Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam.
Pytane jest w temacie a dodatkowo jak zrobic udostepnienie neta bez maskarady zgodnie ztym artykułem gdzie co zmienic?
http://dug.net.pl/texty/masq.php
oraz czy w tym artykule w konf firewalla nie byly zapodawane nazwy interfejsów dlatego ze iptables sam sie domysla i wie ktory jest do czego z pliku /etc/network/interfaces ?
Offline
proponuje jeszcze czytnac
http://dug.net.pl/texty/ethernet.php
aby dowedzec sie jak todziala
Offline
Heh ale tam nie ma odpowiedzi na moje pytania.
Wiec czekam na odpowiedz?
Ok pewnie chodzi o to ze iptables nie jest routerem tylko ogranicza conieco n arouterze ktorym jest debian z odpowiednio skonfigurowanymi interfejsami.
Offline
no powiedzmy ze dziala to tak
zalaczasz forwardowanie (przekazywanie) pakietow
ustwiajac na 1 wartosc w pliku /proc/sys/net/ipv4/ip_forward
lub wpisujac w pliku /etc/network/options ;inijke
ip_forward=no
ze wzgledu ze w sieci lokalnej uzywasz adresow nie routowalnych np
192.168.x.x czy 10.x.x.x musisz je zamaskowac czyli defakto wszystkie wychodzace pakiety beda wdziane z IP interfeksu ktory masz przydzielony przez twojego dotawce internetu....
server dzieki tablicy polaczen mozesz se je oblukac plik
/proc/net/ip_conntrack
wie ktore pakiety maja gdzie trafic na iptables poleceniami
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
"podtrzymujesz" polaczeina
a maskujesz adresy lokalne poleceniem
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
oraz zezwalasz na ich przekazywanie
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
Offline
Sorry za nachalność ale nie jestem w stanie tego zczić mimo ze sie naczytalem roznych rzeczy.
1) Czyli sama konfiguracja interfejsów i włączeni forwardowania nie wystarczy i iptables z opcja masquerade jet tutaj niezbedny do przetworzenia adresow wenetrznych na adres zewnetrzny?
3) Czy bez tego:
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED ... iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
nawet jezeli polityka bedzie na wszystko na accept router nie zadziala?oczywiscie to pozostanie:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
Temat tego topicu chyba jest jakiś sknocony a wzieło mi sie to stąd ze dawno temu wszedlem na jakas strone i wyswietlil sie na niej moj nr ip zewnetrzny dla lanu oraz moj ip wewenętrzny( i stąd mi sie to wzielo ze bez maskarady a to chyba nie o to chodzi)
Czy to router wtedy byl jakos inaczej skonfigurowany?Bo niewiem jakim cudem wyniuchali ip wewnetrzny?
Offline
Oki dzieki.
Juz chyba ostatnie pytanie::)
linijki dla forwarda olaz polaczen nawiazanych musza byc
Dlaczago muszą być jeżeli polityke ustawilem na ACCEPT na wszystkim? (ktora mowi wpuszczaj,wypuszcaj,przekazuj wszystko) tzn. tak:
iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT
Pomijając kwestje bezpieczenstwa tego routera.
Co do:
jesli korzystales wtefy z wndowsa i IE to jest taka mozliwosc ze jakis skrypt wydarl twoje ip lokalne :]
to faktycznie tak było winda i i IE :D
Offline
Oki dzieki.
Juz chyba ostatnie pytanie::)
Cytat:
linijki dla forwarda olaz polaczen nawiazanych musza byc
Dlaczago muszą być jeżeli polityke ustawilem na ACCEPT na wszystkim? (ktora mowi wpuszczaj,wypuszcaj,przekazuj wszystko) tzn. tak:
Kod:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Pomijając kwestje bezpieczenstwa tego routera.
to tak jakbyś załadował stronke do katalogu /var/www i sie dziwił czemu nie działą bo apache jest wyłączony - tak mi sie wydaje ze o to chodzi :P
Offline
tak mi sie wydaje ze o to chodzi :P
prosze o bankowe info:)
Offline