Forum Debian Users Gang

orzeech · 2007-07-25 13:44:39

Witam mam problem z maskarada ip chce udostepnic internet na dwa komputery ktore pracuja pod winxp
moj plik interface:

# Used by ifup(8) and ifdown(8). See the interfaces(5) manpage or
# /usr/share/doc/ifupdown/examples for more information.

iface lo inet loopback

iface wlan0 inet dhcp
wireless-essid LEAN1

auto wlan0

iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0

moj plik firewall

# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -s 0/0 -d 192.168.2.112 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.2.112 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.2.112 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.2.112 -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

a na komputerze z windowsem wpisuje recznie takie dane
ip 192.168.1.3
maska 255.255.255.0
brama 192.168.1.1
servery dns 194.204.152.34
194.204.159.1

i nie wiem juz gdzie robie blad

Kudzu · 2007-07-25 15:14:15

ja dzielilem internet dzieki temu skryptowi (dla kernela 2.4.x i 2.6.x)

rowniez dobry sposob to ten z faq na dugu

ba10 · 2007-07-25 15:59:49

Witam mam problem z maskarada ip chce udostepnic internet na dwa komputery ktore pracuja pod winxp
moj plik interface:

# Used by ifup(8) and ifdown(8). See the interfaces(5) manpage or
# /usr/share/doc/ifupdown/examples for more information.

iface lo inet loopback

iface wlan0 inet dhcp
wireless-essid LEAN1

auto wlan0

iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0

Przypisujesz do dwóch róznych interfejsów ten sam adres ip. Spójrz też w ten wątek.

orzeech · 2007-07-25 16:40:13

zmienilem moj plik interfaces teraz wyglada tak
# Used by ifup(8) and ifdown(8). See the interfaces(5) manpage or
# /usr/share/doc/ifupdown/examples for more information.

iface lo inet loopback

iface wlan0 inet dhcp
wireless-essid LEAN1

auto wlan0

iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0

aki · 2007-07-28 13:20:15

najlepiej jak udostepnaiasz na 2 interfejsy to postaw bridg'a bo ja tez mialem problem z tym i pomugl dopiero bridge :)

orzeech · 2007-07-30 10:01:18

Nio a jak mam postawic tego bridge??
Ja mam 3 interfejsy wlan0 dzieki ktoremu mam internet i eth0 i eth1 po to zeby udostepnic lacze dwom komputerom.

aki · 2007-07-30 20:39:16

bridga miedzy sieciowkami a potem w iptables udostepnij neta na bridga :) i wszystko powinno smigac :) sorki ze tak dlugo ale przebudowywalem delikatnie siec :) a jak niebedziesz wiedzial jak to zrobic , to napisz to podesle dokladnie na forum co i jak :)

pasqdnik · 2007-07-30 21:21:25

Chyba jeden z lepszych opisów jak zrobić działającego "bridża". Miłej lektury. :)

orzeech · 2007-08-02 00:01:56

a tego bridge mam uzywac z maskarada??

lordvader20 · 2007-08-02 00:12:30

Wg mnie jak chcesz dzielic net na dwie sieciowki to przypisz im inne adresy IP i rob dwie maskarady albo zrob jedna dla calej podsieci.. takie jest moje zdanie :)

uwaga tego posta pisalem troche zmeczony wiec jesli palnalem glupote, to mowcie

orzeech · 2007-08-02 10:55:29

tak chce rozdzielic a dwie sieciowki bo mam trzy interfajsy wlan0 to jest radiokw i dzieki niej mam internet i mam jeszcze dwie zwykle karty sieciowe gdzie chce zeby dwa dodatkowe komputery mialy neta

lordvader20 · 2007-08-02 19:21:58

Kod:

#!/bin/bash
#
#################################
#                               #
# FIREWALL CONFIGURATION SCRIPT #
#                               #
#################################
#
####################################
#    ustawienie kilku zmiennych    #
####################################


# ścieżka do pliku iptables
         IPT=`which iptables`
# interfejs zewnętrzny, od strony Internetu
         INT_PUB="wlan0"
# interfejs wewnętrzny, od strony sieci LAN
         INT_LAN="eth0"
#interfejs wewnetrzny nr 2, od strony sieci LAN nr 2
         INT_LAN2="eth1"
# adres IP sieci LAN
         IP_LAN="192.168.0.0/24"

###############################
#          psztyczki          #
###############################

# wlaczenie forwardingu IP, czyli psztyczek od udostepniania lacza
echo "1" > /proc/sys/net/ipv4/ip_forward

# ochrona przed atakami
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# echo "1" > /proc/sys/net/ipc4/conf/all/rp_filter      /* to nie dziala */

echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

##################################
#        regułki firewalla       #
################################## 
# ustawiamy domyślną politykę dla poszczególnych łańcuchów
# domyślnie połączenia przychodzące odrzucamy
         $IPT -P INPUT DROP
# domyslnie blokujemy przekazywanie pakietów
         $IPT -P FORWARD DROP

