более новые шняги :-)
> > Смысл? 
> Нужно понимать концепцию, а не тупо заучивать комманды. Я считаю,
> что нужно знать и старые версии софта и новые.

Как лицо заинтересованное, присоединюсь к сторонникам современного, а
не консервативного подхода. В настоящее время мне нужно быстренько
сделать полноценный шлюз, а не заниматься изучением концепций.

Чувствую, что сейчас с одной из сторон в меня полетят... ну ладно, не
будем об этом.

--
Денис

Re: [Comm] Как настроить шлюз в инет?

[Alexey S. Kuznetsov]

Denis Kirienko wrote:
>>>>Пусть человек начнёт с самого начала, потом будет переходить на
>>>>более новые шняги :-)
>>>
>>>Смысл? 
>>
>>Нужно понимать концепцию, а не тупо заучивать комманды. Я считаю,
>>что нужно знать и старые версии софта и новые.
> 
> 
> Как лицо заинтересованное, присоединюсь к сторонникам современного, а
> не консервативного подхода. В настоящее время мне нужно быстренько
> сделать полноценный шлюз, а не заниматься изучением концепций.

скажу так...в позапрошлом году я начал сразу с iptables и сразу начал на 
нём считать статистику для клиентов. Но понял, что можно то же самое 
сделать на ipchains, только это будет легче и понятней для меня и для 
людей, которые потом будут поддерживать систему и статистику.
Я не спорю, в iptables можно очень гибко манипулировать фильтрацией, но 
мне допустим, на текущий момент, легче всё сделать ipchains.
Хотя я планирую переход к iptables.

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE

[Comm] Re: Как настроить шлюз в инет?

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 410 bytes --]

On Mon, Dec 20, 2004 at 11:19:59PM +0000, Alexey S. Kuznetsov wrote:
> Я не спорю, в iptables можно очень гибко манипулировать
> фильтрацией, но мне допустим, на текущий момент, легче всё
> сделать ipchains.

Так вот и пишите "для меня", а не притягивайте за уши какие-то
концепции.  Это же проще :-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Как настроить шлюз в инет?

[Oleg Shulga]

Denis Kirienko пишет:

>Как лицо заинтересованное, присоединюсь к сторонникам современного, а
>не консервативного подхода. В настоящее время мне нужно быстренько
>сделать полноценный шлюз, а не заниматься изучением концепций.
>
>Чувствую, что сейчас с одной из сторон в меня полетят... ну ладно, не
>будем об этом.
>  
>
Не рекламы ради, а пользы для :)
http://linux-firewall-tools.com/
Первый свой шлюз, еще на слаке 4.0, я построил с помощью автора данного 
ресурса.
Там есть и теория и практика.
Есть готовые примеры для iptables, ipchains и даже ipfwadm.
Есть онлайн дизайн.

Естественно позже наступет озаренье и все начинаешь править руками.
Но хороший костяк -- залог успеха.

Я так понял, что автор не одну "@" съел на фаерволах.
И у него есть чему поучиться.

Сейчас у меня все сервера на АЛЬТе. При этом фаерволы построены по 
принципу вышеуказанного автора.
Легко интегрируются в идеологию АЛЬТ постредством service iptables save, 
правкой /etc/modules и /etc/sysctl.conf.

-- 
WBR
Oleg Shulga, Kharkov Pribor, IT Manager

Re: [Comm] Как настроить шлюз в инет?

[Mike Lykov]

В сообщении от Вторник 21 Декабрь 2004 02:33 Alexey S. Kuznetsov написал:

> Нужно понимать концепцию, а не тупо заучивать комманды. 

это да.

> Я считаю, что  нужно знать и старые версии софта и новые.

зачем забивать голову ненужной информацией о софте, который нигде не 
используется...

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

[Comm] iptables vs ipchains (was: Как настроить шлюз в инет?)

[Michael Shigorin]

[-- Attachment #1.1: Type: text/plain, Size: 1078 bytes --]

On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
> >>Пусть человек начнёт с самого начала, потом будет переходить
> >>на более новые шняги :-)
> >Смысл? 
> Нужно понимать концепцию, а не тупо заучивать комманды. Я
> считаю, что нужно знать и старые версии софта и новые.

Дружище, объясните мне, тупому, какая-такая концепция в ipchains
и в чём смысл использовать его (уж ipfwadm тогда) под
современными ядрами, помимо быстрого портирования (и то есть
нюансы вроде различного поведения ipchains -L -z под 2.2 и 2.4)?

