LINUX.ORG.RU
ФорумAdmin

Iptables интернет шлюз


0

0

Имеется главный сервер ip-10.0.68.1 от него по сети(DHCP) подключен второй компьюьтер(linux rh9)ip-10.0.68.242. От второго компьютера подключено еще два пользоваетльских на винде через вторую сетвуху которая смотрит на эти два компа, ее ip-192.168.1.1 255.255.255.0 тоесть получается что необходимо из второго компютера сделать интернет шлюз на эти два пользоваетльскиз виндовых компа прописал правила *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -s 168.192.1.0/24 -p icmp -i eth1 -j ACCEPT -A FORWARD -d 168.192.1.0/24 -p icmp -o eth1 -j ACCEPT -A FORWARD -s 168.192.1.0/24 -p udp -m udp --dport 53 -i eth1 -j ACCEPT -A FORWARD -d 168.192.1.0/24 -p udp -m udp --sport 53 -o eth1 -j ACCEPT -A FORWARD -s 168.192.1.0/24 -p tcp -m multiport --dports 20,21,25,80,110,8080 -i eth1 -j ACCEPT -A FORWARD -d 168.192.1.0/24 -p tcp -m multiport --sports 20,21,25,80,110,8080 -o eth1 -j ACCEPT COMMIT

после них стал работать ping 10.0.68.1(Главный сервер)а трасировка на главный проходит через второй сервер (192.168.1.1) Но интеренета на компьютерах нет, уверене что проблема в правилах Как решить проблему с интернетом на двух пользоваетльских компьютерах???

anonymous

Ответ на: Re: Iptables интернет шлюз от SlavikSS

Re: Iptables интернет шлюз

*nat :PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -s 168.192.1.0/24 -p icmp -i eth1 -j ACCEPT
-A FORWARD -d 168.192.1.0/24 -p icmp -o eth1 -j ACCEPT
-A FORWARD -s 168.192.1.0/24 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A FORWARD -d 168.192.1.0/24 -p udp -m udp --sport 53 -o eth1 -j ACCEPT
-A FORWARD -s 168.192.1.0/24 -p tcp -m multiport --dports 20,21,25,80,110,8080 -i eth1 -j ACCEPT
-A FORWARD -d 168.192.1.0/24 -p tcp -m multiport --sports 20,21,25,80,110,8080 -o eth1 -j ACCEPT
COMMIT

anonymous ()
Ответ на: Re: Iptables интернет шлюз от victorb

Re: Iptables интернет шлюз

Днс нигде не настроен кроме самого главного сервера
а у виндовых прописал тока шлюз это (eth1 во втором серверен 192.168.1.1) и ip и маску
-m state --state established,related А что это правило даст??
Везде читал прпавила который у меня прописаны буду пискать виндовые компы в инет а в результате ничего
Что не так с iptables?

anonymous ()
Ответ на: Re: Iptables интернет шлюз от anonymous

Re: Iptables интернет шлюз

без прописанных ДНС на виндовых тачках инет у тебя будет только по ipшникам:)

Mousehouse ()

Re: Iptables интернет шлюз

А NAT то у тебя где? SNAT или маскарад где делается? На втором сервере его нет. А на первом есть?

ansky ★★★★★ ()
Ответ на: Re: Iptables интернет шлюз от ansky

Re: Iptables интернет шлюз

не, про нат в самом начале было:

nat :PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

а -m state нужен чтобы ответы от внешних серверов обратно пропускать, а не блокировать

victorb ★★ ()
Ответ на: Re: Iptables интернет шлюз от victorb

Re: Iptables интернет шлюз

Добавил -A INPUT -m state --state RELATED,ESTABLISHED
Вот новый /etc/sysconfig/iptables:
*nat :PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED
-A FORWARD -s 168.192.1.0/24 -p icmp -i eth1 -j ACCEPT
-A FORWARD -d 168.192.1.0/24 -p icmp -o eth1 -j ACCEPT
-A FORWARD -s 168.192.1.0/24 -p udp -m udp --dport 53 -i eth1 -j ACCEPT
-A FORWARD -d 168.192.1.0/24 -p udp -m udp --sport 53 -o eth1 -j ACCEPT
-A FORWARD -s 168.192.1.0/24 -p tcp -m multiport --dports 20,21,25,80,110,8080 -i eth1 -j ACCEPT
-A FORWARD -d 168.192.1.0/24 -p tcp -m multiport --sports 20,21,25,80,110,8080 -o eth1 -j ACCEPT
COMMIT

И серавно у пользоваетлей в локалке интернета нет!
Что не так???

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.