# czyścimy istniejące reguły w łańcuchach
         $IPT -F
# czyścimy tablicę NAT
         $IPT -F -t nat
# czyscimy dotychczasowe lancuchy zdefiniowane przez uzytkownika
         $IPT -X


# interfejs lokalny (lo) traktujemy jako uprzywilejowany
         $IPT -A INPUT -i lo -j ACCEPT
         $IPT -A OUTPUT -o lo -j ACCEPT
         $IPT -A FORWARD -o lo -j ACCEPT

###########################
# najwazniejsze regulki   #
###########################

# wpuszczamy na wszystkie interfejsy tylko nawiązane przez siebie i spokrewnione połączenia (dla poszczególnych protokołów)
         $IPT -A INPUT -p all -j ACCEPT -m state --state ESTABLISHED,RELATED

# odrzucamy przychodzące na interfejsy zapytania o IDENT i SOCKS z odpowiedzią port nieosiągalny
# aby uniknąć opóźnień w trakcie łączenia z serwerami IRC i FTP
          $IPT -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
          $IPT -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable

# pozwalamy na połączenia z zaufanej sieci LAN (eth0)
         $IPT -A INPUT -i $INT_LAN -p all -j ACCEPT -m state --state NEW
         $IPT -A INPUT -i $INT_LAN2 -p all -j ACCEPT -m state --state NEW

# wpuszczamy z zewnątrz (wlan0) do sieci (eth0) tylko połączeń wcześniej nawiązanych z LAN lub spokrewnionych
      $IPT -A FORWARD -i $INT_PUB -o $INT_LAN -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# wypuszczanie połączeń z sieci LAN do Internetu
      $IPT -A FORWARD -i $INT_LAN -o $INT_PUB -p all -j ACCEPT

# to samo z drugim interfejsem
# wpuszczamy z zewnątrz (wlan0) do sieci (eth0) tylko połączeń wcześniej nawiązanych z LAN lub spokrewnionych
      $IPT -A FORWARD -i $INT_PUB -o $INT_LAN2 -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# wypuszczanie połączeń z sieci LAN do Internetu
      $IPT -A FORWARD -i $INT_LAN2 -o $INT_PUB -p all -j ACCEPT

# odrzucamy pozostały ruch przekazywany
           $IPT -A FORWARD -j DROP

# wykonujemy translację adresów NAT (MASQUERADE) dla całej sieci - dla dynamicznego IP publicznego
          $IPT -t nat -A POSTROUTING -o $INT_PUB -s $IP_LAN -j MASQUERADE

echo "Setting up firewall... done."

obydwa kompy w obydwoch lanach niech maja ip z puli 192.168.x.x
powinno dzialac.

PS. na debianie etch nie dziala. dopiero w testingu (lenny) dziala bo tam jest juz nowe jadro ktore obsluguje wiecej rzeczy od iptables m.in. "state" ktore jest uzyte w tym skrypcie.

jakby co to mozesz zapodac sobie jajo z testinga do etcha i bedzie smigalo.

Forum Debian Users Gang

Ogłoszenie

#1 2007-07-25 13:44:39

orzeech - Użytkownik

problem z maskaradoa wifi i dwie karty sieciowe

#2 2007-07-25 15:14:15

Kudzu - 1NF:rM@7iON1SP0vvErr

Re: problem z maskaradoa wifi i dwie karty sieciowe

#3 2007-07-25 15:59:49

ba10 - Członek DUG

Re: problem z maskaradoa wifi i dwie karty sieciowe

#4 2007-07-25 16:40:13

orzeech - Użytkownik

Re: problem z maskaradoa wifi i dwie karty sieciowe

#5 2007-07-28 13:20:15

aki - Użytkownik

Re: problem z maskaradoa wifi i dwie karty sieciowe

#6 2007-07-30 10:01:18

orzeech - Użytkownik

Re: problem z maskaradoa wifi i dwie karty sieciowe

#7 2007-07-30 20:39:16

aki - Użytkownik

Re: problem z maskaradoa wifi i dwie karty sieciowe

#8 2007-07-30 21:21:25

pasqdnik - Pijak ;-P

Re: problem z maskaradoa wifi i dwie karty sieciowe

#9 2007-08-02 00:01:56

orzeech - Użytkownik

Re: problem z maskaradoa wifi i dwie karty sieciowe

#10 2007-08-02 00:12:30

lordvader20 - Członek DUG

Re: problem z maskaradoa wifi i dwie karty sieciowe

#11 2007-08-02 10:55:29

orzeech - Użytkownik

Re: problem z maskaradoa wifi i dwie karty sieciowe

#12 2007-08-02 19:21:58

lordvader20 - Członek DUG

Re: problem z maskaradoa wifi i dwie karty sieciowe

Kod:

Stopka forum