Я вот скажу, что нормальный файрвол построить на iptables --
гораздо меньше головной боли и куда эффективней, чем на ipchains
и предыдущем ipfwadm -- уже благодаря statefullness, бишь тому,
что можно ссылаться на соединения, например, сказав "принимать
ответы на то, что инициировано от нас".

PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
проверит, доточит, проверит и предложит в FAQ -- welcome.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: iptables --]
[-- Type: text/plain, Size: 2006 bytes --]

# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d _REAL_IP -i eth0 -p tcp -m tcp --dport _EXT_PORT -j DNAT --to-destination _INT_HOST:_INT_PORT
-A POSTROUTING -s 10.0.1.0/24 -d ! 10.0.1.0/24 -j SNAT --to-source _REAL_IP
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:eth1-in - [0:0]
:eth1-out - [0:0]
:tcprules - [0:0]
-A INPUT -i eth1 -j eth1-in
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 10.0.1.0/24 -d 10.0.1.1 -i eth0 -j ACCEPT
-A INPUT -s 10.0.1.0/24 -d _REAL_IP -i eth0 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
-A INPUT -j tcprules
# block :25 to world (only through 10.0.1.1:25)
-A FORWARD -s 10.0.1.0/24 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j tcprules
-A OUTPUT -o eth1 -j eth1-out
-A eth1-in -j RETURN
-A eth1-out -j RETURN
-A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
-A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
-A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
COMMIT
# Completed on Thu Nov 21 21:15:39 2002

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] iptables vs ipchains

[Andriy Dobrovol's'kii]

Michael Shigorin wrote:
> On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
> 
<cut>
> PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
> проверит, доточит, проверит и предложит в FAQ -- welcome.
> 
<cut>
> 
Миш, какя ж это болванка, если всюду пробиты конкретные адреса и 
интерфейсы. И никаких коментариев. Откоментированный скрипт её 
генерации с разумно абстрагированными переменными был бы болванкой...

P.S. Могу прислать свою попытку сделать такой, но, она застряла на 
"дверном" варианте и врядли представляет интерес. Уж больно жизнь 
разнообразна...

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re: [Comm] iptables vs ipchains

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 968 bytes --]


Andriy Dobrovol's'kii wrote:

> Michael Shigorin wrote:
>
>> On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
>>
> <cut>
>
>> PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
>> проверит, доточит, проверит и предложит в FAQ -- welcome.
>>
> <cut>
>
>>
> Миш, какя ж это болванка, если всюду пробиты конкретные адреса и 
> интерфейсы. И никаких коментариев. Откоментированный скрипт её 
> генерации с разумно абстрагированными переменными был бы болванкой...
>
> P.S. Могу прислать свою попытку сделать такой, но, она застряла на 
> "дверном" варианте и врядли представляет интерес. Уж больно жизнь 
> разнообразна...

А вот моя болванка - кому нать - use it or modify :)
Не знаю какая у неё степень "дверности" :)


-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru 


[-- Attachment #2: firewall --]
[-- Type: text/plain, Size: 1582 bytes --]

#!/bin/sh
# ÏÂßÑ×ÉÍ ÐÅÒÅÍÅÎÎÙÅ
FW="/sbin/iptables"

LAN_NET="192.168.130.0/24"
LAN_IP="192.168.130.2"
LAN_ETH="eth0"

INET_IP="195.210.171.34"
INET_ETH="eth1"

# ÌÏËÁÌËÁ
LH="127.0.0.1"
PROXY_PORT="3128"

# ÄÌÑ ÍÅÎÑ
COOL_IP="192.168.130.95"

modprobe ip_nat_ftp

# ÍÁÒÛÒÕÔ ÄÌÑ ÐÏÞÔÙ òÉËÏÍ
route add -net 194.247.149.208 netmask 255.255.255.248 gw 192.168.130.1 dev eth0

# ×ÓÅ ÐÒÏÞÉÓÔÉÍ
$FW -t nat -F
$FW -F
$FW -X

# ××ÅÄÅÍ ÃÅÐÏÞËÉ ÄÌÑ ÐÏÄÓÞÅÔÁ ÔÒÁÆÉËÁ
$FW -N OUT_SORTING
$FW -N IN_SORTING
$FW -N TCP_OUT
$FW -N TCP_IN
$FW -N UDP_OUT
$FW -N UDP_IN

