LINUX.ORG.RU

1
Всего сообщений: 71

Интернет шлюз на Debian. Маршрут для клиентов через VPN.

Всем привет. Нужна помощь с настройкой домашнего интернет шлюза начинающему юзеру. Есть системник с Debian с 2 сетевыми картами: enp3s0(192.168.1.0/24) в локалку, enp2s0 к провайдеру. Доступ в интернет через enp2s0->pppoe соединение. При поднятии на шлюзе VPN коннекта(strongswan, созданный средствами NetworkManager) шлюз выходит в интернет через VPN(show my ip показывает ip VPN), а все клиенты через канал провайдера (show my ip показывает ip провайдера). Помогите с добавлением необходимого маршрута, что бы все клиенты то же выходили в интернет через VPN.
iptables:

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE

ip route list (вручную ничего не добавлено):

default via X.X.0.1 dev ppp0 proto static metric 101
10.10.10.3 dev ppp0 proto kernel scope link src 10.10.10.3 metric 50
10.10.10.3 dev ppp0 proto kernel scope link src 10.10.10.3 metric 102
X.X.0.1 dev ppp0 proto kernel scope link src X.X.118.100
X.X.0.1 dev ppp0 proto kernel scope link src X.X.118.100 metric 102
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.2 metric 100

!!!!!!!!!!!!!!!!!!! True решения не нашел, поэтому очередной КОСТЫЛЬ

Подключаемся к VPN, через скрипт находим ip vpn и формируем правило iptable … SNAT.

 , , ,

stas_barmy ()

Как ограничить из сети доступ в Интернет по времени?

Приветствую всех! У меня существует проблема — мои дети учатся в школе и никак не делают уроки пока я пропадаю на работе. Днем развлечения — игры, мультики, тик-ток, вацап, а вечером уроки до поздна, мелкий ноет, что не успевает. Короче — достали! Решил я поставить шлюз на debian и ограничить им доступ в Интернет. Чтобы по рабочим дням недели с 9:00 до 18:00 был доступ только к сетевому дневнику и другим образовательным ресурсам по списку, а в другое время — разрешено всё. Только как сделать точно не знаю. Толи нужно использовать squid, толи через iptables? Думаю все-таки, нужно использовать правила таблицы, только какие — знаний не хватает. Помогите, пожалуйста, советом.

 , , , ,

smola ()

Шлюз в виртуалке

Добрый день. Такая проблема. Стоит CentOS 7 на виртуалке. Настройки получаются по dhcp. Адрес - 10.0.2.15/24, шлюз - 10.0.2.2. Если я убираю dhcp и выставляю свои настройки - ip - 192.168.0.23/24, шлюз - 192.168.0.1 интернет пропадает. Дело в шлюзе, но как это решить?

 

FatherFedor ()

Разная скорость канала связи с VPS, ускорение сети на VPS

Есть несколько VPS в разных странах. Сейчас заметила, что скорость скачки данных с самого дальнего сервера, находящегося в США намного выше чем с сервера находящегося в Нидерландах, зарница доходит до 10 раз. 20 Мбит из США против 2-3 Мбит с Нидерланд. Хотя по идеи чем ближе, тем больше скорость должна быть. Я качаю данные с сервера к себе домой.

Вот пару вопросов:

  1. Кто может менять направление трафика чтобы он двигался по более медленным и дешёвым каналам связи? Может ли провайдер VPS поменять их чтобы экономить или нет?

  2. Я могу самостоятельно поменять шлюзы как будет двигаться трафик от моего VPS до меня, чтобы увеличить скорость?

 , , ,

AnastasiaM ()

Инет шлюз на убунте(перенёс из хардваре).

Здравствуйте! Имеется офис на 50+ устройств с подключением к интернету. В данный момент на шлюзе крутится nat на ubuntu 16.04 x86, dnsmasq (dhcp и dns), samba, tftp, ntop-ng. Железо: Pentium 4, ddr1 1gb. При одновременном подключении более 20 устройств происходят периодические отвалы vpn соединений у клиентов и долгие соединения в браузерах. Хотя ntop показывает загрузку инет канала на 30-40% от доступной. Я так понимаю, что пенёк не вывозит количество соединений? Какая минимальная конфигурация необходима для инет шлюза в наших реалиях?

