LINUX.ORG.RU

Ответ на: комментарий от dreamer

ругается

[root@fedorabook /]# iptables -t nat -A POSTROUTING -p all -s 192.168.0.0/24 -i wlan0 -o ppp0 -j MASQUERADE
iptables v1.4.7: Can't use -i with POSTROUTING

egon
() автор топика
Ответ на: комментарий от egon

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE будет достаточно...

Но и форвардинг включить не забыть конечно....

Tok ★★
()
Ответ на: комментарий от egon

так ?
-A FORWARD -s 168.192.0.0/24 -i wlan+ -j ACCEPT
-A FORWARD -d 168.192.0.0/24 -o wlan+ -j ACCEPT
-A FORWARD -o ppp+ -p tcp -j DROP
-A FORWARD -o wlan+ -p tcp -j DROP

и в какой раздел писать *nat, *filter, *mangle?

egon
() автор топика
Ответ на: комментарий от egon

просто сделай политику ACCEPT для FORWARD цепочки и все.
а маскарад добавь в nat таблицу.

dreamer ★★★★★
()
Ответ на: комментарий от egon

Форвардинг имелось ввиду вклюсить в ядре пропуск трандзитного трафика.. снять комментарий в /etc/sysctl.conf c 

net.ipv4.ip_forward=1
и сделать sysctl -w net.ipv4.ip_forward=1

Tok ★★
()
Ответ на: комментарий от Tok

sysctl -w net.ipv4.ip_forward=1 сделал

вот содержание файла /etc/sysconfig/iptables.old

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ppp+ -j MASQUERADE
-A PREROUTING -i ppp+ -p tcp --dport 80 -j DNAT --to-destination 192.168.0.33
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth+ -j ACCEPT
-A INPUT -i ppp+ -j ACCEPT
-A INPUT -i wlan+ -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 631 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 631 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 631 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth+ -j ACCEPT
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -i wlan+ -j ACCEPT
-A FORWARD -o ppp+ -j ACCEPT
-A FORWARD -i ppp+ -m state --state NEW -m tcp -p tcp -d 192.168.0.33 --dport 80 -j ACCEPT
-I FORWARD -m physdev --physdev-is-bridged -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

инета на другой машине нет, что не так?

egon
() автор топика
Ответ на: комментарий от Tok

давайсе сначало и попорядку.

1. все делать в консоли или в гуе?
2. если в консили то сделать sysctl -w net.ipv4.ip_forward=1
3. почему -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE а не -A POSTROUTING -o ppp+ -j MASQUERADE
4. выполнить в консоли iptables -F
5. как перезапустить iptables?

egon
() автор топика
Ответ на: комментарий от egon

1. Всё делаем в консолье от рута
2. sysctl -w net.ipv4.ip_forward=1 включает функцию в ядре чтоб между интерфейсам мог бегать трафик.. так называемый транзитный.. надо чтоб переменная «cat /proc/sys/net/ipv4/ip_forward » была ровна = 1
3. Фактический всё равно.. но я в основном маскарадинг включаю для локальной подсети
4. iptables -F == сбросить все правила фильтрации в iptables
5. Перед этим надо сохранить настроенные рабочие правила в отдельный файл «iptables-save > /etc/iptables.conf» к примеру.. а потом при надобности их отуда извлечь «iptabels-restore /etc/iptables.conf»

6. Для начала тебе стоит только настроить маскарадинг, а потом когда оно будет работать.. навешивать правила фильтрации.. так будет разумней и удобней разобраться тоже у тебя не работает поэтому везде политику надо использовать ACCEPT
«iptables -P FORWARD ACCEPT»
«iptables -P INPUT ACCEPT»
«iptables -P OUTPUT ACCEPT»

7 PROFIT! ?

Tok ★★
()

В федорке 14(установка с netinstall): настройка pppoe-setup с маскарадингом, после перезагрузки начались такие приколы: ping 127.0.0.1 ... молчание ...

eth0 eth1 ppp0 подняла, но ни по ssh ни ping ни извне ни изнутри не пускала.

посмотрел /etc/sysctl.conf: # почему же 0 я так и не понял net.ipv4.ip_forward = 0

до настройки pppoe ssh и ping работали на обе сетевухи из локалки.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin