LINUX.ORG.RU
ФорумAdmin

NAT Firewall Debian


0

2

У меня такая проблема, В линуксе не селен сразу не пинайте, имеется сервер Debian 6.0.1 два физических сетевых интерфейса один виртуальный,

eth0 - интернет интерфейс, eth1 - 192.168.2.100 шлюз в локалку, eth1.0 - 192.168.2.99 шлюз в локалку,

возможно настроить NAT Firewall iptables так, чтобы с интерфейса eth0 на интерфейс eth1 были закрыты определенные порты, открыты только порты для онлайн игр, а с eth0 на интерфейс eth1.0 было полностью открыто + посоветуйте с шейпером что бы не забивали канал для онлай игр, желательно динамический, если есть готовые решения тыкните носом!?

Документацию к iptables тебе уже YAR посоветовал. Для начала сам пойми, что тебе нужно. Я, например, не понял что ты имел в виду под

чтобы с интерфейса eth0 на интерфейс eth1 были закрыты определенные порты, открыты только порты для онлайн игр, а с eth0 на интерфейс eth1.0 было полностью открыто

посоветуйте с шейпером что бы не забивали канал для онлай игр, желательно динамический, если есть готовые решения тыкните носом!?

ЕМНИП, шейпер всего один, он в ядре. Управляется через tc. С ним не подскажу, не использовал

router ★★★★★ ()
Ответ на: комментарий от YAR

Затем что ссылка на мануалы иптейблс находится в гугле. Вы считаете что нужно помнить урлы чтобы лентяям, которые в гугл не соизволили пройти отвечать ими? Пусть топикстартер пройдет путь от гугла до форума для начала. И скажет - «ребята я попробовал так вот, но не работает, и так не работает, в чем я не прав?»

Кроме того я искренне верю что если человек не может/не хочет найти ответы на _простейшие_ свои вопросы в гугле - не хочет учиться, то ему не место в администрировании вобщем и линуксе в частности. Потом появляются вакансии типа «linux, fbsd, ipfw, word, Профессиональное владение всеми видами графических редакторов (Adobe Illustrator,CorelDRAW, Adobe Photoshop, обязательно). Художественный вкус. $300»

ventilator ★★★ ()
Ответ на: комментарий от router

Насчет того

чтобы с интерфейса eth0 на интерфейс eth1 были закрыты определенные порты, открыты только порты для онлайн игр, а с eth0 на интерфейс eth1.0 было полностью открыто

У меня гейм клуб, есть тариф онлай есть интернет, стоит кравнет, который при определенной проплате открывает или онлайн или интернет шлюз, 100 или 99 не суть важно просто что бы 80 порт Хттп протокола не шел через 99 шлюз например, фильтровал порты оставляя игры онлайн тариф, разница в проплате соответствено есть, а вот для 100 шлюза открыты все порты, просто раньше у меня было 2 WAN интерфейся и стоял керио, висела винда и не было проблем, сейчас оптика с одним статическим адресом, виндой и керио теперь не вырулиш, я понимаю есть мануалы, я понимаю синтаксис выполнения той или иной команды, просто структуры нет в голове как это реализовывать, есть ли шаблон какой именно с 2 интерфейсами в локаль, по то кой вот схеме!? зачем тут тогда форум??? что бы совета спросить или совета спросить в гугл идти или запустить мануал!!!???

makckc ()
Ответ на: комментарий от ventilator

Расслабься и воспринимай все проще )

YAR ★★★★★ ()
Ответ на: комментарий от makckc

>А HTB что такое?