 , ,

welzool ()

Сетевой монитор кому-нибудь нужен?

Несколько лет назад потребовалось мне обеспечить гарантированный удаленный доступ к домашнему компу, а для этого решил подключить 2-х провайдеров. Раз будут 2 провайдера, то нужна балансировка. Но когда один из провайдеров отваливается, нужно балансировку отключать. Кроме того в зависимости от доступности провайдеров нужно было перестраивать некоторые маршруты…

Сделал утилиту для мониторинга и настройки шлюзов и маршрутов. Поэтом эту утилиту использовал на некоторых предприятиях. По ходу дела утилита обросла дополнительными функциями. И подумалось как-то мне - а не запустить ли opensource проект, возможно есть люди которым нужно что-то подобное. Понятно что такая утилита нужно не многим, и большинство из тех кому она нужна способны сами организовать такой мониторинг, и для каждого конкретного случая потребуются доработки. Но по себе знаю, что времени всегда не хватает и обычно подобные самописные вещи годами остаются в полу доделанном состоянии. Так что иметь какую-то базовую систему не помешает.

Но тратить время на создание opensource проекта есть смысл только если имеется достаточное количество заинтересованных пользователей.

Что утилита умеет сейчас:

1.Контролирует состояние сетевых интерфейсов, при необходимости запускает скрипты для их конфигурации. 2.Проверяет доступность шлюзов, при необходимости изменяет шлюз по умолчанию. 3.Проверяет работоспособность заданных фиксированных маршрутов, при необходимости переключает на запасные. 4.Проверяет доступность различных сервисов хост:порт 5.При обнаружении каких-то проблем отправляет уведомление админам. Уведомления пишутся в файл, потом отсылаются по почте с помощью incron. Отдельно сделана систем для подавления избыточных уведомлений.

Что хотелось бы сделать, но пока «руки не доходят»:

1.Использование WiFi подключений. На тех серверах с которыми я работаю WiFi пока не используется, но но эту утилиту можно будет поставить на ноут, что бы автоматически подключаться к знакомым сетям. Конечно для этого есть готовые решения, но свой «велосипед» удобнее. 2.Поддержка ipv6 3.Проверка корректности ответов от серверов (анализ ответа http, smtp и т.п. протоколам). Пока проверяется только сам факт доступности порта. 4.Проверка работоспособности серверов VPN (vpn отказывает в простом инет соединении) 5.Использование резервных шлюзов при отказе основных. 6.Запуск аварийных шлюзов, для поддержания работоспособности критичных служб, например ssh и почты. (обычно по 3/4G) 7.Работа с несколькими таблицами маршрутизации для управления маршрутами по источнику. 8.Анализ фактической сетевой конфигурации, что бы исключить избыточные действия по настройке сети.

Использование SMTP для отправки уведомлений, поверка подтверждения о доставке. Отправка критичных уведомлений по SMS (в том случае когда почта не работает)

Последние 2 пункта, возможно, будут реализованы в виде отдельной утилиты, что бы их можно было использовать совместно с другими системами.

Утилита написана на чистом Си, используются только стандартная библиотека. Скорее всего, можно будет собрать для openwrt, если кому-то будет нужно.

Кто заинтересован в подобной утилите - пишите в теме. Может быть кто-то просто что то посоветует по этому поводу. Если кто-то желает принять участие в разработке, может сделать донат или заказ на доработку под конкретные нужды - указывайте это тоже.

Тем кому эта утилита не нужна, просьба не сорить в теме.

 , ,

Ushenin ()

Шлюз на Linux

Добрый день. Из за моего небольшого опыта пытаюсь разобраться с шлюзом на CentOS, хотел бы задать несколько вопросов знатокам о его работе. Есть два провайдера основной (Статический IP) и резервный (ppp). При отключении одного, автоматом поднимается другой, так вот вопрос какое именно правило за это отвечает? Большинство машин настроено через прокси, но есть и те которые прописаны в iptables в файле fullaccess но при переключении они остаются на основном канале, то есть без интернета, как можно осуществить их переключение на резервный канал, так как прокси и сам шлюз нормально переключается на резервный канал, а они остаются висеть без него.

 

supp0rtmail2019 ()

Есть ли где-нибудь анонимный шлюз в телегу, хотя бы только на чтение

Сабж, а то в последнее время все чаще бывает, что кидают туда ссылки, но чего-то регаться там ну совсем нет желания.

 ,

praseodim ()

шлюзы в виртуалках.

Здравствуйте!

Возникла идея перенести существующие шлюзы (3 шт.) со старого железа (машины на пеньках ещё) в ВМ на базе QEMU/KVM.
Но мучает вопрос как передать внешние статические IP на интерфейс в ВМ?
На хосте (сервере с QEMU/KVM) 6 сетевых карт.

 , ,

Slawik ()

Ошибка ulog-prefix в iptables

привет. Есть iptables и всё в нём работает, кроме дурацких логов. Например есть вот эти строки

iptables -A INPUT -i eth1 -j ULOG --ulog-prefix "IPFW-DENY:"
iptables -A INPUT -i eth1 -j DROP

нижняя строчка работает, а верхняя выдаёт

iptables: No chain/target/match by that name.

 , , , ,

chart41 ()

Выбор железа для Интернет-шлюза с каналом 1Gb

Здравствуйте.

Сейчас в офисе установлен такой комп, раздающий инет:

MB: MSI-7235 965Neo-F V2 https://ru.msi.com/Motherboard/support/P965_NeoF_V2

CPU: Core 2 Duo E7200

RAM: 2Gb

HDD: 2x HD161HJ собраны в софтовый RAID1 Кстати, зачем тут райд?

В планах подключить инет на 1Gb.

Почему возник вопрос?

Рядом стоит комп на таком же железе, только винты SSD используется как файловый сервер (да, на винде %) ) При большой нагрузке со стороны клиентов (качают с файлопомоки много) максимальная скорость канала (сети) не поднимается выше 600-670Mb/s

Поменяли материнку на GA-B75-D3V - скорость сразу увеличилась до 1Gb

Не будет ли такого ограничения и на линукс-машине при переходе на 1Gb? Может стоит сразу проапгрейдит железо на линуксе?

 

INDIGO ()

Не получается на шлюзе перебросить порт

Добрый день!

Помогите пожалуйста решить проблему переброса порта с шлюза на внутреннюю машину.

Есть две сети, внутренняя 192.168.10.0 и внешняя 192.168.1.0

Есть Сервер-маршрутизатор на Debian 9.6 который имеет две сетевых карты и видит две сети соответственно (192.168.1.77 внешний IP и 192.168.10.1 внутренний IP). Через него внутренняя сеть в настоящий момент получает интернет.

Но вот проблема в том что не получается перебросить порт 3390 на внутреннюю машину, то есть подключаясь к IP адресу 192.168.1.77 что бы шёл переброс порта на IP адрес внутренней сети 192.168.10.2 на порт 3390.

Вот что находится в файле /etc/network/interfaces

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback


# The primary network interface
auto ens192
iface ens192 inet static
address 192.168.1.77
gateway 192.168.1.1
netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.up.rules

auto ens224
iface ens224 inet static
address 192.168.10.1
netmask 255.255.255.0
network 192.168.10.00
broadcast 192.168.10.255

Файл /etc/iptables.up.rules выглядит следующим образом:

# Generated by iptables-save v1.6.0 on Mon Dec  3 20:24:59 2018
*nat
:PREROUTING ACCEPT [4:404]
:INPUT ACCEPT [1:229]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i ens192 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.1
-A PREROUTING -d 192.168.1.77/32 -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.10.2:3390
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -s 192.168.10.2/32 -p tcp -m tcp --dport 3390 -j SNAT --to-source 192.168.1.77
COMMIT
# Completed on Mon Dec  3 20:24:59 2018
# Generated by iptables-save v1.6.0 on Mon Dec  3 20:24:59 2018
*filter
:INPUT ACCEPT [2122:179513]
:FORWARD DROP [7:316]
:OUTPUT ACCEPT [1504:264501]
-A FORWARD -s 192.168.10.0/24 -i ens224 -o ens192 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ens192 -o ens224 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i ens192 -o ens224 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ens224 -o ens192 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Dec  3 20:24:59 2018

