[Comm] Создание шлюза

[Comm] Создание шлюза

[Alexandr Petukhov]

Здравствуйте.
Ситуация такая:


комп с двумя сетевушками
    eth0   192.168.x.51(городская сеть и VPN)
    eth2   192.168.0.1
    шлюз 192.168.x.1
к eth2 через свитч подключен втророй комп:
    eth0   192.168.0.2
    шлюз 192.168.0.1

Соответственно инет  есть тока на первом компьютере.
Как  настроить таблицу маршрутизации так,чтоб инет  был и на второй машине?

Re: [Comm] Создание шлюза

[Мерзляков Евгений Анатольевич]

В сообщении от Saturday 26 January 2008 20:51:13 Alexandr Petukhov написал(а):
> Здравствуйте.
> Ситуация такая:
>
>
> комп с двумя сетевушками
>     eth0   192.168.x.51(городская сеть и VPN)
>     eth2   192.168.0.1
>     шлюз 192.168.x.1
> к eth2 через свитч подключен втророй комп:
>     eth0   192.168.0.2
>     шлюз 192.168.0.1
>
> Соответственно инет  есть тока на первом компьютере.
> Как  настроить таблицу маршрутизации так,чтоб инет  был и на второй машине?

на шлюзе:
iptables -A PREROUTING -t nat -s 192.168.0.1/24 -o eth0 -j SNAT 192.168.x.51
echo 1 >  /proc/sys/net/ipv4/ip_forward

на клиентских машинах установить шлюз по умолчанию 192.168.0.1

-- 
Мерзляков Е.А.
Jabber ID: humptydumpty@jabber.ru

Re: [Comm] Создание шлюза

[Sergey]

On Monday 28 January 2008, Мерзляков Евгений Анатольевич wrote:

> echo 1 >  /proc/sys/net/ipv4/ip_forward

И, всё-таки, стоит не забыть параметр соответствующий в /etc/net/sysctl.conf
поправить.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] Создание шлюза

[Mikhail Kuligin]

День добрый
в продолжение "о шлюзе"
пытаюсь настроить nat gпо предідущим постам "[Comm] Создание шлюза"
> на шлюзе:
>  iptables -A PREROUTING -t nat -s 192.168.0.1/24 -o eth0 -j SNAT 192.168.x.51
>  echo 1 >  /proc/sys/net/ipv4/ip_forward

eth0 172.16.0.1/16 домашняя сеть
eth1 192.168.16.132/22 городская сеть
route
Destination         Gateway         Genmask           Flags Metric Ref
   Use Iface
192.168.16.0      *                    255.255.252.0       U       0
   0        0 eth1
172.16.0.0          *                    255.255.0.0          U
0      0        0 eth0
192.168.0.0     192.168.16.1      255.255.0.0        UG      0      0
      0 eth1
default         192.168.16.188     0.0.0.0                UG      0
  0        0 eth1

даю такую команду
# iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT 192.168.16.132
Bad argument `192.168.16.132'
Try `iptables -h' or 'iptables --help' for more information.

при этом в /etc/rc.d/init.d/ сервиса nat нет
Motsyo Gennadi aka Drool <motsyo@gmail.com> выложил свой файл nat, но
хочу разобраться с самого начала? где его брать? с каким пакетом
приходит скрипт nat, запускаемый из /etc/rc.d/init.d? или nat всего
лишь параметр передаваемый в команде iptables
> Закинуть nat в /etc/rc.d/init.d откуда?
читаю 2 книги "Использование Linux, Дэвид Бэндел", "Линукс сервер
своими руками, Д Колисниченко", но прочтение дает понимание теории, но
не применения на практике :(

Re: [Comm] Создание шлюза

[Владимир Гусев]

> [..]
> даю такую команду
> # iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT
> 192.168.16.132 Bad argument `192.168.16.132'
> Try `iptables -h' or 'iptables --help' for more information.
> при этом в /etc/rc.d/init.d/ сервиса nat нет

chkconfig --list |grep iptables

> Motsyo Gennadi aka Drool <motsyo@gmail.com> выложил свой файл nat, но
> хочу разобраться с самого начала? где его брать? с каким пакетом
> приходит скрипт nat, запускаемый из /etc/rc.d/init.d? или nat всего
> лишь параметр передаваемый в команде iptables

/etc/sysconfig/iptables - тот самый "файл nat", скорее всего.. он вам
прислал файл, его нужно положить туда.. 

> > Закинуть nat в /etc/rc.d/init.d откуда?

chkconfig iptables on
service iptables start

проверить, если все хорошо, то 

service iptables save

Разве не это?

> читаю 2 книги "Использование Linux, Дэвид Бэндел", "Линукс сервер
> своими руками, Д Колисниченко", но прочтение дает понимание теории, но
> не применения на практике :(


-- 
С уважением,
Владимир Гусев

Re: [Comm] Создание шлюза

[Владимир Гусев]

> > [..]
> > даю такую команду
> > # iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT
> > 192.168.16.132 Bad argument `192.168.16.132'

SNAT --to-source 192.168.16.132 скорее всего..
И потом, PREROUTING как-то не вяжется с SNAT.. 

-- 
С уважением,
Владимир Гусев

Re: [Comm] Создание шлюза

[Владимир Гусев]

On Thu, 31 Jan 2008 12:10:28 +0300
Владимир Гусев wrote:

> > > [..]
> > > даю такую команду
> > > # iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT
> > > 192.168.16.132 Bad argument `192.168.16.132'
> 
> SNAT --to-source 192.168.16.132 скорее всего..
> И потом, PREROUTING как-то не вяжется с SNAT.. 


http://ru.gentoo-wiki.com/%D0%9B%D0%BE%D0%B3%D0%B8%D0%BA%D0%B0_%D0%B8_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%B0_iptables

-- 
С уважением,
Владимир Гусев

Re: [Comm] Создание шлюза

[Алексей Шенцев]

В сообщении от Thursday 31 January 2008 12:14:05 Владимир Гусев написал(а):
> On Thu, 31 Jan 2008 12:10:28 +0300
>
> Владимир Гусев wrote:
> > > > [..]
> > > > даю такую команду
> > > > # iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT
> > > > 192.168.16.132 Bad argument `192.168.16.132'
> >
> > SNAT --to-source 192.168.16.132 скорее всего..
> > И потом, PREROUTING как-то не вяжется с SNAT..
>
> http://ru.gentoo-wiki.com/%D0%9B%D0%BE%D0%B3%D0%B8%D0%BA%D0%B0_%D0%B8_%D0%B
>F%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%B0_iptables

Работающий пример, где $IPTABLES = /sbip/iptables , $ADMIN_IP1 = 
ip-адрес/маска_сети, $LAN/$LAN_MASK = сеть/маска_сети, $INET_IFACE = 
интерфейс_смотрящий_в_инет, $INET_IP = ip-адрес_в_интернете/маска_сети

#Админу можно всё ... :)
$IPTABLES -t nat -A POSTROUTING -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -o 
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -j ACCEPT

На клиентских машинах указываем в /etc/net/ifaces/eth0/ipv4route пишем:
default via <ip_адрес_шлюза_в_ЛВС>
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Создание шлюза

[Мерзляков Евгений Анатольевич]

В сообщении от Thursday 31 January 2008 13:47:01 Mikhail Kuligin написал(а):
> даю такую команду
> # iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT
> 192.168.16.132

извиняюсь, позабыл кусочек (по памяти писал)
iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT --to-source 
192.168.16.132

никаких сервисов nat при этом не появляется, если хотите чтобы эта команда 
отрабатывала при старте системы надо ее запихать в какой-нить стартовый 
скрипт