# ÎÁ×ÅÄÅÍ ÍÁÓËÁÒÁÄ ÄÌÑ ÓÅÂÑ :)
$FW -t nat -A POSTROUTING -s $LAN_NET -o $INET_ETH -j SNAT --to-source $INET_IP

# ×ÓÅ ×ÓÅÍ ÚÁÐÒÅÔÉÔØ
$FW -P INPUT DROP
$FW -P FORWARD DROP
# ËÒÏÍÅ ÌÏËÁÌØÎÏÇÏ ÈÏÓÔÁ - ÅÍÕ ÍÏÖÎÏ ÈÏÄÉÔØ ËÕÄÁ ÕÇÏÄÎÏ
$FW -P OUTPUT ACCEPT

# Á ÔÅÐÅÒØ ÎÁÞÎÅÍ ÐÒÏÐÉÓÙ×ÁÔØ ÐÒÁ×ÉÌÁ
$FW -A TCP_OUT -j ACCEPT
$FW -A TCP_IN -j ACCEPT
$FW -A UDP_OUT -j ACCEPT
$FW -A UDP_IN -j ACCEPT

$FW -A OUT_SORTING -p tcp -j TCP_OUT
$FW -A OUT_SORTING -p udp -j UDP_OUT
$FW -A OUT_SORTING -j ACCEPT

$FW -A IN_SORTING -p tcp -i $INET_ETH -j TCP_IN
$FW -A IN_SORTING -p udp -i $INET_ETH -j UDP_IN
$FW -A IN_SORTING -j ACCEPT

# ÄÌÑ INPUT
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j IN_SORTING
$FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT

# ÄÌÑ FORWARD
# ÄÌÑ Aton-Line

# ÄÌÑ íåîñ
$FW -A FORWARD -p all -i $LAN_ETH -o $INET_ETH -s $COOL_IP -j OUT_SORTING
$FW -A FORWARD -p all -i $INET_ETH -o $LAN_ETH -d $COOL_IP -m state --state ESTABLISHED,RELATED -j IN_SORTING

# ÄÌÑ OUTPUT
$FW -A OUTPUT -o $INET_ETH -j OUT_SORTING

Re: [Comm] iptables vs ipchains

[Serge Polkovnikov]

[-- Attachment #1: Type: text/plain, Size: 656 bytes --]

середа 22 грудень 2004 16:25, Alexey Morsov Ви написали:
> > Миш, какя ж это болванка, если всюду пробиты конкретные адреса и
> > интерфейсы. И никаких коментариев. Откоментированный скрипт её
> > генерации с разумно абстрагированными переменными был бы болванкой...
> >
> > P.S. Могу прислать свою попытку сделать такой, но, она застряла на
> > "дверном" варианте и врядли представляет интерес. Уж больно жизнь
> > разнообразна...
>
> А вот моя болванка - кому нать - use it or modify :)

Ну раз пошла такая пьянка, то вот то что я для себя сделал...
Краткое описание на русском прилагаются. 
Замечания, пожелания приветствуются.


-- 
Сергей Полковников

[-- Attachment #2: fwcreator-0.11.2-alt1.src.rpm --]
[-- Type: application/x-rpm, Size: 28567 bytes --]

Re: [Comm] iptables vs ipchains

[Igor Solovyov]

On Wed, 22 Dec 2004 16:47:55 +0200
Serge Polkovnikov <serge@ukr-fin.com.ua> wrote:

> середа 22 грудень 2004 16:25, Alexey Morsov Ви написали:
> > > Миш, какя ж это болванка, если всюду пробиты конкретные адреса и
> > > интерфейсы. И никаких коментариев. Откоментированный скрипт её
> > > генерации с разумно абстрагированными переменными был бы болванкой...
> > >
> > > P.S. Могу прислать свою попытку сделать такой, но, она застряла на
> > > "дверном" варианте и врядли представляет интерес. Уж больно жизнь
> > > разнообразна...
> >
> > А вот моя болванка - кому нать - use it or modify :)
> 
> Ну раз пошла такая пьянка, то вот то что я для себя сделал...
> Краткое описание на русском прилагаются. 
> Замечания, пожелания приветствуются.

А может попробовать набрать два слова "generate" и "iptables"
где-нибудь на www.freshmeat.net ?