Команды которыми я пытаюсь добавить записи в IPTABLES

iptables -t nat -A PREROUTING -d 192.168.1.77/24 -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.1.2:3390
iptables -t nat -A POSTROUTING -s 192.168.10.2/24 -p tcp -m tcp --dport 3390 -j SNAT --to-source 192.168.1.77

Но почему то они не добавляются и при выполнении команды iptables -L -n я вижу следующее:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.10.0/24      0.0.0.0/0            ctstate NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 flags:0x17/0x02 ctstate NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

LeximusNet ()

Очередной openvpn, и каскад чего-то

Всем привет. Ситуация такая, есть локалка, в ней есть почтовик. Переключаюсь на другой шлюз в лок.сети, который (через 3г модем) подключается к openvpn, который физически очень далеко. По сути 2 шлюза. Расшариваю сети, и... Почта ходит только входящая, исходящая никак не пробьется наружу. 25 порт на внутреннем шлюзе в сети открыл, на внешнем (с openvpn) вроде тоже, но телнет с почтовика на внешние адреса не идет. Полагаю, что проблема в отсутствии нужной строки в iptables на внешнем шлюзе с OVPN.

Подскажите, пожалуйста, чего тут не хватает?

# Generated by iptables-save v1.6.0 on Thu Nov  8 07:29:28 2018
*nat
:PREROUTING ACCEPT [12553:1043578]
:INPUT ACCEPT [2647:229029]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [808:47904]
-A PREROUTING -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.8.0.6:25
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Nov  8 07:29:28 2018
# Generated by iptables-save v1.6.0 on Thu Nov  8 07:29:28 2018
*filter
:INPUT ACCEPT [28857:4740211]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [33039:24682146]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tap+ -j ACCEPT
-A FORWARD -i eth+ -o tun+ -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i tap+ -j ACCEPT
-A f2b-ssh -s 81.139.61.222/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -j RETURN
-A f2b-sshd -s 81.139.61.222/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
COMMIT

telnet с почтовика на самого себя: есть

telnet c почтовика на 10.8.0.6 (шлюз внутренний с OVPN):

telnet c почтовика на свой внешний ip: нет

telnet извне на mx-запись почтовика успешно проходит (падает в тот самый почтовик, который в локалке)

Update: обнаружено, что если убрать

-A PREROUTING -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.8.0.6:25
то исходящие коннекты с почтового сервера появляются, но пропадают входящие соединения (что логично)

 , , ,

Aborigen1020 ()

настройка centos 7. firewalld

Добрый день.

Centos 7, 4 сетевых адаптера, 4 сети

eth0: 192.168.1.50/24 eth1: 10.12.10.6/24 eth2: 10.10.100.19/24 eth3: 10.10.111.1/24

Нужно что б устройства из сети eth3 могли ходить по 386 порту только в сеть eth0.

Все интерфейсы в зоне public.

Помогите, плз, советом.

 , ,

Illujanka ()

OpenVPN, не работает как шлюз.

Всем привет! Подскажите в чём может быть загвоздка, при подключении клиента к серверу OpenVPN, не резолвятся доменные имена? При этом пинги проходят, трассировка показывает, что трафик уходит на сервер.

Сервер OpenVPN (виртуальная машина за натом) на базе Centos7:
Сетевые интерфейсы:
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state
UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
pfifo_fast state UP qlen 1000
link/ether 52:54:00:92:af:90 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.142/24 brd 192.168.1.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::a002:84ac:b5d5:e37c/64 scope link
valid_lft forever preferred_lft forever
11: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500
qdisc pfifo_fast state UNKNOWN qlen 100
link/none
inet 172.16.10.1 peer 172.16.10.2/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::9b66:821c:3260:8a73/64 scope link flags 800
valid_lft forever preferred_lft forever

ip r
default via 192.168.1.1 dev eth0 proto static metric 100
172.16.10.0/24 via 172.16.10.2 dev tun0
172.16.10.2 dev tun0 proto kernel scope link src 172.16.10.1
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.142
metric 100
192.168.10.0/24 via 172.16.10.2 dev tun0

Конфиг сервера
mcedit /etc/openvpn/server.conf

port 13555
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
server 172.16.10.0 255.255.255.0
push «route 172.16.10.0 255.255.255.0»
push «route 192.168.10.0 255.255.255.0»
route 172.16.10.0 255.255.255.0"
route 192.168.10.0 255.255.255.0
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
ifconfig-pool-persist ipp.txt
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

Конфиг клиента (Windows 7)
client
nobind
remote 194.67.XXX.XXX
port 13555
resolv-retry infinite
proto udp
dev tun
comp-lzo
ca ca.crt
cert client.crt
key client.key
persist-key
persist-tun

При подключении с клиента пинги проходят до LAN \ tun0, а так же наружу. Трассировка с клиента показывает, что трафик уходит на OpenVPN-Server-шлюз-дальше в мир. Но зайти на ресурс возможности все равно нет.