-- 
Мерзляков Е.А.
Jabber ID: humptydumpty@jabber.ru

Re: [Comm] Создание шлюза

[Мерзляков Евгений Анатольевич]

В сообщении от Thursday 31 January 2008 15:47:49 Мерзляков Евгений Анатольевич 
написал(а):
> В сообщении от Thursday 31 January 2008 13:47:01 Mikhail Kuligin написал(а):
> > даю такую команду
> > # iptables -A PREROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT
> > 192.168.16.132

еще раз извиняюсь, конечно-же POSTROUTING
iptables -A POSTROUTING -t nat -s 172.16.0.1/24 -o eth1 -j SNAT --to-source 
192.168.16.132


-- 
Мерзляков Е.А.
Jabber ID: humptydumpty@jabber.ru

Re: [Comm] Создание шлюза

[Motsyo Gennadi aka Drool]

Mikhail Kuligin пишет:
> при этом в /etc/rc.d/init.d/ сервиса nat нет
> Motsyo Gennadi aka Drool <motsyo@gmail.com> выложил свой файл nat, но
> хочу разобраться с самого начала? где его брать? с каким пакетом
> приходит скрипт nat, запускаемый из /etc/rc.d/init.d? или nat всего
> лишь параметр передаваемый в команде iptables

	Я же говорил - инит-скрипт nat есть лично мой, не из какого пакета. 
Написан на основе документации по поднятию прозрачного прокси из состава 
АЛМ-2.4, на котором в свое время и работал. Теперь причесал для 4-й ветки.
	Кстати, мне тут подумалось - а не завернуть ли его в некий пакет типа 
small_router с небольшим описанием и примерами? В него вложить данный 
инит-скрипт и конфиг squid-а.

>> Закинуть nat в /etc/rc.d/init.d откуда?

	Из этого архива:
http://fly.osdn.org.ua/~drool/nat_squid.tar.bz2

	Кстати, жутко извиняюсь - в скрипт nat вкралась синтаксическая ошибка 
:-( Причесывал и забыл ";;" в одном месте. Поправил и перезалил архив.

> читаю 2 книги "Использование Linux, Дэвид Бэндел", "Линукс сервер
> своими руками, Д Колисниченко", но прочтение дает понимание теории, но
> не применения на практике :(

	Ну, я читал документацию что шла в АЛМ-2.4, потом это:
apt-cache search squid | grep doc
docs-proxy_squid-kirill - Кеширующий прокси-сервер Squid

Re: [Comm] Создание шлюза

[Владимир Гусев]

> [..] Теперь причесал для 4-й ветки. Кстати, мне тут подумалось - а не
> завернуть ли его в некий пакет типа small_router с небольшим
> описанием и примерами? В него вложить данный инит-скрипт и конфиг
> squid-а.

"Заверните!" (с)

-- 
С уважением,
Владимир Гусев

Re: [Comm] Создание шлюза

[Mikhail Kuligin]

ой не бийте мене хлопци, я городський, но nat так и не могу осилить
вот выдрал из  из этого архива:http://fly.osdn.org.ua/~drool/nat_squid.tar.bz2
(спасибо доброму человеку) файл nat (исправленный автором), поскольку
мне сквид не нужен, убрал проброс и вот, что получилось
[root@budda init.d 23:10:09]# cat /etc/init.d/nat
#!/bin/sh
# chkconfig: 2345 13 89
# description: NAT
. /etc/init.d/functions
case "$1" in
        start)
                $0 stop
                echo -n "Starting NAT: "
                        && echo 1 > /proc/sys/net/ipv4/ip_forward \
                        && iptables -t nat -A POSTROUTING -s
172.16.0.1/16 -o eth0 -j MASQUERADE \
                        && success
                echo
                ;;
        stop)
                echo -n "Stopping NAT: "
                        echo 0 > /proc/sys/net/ipv4/ip_forward \
                        && iptables -t filter -F \
                        && iptables -t filter -X \
                        && iptables -t nat -F \
                        && iptables -t nat -X \
                        && success
                echo
                ;;
        restart)
                $0 stop
                $0 start
                ;;
        list)
                iptables -L -t nat
                ;;
        *)
                echo "Usage: nat {start|stop|restart|list}"
                exit 1
                ;;
esac
exit $RETVAL
запускается, не ругается
зато не запускается сам iptables
[root@budda Documents 21:20:09]# service iptables start
Applying iptables firewall rules: iptables-restore: line 1 failed
                                                                       [FAILED]

