Iptables

← →
George (2010-06-10 12:46) [0]

Да вот решил тут спросить - линуксоиды вроде есть, может кто поможет.
Изучаю iptables, но че то пока туговато. (
Имеем:
1. Интерфейс eth1 - к нему подключен сетевой модем, так что на этот интерфейс "приходит" интернет.
2. Интерфейс eth0 - это локальная сеть офиса.
Данный компьютер является шлюзом. Включаю форвардинг, добавляю правила для того, чтобы доступ в инет был только на опр. порты:
# Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010 *nat :PREROUTING ACCEPT [1325:84802] :POSTROUTING ACCEPT [106:5851] :OUTPUT ACCEPT [3719:339421] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon May 31 01:38:33 2010 # Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010 *mangle :PREROUTING ACCEPT [47440:36540491] :INPUT ACCEPT [44216:35753288] :FORWARD ACCEPT [3224:787203] :OUTPUT ACCEPT [42838:5120000] :POSTROUTING ACCEPT [44980:5850859] COMMIT # Completed on Mon May 31 01:38:33 2010 # Generated by iptables-save v1.4.4 on Mon May 31 01:38:33 2010 *filter :INPUT ACCEPT [38717:33813603] :FORWARD DROP [188:10890] :OUTPUT ACCEPT [22042:2985588] -A INPUT -i lo -j ACCEPT -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --dports 25,110,995,465,587,443,53 -j ACCEPT -A FORWARD -i eth1 -o eth0 -p tcp -j REJECT --reject-with icmp-port-unreachable COMMIT # Completed on Mon May 31 01:38:33 2010
На машине, скажем, г-на Дёмина я в качестве шлюза выставляю этот комп, но вот то ли чего то не хватает, то ли еще что:
1. Во первых когда я шлюз подключаю к офисной сети - он не пингуется, а вот если выдернуть сетевой шнур, а затем воткнуть начинает пинговаться. Что это такое может быть?
2. Даже когда шлюз пингуется, интернеты все равно не раздаются. Т.е. на машине г-на Дёмина, например, должен работать скайп. Но не работает.

Товарищи, что я делаю не так?

← →
test © (2010-06-10 13:30) [1]

http://www.lissyara.su/articles/freebsd/traffic_count/
Мне вот это помогает в основном.

http://www.pcbsd.ru/forum/index.php/topic,391.0.html
Ну и тут обсуждение...

Что то я руками с IPTables даже не боролся.

← →
test © (2010-06-10 13:33) [2]

PS Господин Дёмин реальная фамелия?

← →
George (2010-06-10 13:36) [3]

> test © (10.06.10 13:30) [1]
Таки гляну, тут еще народ Firestarter советует попробовать. А руками Iptables хотел побороть, чтобы понять, как работает. Но че то уж больно много времени уходит на это. А задача стоит вполне реальная - фильтрануть инет в одной конторе.

> PS Господин Дёмин реальная фамелия?

Ага. Коллега, сидит в юго-восточном углу кабинета. :)

← →
test © (2010-06-10 13:38) [4]

George (10.06.10 13:36) [3]
Очень знакомая фамилия и расположение кабинета ))

← →
George (2010-06-10 13:51) [5]

> test © (10.06.10 13:38) [4]

Ну мы в Алматы сидим, если что. :)

← →
Сергей М. © (2010-06-10 14:14) [6]

> что я делаю не так?

Практически всё.

← →
George (2010-06-10 14:19) [7]

http://www.fwbuilder.org/

Там и примеры различных конфигураций найдешь.

← →
George (2010-06-10 15:07) [9]

Iptables Найти похожие ветки