1 52 ms 52 ms 51 ms CONF142 [172.16.10.1]
2 52 ms 52 ms 52 ms 192.168.1.1
3 2216 ms 800 ms 299 ms 10.93.255.126
4 53 ms 67 ms 52 ms lag-7-435.bbr01.voronezh.ertelecom.ru [88.87.67.34]
5 75 ms 76 ms 76 ms net131.234.188-104.ertelecom.ru [188.234.131.104]
6 77 ms 79 ms 167 ms net131.234.188-105.ertelecom.ru [188.234.131.105]
7 86 ms 82 ms 82 ms std-p2-be14.yndx.net [87.250.239.62]
8 * * * Превышен интервал ожидания для запроса.
9 82 ms 82 ms 82 ms ya.ru [87.250.250.242]

Уже неделю бьюсь кучу форумов облазил, но результата нет =\

 , ,

J3enZin ()

Выставить шлюз на роутере

Ребят подскажите как через консоль проставить нужный шлюз в локальной сети.

 

user7382 ()

Организация сети интернет через шлюз икс

Добрый день! Есть необходимость организовать безопасное подключение к сети через интернет-шлюз ИКС. Сначала -Терминал провайдера zhone model #:4307-13-7105, затем беспроводной маршрутизатор D-LINK DIR-615S/A1A. К нему подключены три компьютера (витая пара), и старый сервер с установленным интернет-шлюз ИКС. К шлюзу подключается один ноутбук, на котором будет обрабатываться конфиденциальная информация. Насколько это допустимо и будет ли нормально работать? Или это костыли и для безопасности нужно шлюз ставить в начале, сразу после терминала провайдера? Будет ли соединение безопасным?

 , , ,

nina ()

cisco packet tracer не идут пинг не пойму как разобраться. Не получается настроить шлюзы.

cisco packet tracer не идут пинг не пойму как разобраться. Не получается настроить шлюзы. Не знаете где найти консультанта схема не сложная. 15 компов две площадки!:)

 ,

Stapferov ()

Настройка шлюза на debian 8

Уважаемое сообщество, столкнулся с задачей настройки шлюза для free wi-fi в магазине. Есть комп с двумя сетевыми(eth1-интернет, eth0-локалка), на который был установлен debian, dnsmasq, apache, mysql, и на php написана страница авторизации с отправкой смс с паролем на введенный номер. Попытался настроить netfilter/iptables. Сами настройки

#!/bin/bash
#Проверка поключения необходимых модулей
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#Обьявление переменных
export IPT="iptables"

# Внешний интерфейс
export WAN=eth1

# Локальная сеть
export LAN1=eth0
export LAN1_IP_RANGE=192.168.5.0/24

# Очищаем правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Запрещаем все, что не разрешено
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# Разрешаем localhost и локалку
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN1 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN1 -j ACCEPT

# Разрешаем сервер у клиента DNS Google
$IPT -A INPUT -s 8.8.8.8 -j ACCEPT

#Запуск цепочек
$IPT -N internet -t mangle
$IPT -t mangle -A PREROUTING -i $LAN1 -j internet

# Рзрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

#добавляем разрешенные маки в исключения путем добавления их в Return
awk 'BEGIN { FS="\t"; } { system("$IPT -t mangle -A internet -m mac --mac-source "$4" -j RETURN"); }' /var/lib/users

#Маркируем все пакеты
$IPT -t mangle -A internet -j MARK --set-mark 99

# ВСе маркированные пакеты, которые идут на 80, 443 порт отпралявляем на наш сервер
# /var/lib/users
$IPT -t nat -A PREROUTING -i $LAN1 -p tcp -m mark --mark 99 -m tcp --dport 80 -j DNAT --to-destination 192.168.5.1
$IPT -t nat -A PREROUTING -i $LAN1 -p tcp -m mark --mark 99 -m tcp --dport 443 -j DNAT --to-destination 192.168.5.1