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia

Re: [Comm] iptables vs ipchains

[Serge Polkovnikov]

середа 22 грудень 2004 16:53, Igor Solovyov Ви написали:
> А может попробовать набрать два слова "generate" и "iptables"
> где-нибудь на www.freshmeat.net ?
Если это мне, то могу лишь сказать, что начало этому скриту положено года 2-3 
назад (тогда подобных генераторов было гараздо меньше чем сейчас). Смысла мне 
искать аналога в инете не вижу - есть свое, рабочее.
-- 
Сергей Полковников

Re: [Comm] iptables vs ipchains

[Alexey I. Froloff]

[-- Attachment #1.1: Type: text/plain, Size: 321 bytes --]

* Serge Polkovnikov <serge@> [041222 17:49]:
> > А вот моя болванка - кому нать - use it or modify :)
> Ну раз пошла такая пьянка, то вот то что я для себя сделал...
А?  Что?  Перепись?

Меня тоже запишите ;-)

-- 
Regards, Sir Raorn.
-------------------
Электричества нет, но мы работаем!
		-- aen in devel@

[-- Attachment #1.2: fw.sh --]
[-- Type: application/x-sh, Size: 1989 bytes --]

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] iptables vs ipchains [JT]

[Denis Kirienko]

Получил Wed, 22 Dec 2004 18:00:04 +0300 от Alexey I. Froloff следующее
письмо:

> > > А вот моя болванка - кому нать - use it or modify :)
> > Ну раз пошла такая пьянка, то вот то что я для себя сделал...
> А?  Что?  Перепись?
> 
> Меня тоже запишите ;-)

Господа, всем спасибо, но я скоро перестану успевать Ваши конфиги в
отдельную папочку в Сильфиде складывать :)

--
Денис

[Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains)

[Michael Shigorin]

[-- Attachment #1.1: Type: text/plain, Size: 1619 bytes --]

On Wed, Dec 22, 2004 at 04:13:39PM +0200, Andriy Dobrovol's'kii wrote:
> >PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
> >проверит, доточит, проверит и предложит в FAQ -- welcome.
> Миш, какя ж это болванка, если всюду пробиты конкретные адреса

Только не всюду, там есть _REAL_IP :)

Подразумевается: мир через eth0 (_REAL_IP) доступен в локальной
сети 10.0.1.0/24 через интерфейс eth1 (10.0.1.1).

При этом снаружи открыт специфицированный список портов и RELATED
packets, организованы цепочки для подсчёта трафика (eth1-in и
eth1-out), ....упс.

Перечитал скрипт, почесал в затылке, что на originating host уже
давно не добраться (земля той конторе пухом), порасставлял eth0 и
eth1 _адекватно_ адресам и заодно добавил комментариев.

Предыдущую версию считать не болванкой, а провокацией, болванкой
же считать приложенную :-)

> и интерфейсы. И никаких коментариев.

Вот потому так и охарактеризовал, и bloodmary@ на днях отказал
повесить в FAQ. (а вот теперь ближе к терпимому)

> Откоментированный скрипт её генерации с разумно
> абстрагированными переменными был бы болванкой...

Не, это был бы ещё один скрипт генерации, который мне нафиг не
упал, поскольку эта болванка _для меня_ превращается в рабочую за
пару минут в редакторе.

> P.S. Могу прислать свою попытку сделать такой, но, она застряла
> на "дверном" варианте и врядли представляет интерес. Уж больно
> жизнь разнообразна...

Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: iptables --]
[-- Type: text/plain, Size: 2375 bytes --]

# setup:
# world<->eth0[_REAL_IP]:::eth1[10.0.0.254]<->LAN
# _REAL_IP:_EXT_PORT is port-forwarded to _INT_HOST:_INT_PORT
# everything from inside gets masqueraded,
# with a few host-specific exceptions;
# everything from outside gets dropped unless
# targets explicitly allowed port
# or is a response to our request
# eth0-in/eth0-out count [paid] external traffic

# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d _REAL_IP -i eth0 -p tcp -m tcp --dport _EXT_PORT -j DNAT --to-destination _INT_HOST:_INT_PORT
-A POSTROUTING -s 10.0.0.0/24 -d ! 10.0.0.0/24 -j SNAT --to-source _REAL_IP
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:eth0-in - [0:0]
:eth0-out - [0:0]
:tcprules - [0:0]
-A INPUT -i eth0 -j eth0-in
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -d 10.0.0.254 -i eth1 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -d _REAL_IP -i eth1 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
-A INPUT -j tcprules
# block :25 to world (only through 10.0.0.1:25)
-A FORWARD -s 10.0.0.0/24 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j tcprules
-A OUTPUT -o eth0 -j eth0-out
-A eth0-in -j RETURN
-A eth0-out -j RETURN
-A tcprules -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcprules -i ! eth0 -m state --state NEW -j ACCEPT
-A tcprules -i eth0 -m state --state INVALID,NEW -j DROP
-A tcprules -i eth0 -j REJECT --reject-with icmp-host-unreachable
COMMIT
# Completed on Thu Nov 21 21:15:39 2002