iptables вобще нужно запускать для nat? мне бы пока 2 машину в сеть
запустить, а потом с firewall-ом разбираться

вот несколько строк

[root@budda 21:22:56]# cat /etc/init.d/iptables | nl
     1  #!/bin/sh
     2  #
     3  # iptables      Start iptables firewall
     4  #
     5  # chkconfig: - 08 92
     6  # description: Automates a packet filtering firewall with iptables
     7  #
     8  # config: /etc/sysconfig/iptables
     9  # config: /etc/sysconfig/iptables_params
    10  WITHOUT_RC_COMPAT=1
    11  # Source function library
    12  . /etc/init.d/functions

откуда он выдирает функцию iptables-restore?
вобщем, запутался в трех соснах:(

Re: [Comm] Создание шлюза

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1175 bytes --]

Mikhail Kuligin пишет:
> ой не бийте мене хлопци, я городський, но nat так и не могу осилить
> вот выдрал из  из этого архива:http://fly.osdn.org.ua/~drool/nat_squid.tar.bz2
> (спасибо доброму человеку) файл nat (исправленный автором), поскольку
> мне сквид не нужен, убрал проброс и вот, что получилось
>   
==skip==
> откуда он выдирает функцию iptables-restore?
> вобщем, запутался в трех соснах:(
>   
о боже. Выбросьте все что до этого делали.
Сделайте от имени root:

# service iptables stop
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# service iptables save
# service iptables start

И будет вам NAT (вместо eth0 подставьте имя своего интерфейса через
который у вас инет идет). Затем идете и внимательно читаете
http://www.opennet.ru/docs/RUS/iptables/

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Comm] Создание шлюза

[Motsyo Gennadi aka Drool]

Mikhail Kuligin пишет:
> мне сквид не нужен, убрал проброс и вот, что получилось

	Эм... Зря - кеширование страниц даст Вам увеличение скорости открытия и
экономию траффика, если это важно.

> запускается, не ругается
> зато не запускается сам iptables
> [root@budda Documents 21:20:09]# service iptables start
> Applying iptables firewall rules: iptables-restore: line 1 failed
>                                                                        [FAILED]

	У меня вообще говорит что iptables not configured или как-то так. И тем
не менее все работает. Фактически nat-скрипт можно и не делать, а
указать нужные правила прямо в командной строке, включить где-то в
/etc/net форвардинг и если все работает как нужно:

service iptables save

Re: [Comm] Создание шлюза

[Vladimir V. Kamarzin]

>>>>> On 31 Янв 2008 at 13:47 "MK" == Mikhail Kuligin writes:

 MK> при этом в /etc/rc.d/init.d/ сервиса nat нет
 MK> Motsyo Gennadi aka Drool <motsyo@gmail.com> выложил свой файл nat, но
 MK> хочу разобраться с самого начала? где его брать? с каким пакетом
 MK> приходит скрипт nat, запускаемый из /etc/rc.d/init.d?

Ни с каким. Вообще, в альте есть два штатных места настройки iptables - это
service iptables и его /etc/sysconfig/iptables и etcnet
fw. См. http://www.freesource.info/wiki/AltLinux/Sisyphus/admin/etcnet/firewall

Я пользуюсь etcnet, т.к. оно гибче конфигурируется.

-- 
518. Лучше обойтись три дня без еды, чем один день без шушпанчика.