# http
$IPT -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# port dns
$IPT -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# drop
$IPT -t filter -A INPUT -m mark --mark 99 -j DROP
echo "1" > /proc/sys/net/ipv4/ip_forward

# Пропускать все уже установленные соединения, а также дочерние...
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Пропускать новые, а также уже иниированные соединения, а также дочерние...
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Пропускать перенапраления, а также тх дочерние...
$IPT -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Разрешаем все исходящие подключения сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT

# Разрешаем все входящие подключения сервера
$IPT -A INPUT -i $WAN -j ACCEPT

# разрешаем установленные подключения
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем вфрагментацию пакетов
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасываем неопознанные пакеты
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Отбрасываем нулевые пакеты
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Закрываемся от syn-flood атак
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
 
# Блокируем доступ с указанных адресов
#$IPT -A INPUT -s 84.122.21.197 -j REJECT

# Разрешаем доступ из локалки наружу
$IPT -A FORWARD -i $LAN1 -o $WAN -j ACCEPT

# Закрываем доступ снаружи в локалку
#$IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT

# Включаем NAT
$IPT -A FORWARD -i eth1 -o eth1:1 -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPT -A FORWARD -i eth1:1 -o eth1 -j ACCEPT
$IPT -A FORWARD -s 192.168.5.1/24 -j ACCEPT
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IPT -t nat -A POSTROUTING -o eth1 -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $WAN -s $LAN1_IP_RANGE -j MASQUERADE


# открываем доступ к SSH
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT

#Открываем доступ к web серверу
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

#Открываем доступ к DNS серверу
#$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT

# Включаем логирование
$IPT -N block_in
$IPT -N block_out
$IPT -N block_fw

# Сохраняем правила
route -n
$IPT -L
$IPT -L -v -n
$IPT -L -v -n -t nat
/sbin/iptables-save  > /etc/iptables.rules
При подключению к шлюзу, apacheне хочет показывать стартовую страницу, пока не могу понять почему, но вот в чем штука, если прописать адрес то она открывается, проходит регистрация с смс, и добавлением мас-адреса в mysql, все, инета нет.

 , , ,

yantar ()

Два pppoe - два шлюза. Как?

Добрый день. Есть шлюз на Centos' 6.6 и и два провайдера, которые дают два pppoe. И оба выдают статичный белый адрес. Не могу настроить так, чтобы оба адреса были видны из вне.

TYPE=xDSL
DEVICE=ppp0
BOOTPROTO=dialup
USERCTL=no
IPV6INIT=no
PEERDNS=no
PIDFILE=/var/run/pppoe-ppp1.pid
FIREWALL=NONE
PING=.
PPPOE_TIMEOUT=80
LCP_FAILURE=3
LCP_INTERVAL=20
CLAMPMSS=1412
CONNECT_POLL=6
CONNECT_TIMEOUT=60
PERSIST=yes
SYNCHRONOUS=no

DEFROUTE=yes

USER=user1
ETH=eth0
PROVIDER=VSI1
DEMAND=no
ONBOOT=yes
NM_CONTROLLED=no

TYPE=xDSL
DEVICE=ppp1
BOOTPROTO=dialup
USERCTL=no
IPV6INIT=no
PEERDNS=no
PIDFILE=/var/run/pppoe-ppp2.pid
FIREWALL=NONE
PING=.
PPPOE_TIMEOUT=80
LCP_FAILURE=3
LCP_INTERVAL=20
CLAMPMSS=1412
CONNECT_POLL=6
CONNECT_TIMEOUT=60
PERSIST=yes
SYNCHRONOUS=no

DEFROUTE=no

USER=user2
ETH=eth1
PROVIDER=VSI2
DEMAND=no
ONBOOT=yes
NM_CONTROLLED=no

Проблема в DEFROUTE, если я ставлю у обоих yes, то я виден только со второго ppp1, если ставлю no, то только с ppp0. Затык в том, что в первый раз настраиваю систему с несколькими шлюзами. Подскажите, как в данном случае поступить.

 , ,

null123 ()