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 357 bytes --]

On Wed, Dec 22, 2004 at 05:00:31PM +0200, Michael Shigorin wrote:
> Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)
Ты это раз в полгода говоришь.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Порой "родные драйвера" напоминают концепт-кары: и вроде круто, и
ездить не предназначено.
		-- mike in community@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] dotfiles.com

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 463 bytes --]

On Wed, Dec 22, 2004 at 09:22:03PM +0500, Andrey Rahmatullin wrote:
> > Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)
> Ты это раз в полгода говоришь.

И никто не пойдёт и не стырит у них движок, чтоб не изобретать
лисапет :-E  Опять за других свою работу делать? :-/

PS: а польза-то хоть та, что новый народ про дотфайлесы узнает
:-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains)

[Maxim Tyurin]

Andrey Rahmatullin <wrar@altlinux.ru> writes:

> On Wed, Dec 22, 2004 at 05:00:31PM +0200, Michael Shigorin wrote:
>> Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)
> Ты это раз в полгода говоришь.

Но идея-то полезная
-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com

Re: [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?)

[Alexey S. Kuznetsov]

Hello!

Вы писали 22 грудня 2004 р., 15:49:03:

> On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
>> >>Пусть человек начнёт с самого начала, потом будет переходить
>> >>на более новые шняги :-)
>> >Смысл? 
>> Нужно понимать концепцию, а не тупо заучивать комманды. Я
>> считаю, что нужно знать и старые версии софта и новые.

> Дружище, объясните мне, тупому, какая-такая концепция в ipchains
> и в чём смысл использовать его (уж ipfwadm тогда) под
> современными ядрами, помимо быстрого портирования (и то есть
> нюансы вроде различного поведения ipchains -L -z под 2.2 и 2.4)?

> Я вот скажу, что нормальный файрвол построить на iptables --
> гораздо меньше головной боли и куда эффективней, чем на ipchains
> и предыдущем ipfwadm -- уже благодаря statefullness, бишь тому,
> что можно ссылаться на соединения, например, сказав "принимать
> ответы на то, что инициировано от нас".

> PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
> проверит, доточит, проверит и предложит в FAQ -- welcome.

да я ж не спорю, что iptables круче и более наворочен, просто человек спросилд, я подумал,
то пусть начнёт с ipchains, потому что он легче для восприятия (если он не работал раньше
с этими фаерволами), а потом, если захочет, переходит на iptables.
У меня всё.

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE

Re: [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?)

[Denis Kirienko]

Получил Wed, 22 Dec 2004 17:30:31 +0200 от Alexey S. Kuznetsov
следующее письмо:

> >> >>Пусть человек начнёт с самого начала, потом будет переходить
> >> >>на более новые шняги :-)
> >> >Смысл? 
> >> Нужно понимать концепцию, а не тупо заучивать комманды. Я
> >> считаю, что нужно знать и старые версии софта и новые.
> 
> > Дружище, объясните мне, тупому, какая-такая концепция в ipchains
> > и в чём смысл использовать его (уж ipfwadm тогда) под
> > современными ядрами, помимо быстрого портирования (и то есть
> > нюансы вроде различного поведения ipchains -L -z под 2.2 и 2.4)?
> 
> > Я вот скажу, что нормальный файрвол построить на iptables --
> > гораздо меньше головной боли и куда эффективней, чем на ipchains
> > и предыдущем ipfwadm -- уже благодаря statefullness, бишь тому,
> > что можно ссылаться на соединения, например, сказав "принимать
> > ответы на то, что инициировано от нас".
> 
> да я ж не спорю, что iptables круче и более наворочен, просто
> человек спросилд, я подумал, то пусть начнёт с ipchains, потому что
> он легче для восприятия (если он не работал раньше с этими
> фаерволами), а потом, если захочет, переходит на iptables. У меня
> всё.

Как начавший тему, предлагаю данную holy war прекратить.
Я для себя выбор сделал.

--
Денис