Одна из дисциплин обработки очереди, Hierarhy Token Buket вроде. Говорю ж, не сталкивался.

router ★★★★★ ()
Ответ на: комментарий от makckc

Если вы хотите понять - через сутки курения мануала обычно приходит примерное понимание как работает нетфильтр. А шаблон - это готовое решение, конечно может сейчас кто прибежит и напишет его специально для вас, ну чтобы вы голову не ломали или не парились с гуглом. Если вы так хотите готовое решение для вашего клуба и не хотите учиться - найдите специалиста который все настроит.

ventilator ★★★ ()
Ответ на: комментарий от Ubuntu1104

Это когда опыт есть!! )) ты перекатай процесор с флэшкой на сотовом телефоне 6700с я тебе даже скажу как это делается ))))) но только не факт что оно будет работать

makckc ()
Ответ на: комментарий от makckc

>важно просто что бы 80 порт Хттп протокола не шел через 99 шлюз например, фильтровал порты оставляя игры онлайн тариф, разница в проплате соответствено есть, а вот для 100 шлюза открыты все порты

По-моему, через iptables невозможно в принципе. Шлюз адресуется не по IP, а по MAC, а т.к. интерфейс один, то mac адрес одинаковый.

router ★★★★★ ()
Ответ на: комментарий от router

Вы не поняли если запросы приходят на 99 интерфей его iptables будет обрабатывать в соответствии с правилами типа тот то пакет с тогото интерфейса на 99!? или 100?

makckc ()
Ответ на: комментарий от makckc

Включил логирование (iptables -A FORWARD -m state --state NEW -m limit --limit 10/s -j LOG) и посмотри, с каких интерфейсов он приходит. Может и правда на отдельный, но почему-то мне кажется, что алиас просто вешает дополнительный ip на тот же самый интерфейс.

router ★★★★★ ()
Ответ на: комментарий от router

Можно через macvlan. Вопрос только зачем.

to makckc: а ты уверен что Ubuntu1104 не бог микроэлектроники, который не вылазит из подвалов intel, прежде чем хвастаться своими познаниями?

ventilator ★★★ ()
Ответ на: комментарий от ventilator

Ну не ужели Вы уважаемый не у кого не когда не спрашивали!? готовых решений не юзали!? Сами все??? 0_о по монуалу!!!??? ооо да вы просто не заменимый сис админ ) или вы деволопер, может программист? который сам все решения делает для себя... )) не поверю

makckc ()
Ответ на: комментарий от ventilator

Вот и я об этом. И при форвардинге не будет никакой разницы, какой из шлюзов используется у клиента

router ★★★★★ ()
Ответ на: комментарий от makckc

Дык не было опыта.Я тебе серьёзно,Прочитай ман по иптейблс,а потом возвращайся в тред,спрашивай что не ясно.

Ubuntu1104 ()
Ответ на: комментарий от makckc

Что вы, я просто сижу, никого не трогаю, починяю примус. И стараюсь писать на форуме после того как у меня встретилась проблема в которой мануал мне помочь не смог. Стыдно как то элементарное спрашивать, ну типа мне скажут - дык в мануале есть, а я отвечу - дык это дурачек я, мануал не понимать.

ventilator ★★★ ()
Ответ на: комментарий от ventilator

Дело не в цифрах и логики я спросил, меня в мануал, типа на*** разницы нет просто в более легкой форме, обычно на форумах таких много, но есть люди я благодарен тем кто ответил нормально. Даже в мануалах есть примеры! но нет моих к сожалению, а насчет кто откуда вылезает, все мы из одного места, вы же хвастаетесь гуглом )) похвастались бы и своими знаниями

makckc ()
Ответ на: комментарий от makckc

Благодаря тем кто «ответил нормально» вы не можете ничего сделать, не спросив на форуме. Самостоятельность пропала и желание учиться так сказать. Вы мануалы читать не желаете, это же жуть какая обида - предложили мануал почитать.

ventilator ★★★ ()
Ответ на: комментарий от pr0mille

>а ещё боремся за почётное звание «сапортера лора», — это же кошмар, кошмар

Кто, я? Если только за тролля и телепата. Но в этих номинациях я всё давно доказал.

А вообще ссылка предназначалась не тебе. Она развивала тему ссылок на аудиокниги. Там текст голосом читается. К.О.

router ★★★★★ ()

> В линуксе не селен
впрочем, в русскам езыке тоже...

по делу - ну, выше всё сказали.. google://iptables

aol ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.