iptables

0

0

Здравствуйте, есть 1 внешний апишник, решил сделать НАТ и 2 других компа водить через НАТ. В айпитаблесе прописал правила (политика по умолчанию accept), получил что второй комп может пингвовать весь инет , но если начать загружать страничку то она начинает загружатся, выводится название сайта, но не закачивает просто весит типо оч медленно загружается, аська тоже не коннектится.
Правила (PPP0 внешний айпишник):
ETH0=192.168.11.1
IPTABLES=/sbin/iptables
$IPTABLES -F
$IPTABLES -t nat -X
$IPTABLES -t filter -A FORWARD -j TCPMSS -p tcp --tcp-flags SYN,RST SYN --clamp-mss-to-pmtu
$IPTABLES -t filter -A FORWARD -j ACCEPT -s 192.168.11.0/24
$IPTABLES -t filter -A FORWARD -j ACCEPT -d 192.168.11.0/24
$IPTABLES -t filter -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
$IPTABLES -t filter -A INPUT -j ACCEPT -s 127.0.0.1 -d 127.0.0.1

$IPTABLES -t filter -A INPUT -j ACCEPT -d $PPP0 -p tcp --dport 22
$IPTABLES -t filter -A INPUT -j ACCEPT -d $PPP0 -p icmp
$IPTABLES -t filter -A INPUT -j ACCEPT -d $PPP0 -p igmp
$IPTABLES -t filter -A INPUT -j REJECT -d $PPP0

$IPTABLES -t filter -A INPUT -j ACCEPT -d $ETH0 -m multiport -p tcp --dport 20:22,80
$IPTABLES -t filter -A INPUT -j ACCEPT -d $ETH0 -p icmp
$IPTABLES -t filter -A INPUT -j ACCEPT -d $ETH0 -p igmp
$IPTABLES -t filter -A INPUT -j REJECT -d $ETH0

$IPTABLES -F -t nat
$IPTABLES -t nat -A POSTROUTING -s 192.168.11.0/24 -d 0.0.0.0/0 -j SNAT -o ppp0 --to-source $PPP0

Заранее благодарю за ответ

Ссылка

←	подскажите по pf....

Samba: авторизация по mac-адресу

→

Оказывается сайт все таки загрузился мин через 20. А можно процесс както ускорить?

DDR ★★
(03.02.08 14:16:27 MSK) автор топика

Ссылка

INPUT к нату не относится никак.
если раздаёте инет с ppp0 соединения, то лучше маскарад чем снат, хотя вам виднее.
Если политика FORWARD=ACCEPT то в написании правил для цепочки filter я смысла не вижу, все равно всё разрешено.
Вообщем вы читали какой то не тот мануал.

В вашем случае нужно сделать как то так:
iptables -P FORWARD DROP
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.11.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

Эти правила пустят подсетку 192.168.11.0/24 через ваш шлюз

kilolife ★★★★★
(03.02.08 14:24:24 MSK)

Ответ на: комментарий от kilolife 03.02.08 14:24:24 MSK

Маскарад машину вешает сильнее, а айпишник внешний статический у мну. Про: $IPTABLES -t filter -A FORWARD -j ACCEPT -s 192.168.11.0/24 $IPTABLES -t filter -A FORWARD -j ACCEPT -d 192.168.11.0/24 Согласен шлупо, просто уже не знал чо написать чтоб заработало хоть какнить. Политика по дефолту стоит, вообще ее не трогал. Спасибо за скрипт, буду возле серва проверю.

DDR ★★
(03.02.08 14:32:48 MSK) автор топика

Ответ на: комментарий от DDR 03.02.08 14:32:48 MSK

посмотрите, что там с mtu.

Valmont ★★★
(03.02.08 14:34:52 MSK)

Ссылка

Ответ на: комментарий от DDR 03.02.08 14:32:48 MSK

если за вами человек 100 то может быть разницу вы и почувствуете, особенно на слабых машинках.
У вас 2 юзера в нате, и никакой доп нагрузки маскарад не сделает.
Но, конечно, можно и через SNAT

kilolife ★★★★★
(03.02.08 14:49:56 MSK)

Ответ на: комментарий от kilolife 03.02.08 14:49:56 MSK

У меня щас 2 юзера, в будущем до 5, но на сервере крутится еще и кеды и на нем пока юзают приложения (гуевые) :(. А сервак тож н еблекс пенек 733мгц и 256 озу. Такчто имхо лудше СНАТ.
А что именно с мту смотреть?

DDR ★★
(03.02.08 16:01:24 MSK) автор топика

Ответ на: комментарий от DDR 03.02.08 16:01:24 MSK

Люди инет проходит, но блин чтобы дождатся пока загрузитсяя страничка надо мин 10-15 ждать, почему так может быть?

DDR ★★
(03.02.08 17:10:23 MSK) автор топика

Ссылка

Ответ на: комментарий от DDR 03.02.08 16:01:24 MSK

> А что именно с мту смотреть?

iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o ppp0 -j TCPMSS --clamp-mss-to-pmtu

Ну и в настройках ppp уменьшить значение mtu до 1452 или даже 1412.

anonymous
(03.02.08 17:53:56 MSK)

Ответ на: комментарий от anonymous 03.02.08 17:53:56 MSK

И чо изза этого такая ботва может быть?

DDR ★★
(03.02.08 18:44:08 MSK) автор топика

Ответ на: комментарий от DDR 03.02.08 18:44:08 MSK

Может. Классический симптом слишком большого mtu.

anonymous
(03.02.08 19:46:11 MSK)

Ссылка

Ответ на: комментарий от anonymous 03.02.08 17:53:56 MSK

http://www.opennet.ru/base/net/pppoe_mtu.txt.html Если использовать -j TCPMSS --clamp-mss-to-pmtu то mtu трогать не нужно.

kilolife ★★★★★
(04.02.08 00:29:32 MSK)

Ответ на: комментарий от kilolife 04.02.08 00:29:32 MSK

Одно другому не мешает.

anonymous
(04.02.08 01:22:31 MSK)

Ответ на: комментарий от anonymous 04.02.08 01:22:31 MSK

Люди, я конечно тупой, но блин у меня нету /etc/ppp/pppoe.conf . Для создания скрипта своего я юзал pppconfigure, который положил скрипт в /etc/ppp/peers/. Если прописать в скрипт CLAMPMSS=1412, то он ругается и не хочет запускать этоот скрипт.

DDR ★★
(04.02.08 11:15:59 MSK) автор топика

Ответ на: комментарий от DDR 04.02.08 11:15:59 MSK

Дописал его в /etc/ppp/options. Он пишет /usr/sbin/pppd: In file /etc/ppp/options: unrecognized option 'CLAMPMSS=1412'

DDR ★★
(04.02.08 11:44:22 MSK) автор топика

Ответ на: комментарий от DDR 04.02.08 11:44:22 MSK

Да не CLAMPMSS надо прописывать, а просто 'mtu 1412' в /etc/ppp/peers/<твой провайдер>

anonymous
(04.02.08 12:17:12 MSK)

Ответ на: комментарий от anonymous 04.02.08 12:17:12 MSK

Попробуй набери в консоли nslookup ya.ru

Сколько времени ушло на ответ ???. Повтори то же только со снижером на интерфейсе с которого уходят пакеты...

tcpdump -i ppp(your ppp hear) -vvv -n -N

~~paranormal~~ ★★
(05.02.08 14:48:45 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	подскажите по pf....

Admin

Samba: авторизация по mac-адресу

→

Похожие темы