LINUX.ORG.RU
ФорумAdmin

Раздача интернета посредством CentOS

 , ,


0

1

Сабж: имеется машина с установленным CentOS 6.4, dhcp-сервером на ней. eth0 связана с внешней сетью (откуда идет интернет), от eth1 клиенты получают адреса по dhcp. Как заставить клиентов получать интернет?

Надеюсь, понятно и неглупо объяснил. Опыта пока нет, уж простите.

★★★

Замаскарадь в iptables. Еще можно через проксю (например через squid или по ssh через socks5).

andrew667 ★★★★★ ()
Ответ на: комментарий от andrew667

Замаскарадь в iptables

Это мне по душе. Можно подробнее?

dvrts ★★★ ()
Ответ на: комментарий от dvrts

Конечно можно, проследуйте пожалуйста в гугль по запросу gentoo router howto. самая годгая статья по этой теме имхо. прямой линк не кину, т.к с телефона.

NeverLoved ★★★★★ ()
Ответ на: комментарий от andrew667

Не проходит ни пинг, ни открытие страниц.

dvrts ★★★ ()
Ответ на: комментарий от andrew667

укажи на компах шлюзом по умолчанию сервак

Само собой. Сеть есть, интернет (внешняя сеть) не проходит.

dvrts ★★★ ()
Ответ на: комментарий от andrew667

Да у него, по идее, шлюз от дхцп должен прилетать. Хотя, конечно, кто знает.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

Да у него, по идее, шлюз от дхцп должен прилетать. Хотя, конечно, кто знает.

Должен и прилетает.

dvrts ★★★ ()
Ответ на: комментарий от dvrts
route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.0.0.1        0.0.0.0         UG    0      0        0 enp0s25
10.0.0.0        *               255.255.255.0   U     0      0        0 enp0s25

dvrts ★★★ ()
Ответ на: комментарий от thesis

Показывай iptables -L

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
REJECT     udp  --  anywhere             anywhere            udp dpt:bootps reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere            udp dpt:domain reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             10.0.0.0/8
ACCEPT     all  --  anywhere             10.0.0.0/8
ACCEPT     all  --  anywhere             10.0.0.0/8

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


dvrts ★★★ ()
Ответ на: комментарий от dvrts

Chain FORWARD (policy DROP)

Вот оно.
iptables -P FORWARD ACCEPT
service iptables save
А как потоньше рулить - это сам и потом. И вообще, что за бардак там в правилах.

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от dvrts
su -l root
iptables-restore /etc/sysconfig/iptables.old
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
service iptables save
andrew667 ★★★★★ ()
Ответ на: комментарий от thesis

iptables -P FORWARD ACCEPT

ДВА ЛИТРА ЧАЯ ЭТОМУ ГОСПОДИНУ!!!111

dvrts ★★★ ()
Ответ на: комментарий от dvrts

DROP all  — anywhere 10.0.0.0/8
ACCEPT all  — anywhere 10.0.0.0/8
ACCEPT all  — anywhere 10.0.0.0/8

Ну, вряд ли тот господин сказал сперва запретить, а потом два раза разрешить пакеты по одному и тому же критерию.Впрочем, iptables оставляем на факультативное занятие, а пока - ура.

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 2)
Ответ на: комментарий от dvrts

Всё-таки хотя бы
[code]
IPTABLES -P FORWARD DROP
IPTABLES -A FORWARD -i eth1 -o eth0 -j ACCEPT
[/code]
Ибо секурити и нефиг.

selivan ★★★ ()
Ответ на: комментарий от thesis

Да, я пока учусь - будет над чем поработать. Еще раз спасибо.

dvrts ★★★ ()
Ответ на: комментарий от selivan

Среда тестовая, так что это не особо актуально. Но будет на что обратить внимание, да.

dvrts ★★★ ()

Сюда кидать простыни влом, можешь написать в джаббер (в профиле), на работе поднят NAT с DHCP на 20+ подсетей + IPTV.

leg0las ★★★★★ ()
Ответ на: комментарий от dvrts

ДВА ЛИТРА ЧАЯ ЭТОМУ ГОСПОДИНУ!!!111

За шиворот

Не, ну я погорячился, но -P FORWARD ACCEPT - это перебор. DROP, а разрешать то, что нужно. Мало ли, сколько там потом вырастет tun, tap и ppp, и все отовсюду ходить будет? Лучше уж явно разрешать.

Имхо, правильная позиция - изнутри наружу пускать все (или dport 80,443), а внутрь только ответы (-m state --state ESTABLISHED).

pianolender ★★★ ()
Ответ на: комментарий от dvrts

Если нет желания разбираться с ручной настройкой. То поставь, если еще не поставил пакет system-config-firewall-tui

Запустишь в консоли -> настроить -> мотаешь экраны до Маскарада - там отмечаешь eth+ как интерфейс для маскарада -> Закрыть -> ОК.

Он сгенерить правила и перезапустить iptables.

После этого клиенту нужно прописать внутренний адрес машинки в качестве шлюза по умолчанию

TEX ★★ ()
Ответ на: комментарий от pianolender

Да, про ESTABLISHED/RELATED забыл, я их всегда первым правилом ставлю ACCEPT. Так что так:
[code]
IPTABLES -P FORWARD DROP
IPTABLES -A FORWARD -m ctstate --ctstate ESTABLISHED,RELATED
IPTABLES -A FORWARD -i eth1 -o eth0 -j ACCEPT
[/code]

selivan ★★★ ()
Ответ на: комментарий от TEX

Буду знать, но рано или поздно знания ручной настройки понадобятся. Но все равно спасибо, да.

dvrts ★★★ ()
Ответ на: комментарий от dvrts

Дык никто не мешает после этого посмотреть сгенерированный iptables

TEX ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.