LINUX.ORG.RU
ФорумAdmin

iptables+маскарадинг


0

0

Нужно с пом. iptables сделать следующее... Имеется в квартире 3 компа, все в одной сети подключены через свитч... Среди них 1 комп с инетом (на нём linux, впн соединение) у него ip 192.168.15.20 и соотвественно etho - сеть и ppp0 - впн соединение (инет), на инете ип выдаётся впн сервером. у остальных компов ипы 192.168.15.21 и 192.168.15.22, собственно нужно на комп с инетом и линуксом настроить роутер чтоли... чтобы трафик с сетевой перенаправлялся на ppp0, короче если на двух компах прописать 192.168.15.20 как шлюз, то и у них будет инет. Подсказали что нужно использовать маскарадинг, не поможете ? я то не админ, а нужно это сделать очень, погуглил, что-то нашёл, но так и не понял, не заработало, параметров куча, правил всяких. Помогите пожайлуста, харанее спасибо.

anonymous

Ответ на: комментарий от zgen

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i ppp0 0 -m state --state NEW,INVALID -j DROP echo 1 > /proc/sys/net/ipv4/ip_forward

т.е. для моего случая этого должно хватить ? т.е. всех будет пропускать через мой роутер на ppp0 правильно я понял ?

anonymous
()
Ответ на: комментарий от anonymous

Ты правильно понял. iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE как раз исполняет маскарад.

Кроме того, на роутере шлюзом по-умолчанию прописываешь 0.0.0.0 (по идее так, во всяком случае, с дайлапным ppp0 это точно так).

Только фильтрация трафика происходит некошерно. Ты запрещаешь неправильные пакеты, и разрешаешь все остальные. Кошерно сначала запретить всё

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

а потом разрешить то, что надо

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

З.Ы. Если в цепочках форвард и аутпут не пропускать пакеты со статусом NEW - соединение из твоей сети наружу установить не получится :)

bsh ★★★
()
Ответ на: комментарий от anonymous

>но у моего роутера же шлюз 192.168.15.1 добавить ещё один шлюз 0.0.0.0 ?

Если у интерфейса ррр0 постоянный айпи 192.168.15.1 то нет конечно ;). У меня создалось впечатление, что у впн интерфейса ррр0 айпи присваивается динамически, то есть при каждом подключении айпи назначается другой. Именно в этом случае юзают маскарад. Если на внешнем интерфейсе (который смотрит в впн сеть) назначен постоянный айпи есть смысл юзать SNAT вместо MASQUERADE - нагрузка на роутер существенно меньше...

bsh ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.