Локалку в инет... Расскажите как лучше.

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
povod
Junior member
Сообщения: 5
Зарегистрирован: 06 окт 2005, 22:29

Локалку в инет... Расскажите как лучше.

Сообщение povod » 07 окт 2005, 01:31

Доброй ночи господа!
Я в настройке линуксов не спец (Вэб-дизайнер я), но возникла такая задача:
Есть локалка (eth1), есть внешняя сеть (интернет) (eth0).
Мне надо, соответственно, наладить работу локалки с и-нетом. Внутренние машины могут быть и не видны из внешней сети, но просто прокси с соксами тут недостаточно =((( Требуется работа со многими протоколами...

Посоветуйте пожалуйста, что мне нужно на этом линухе сделать(КраснаКепка ЕЕ3) сделать чтобы заработала маршрутизация...

ЗЫ: Я советов каких-то мутных наслушался и совсем потерялся в термина Маршрутизация, Маскарад, и НАТ (Что есть что, и что для каких целей лучше).

Очень благодарен за ответы.
Если есть уже где-то решение моей задачки, дайте линку (В ФАКах по IPTables почти совсем запутался :))

И еще... Может кто-нибуть расскажет про проблемы безопасности такого сервера ???

Аватара пользователя
Kalashmat
Advanced member
Сообщения: 54
Зарегистрирован: 17 фев 2005, 11:51
Откуда: Moscow
Контактная информация:

Сообщение Kalashmat » 07 окт 2005, 11:03

Единственный ФАК который тебе надо проштудировать это http://www.opennet.ru/docs/RUS/iptables/ другич читать не надо, более того в конце есть примеры с картинками и конфигами, самый простой как раз твой случай.

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 07 окт 2005, 15:21

povod писал(а):Как я понял, мой самый простой случай - это rc.firewall.txt
Появился у меня этот файл, и что мне с ним делать??

Я же говорю... Мне как для идиота описание надо =))
Ну не мое это, а надо =((
как для идиота?
если не уважаете себя, уважайте хотя бы отвечающих вам
приведенная выше дока - одна из самых полных и внятных
а за вас здесь никто вашу работу делать не будет, так что почитать таки доку и попытаться осмыслить в ней написанное таки придется
--
/corvax

povod
Junior member
Сообщения: 5
Зарегистрирован: 06 окт 2005, 22:29

Сообщение povod » 07 окт 2005, 15:39

Хмм...

Дело в том, что и с ней у меня что-то не выходит...
У меня внутрення сетка видит несколько машин во внешней сети и все... А и-нету так и нету...

Внутренняя сеть - 10.12.0.0/16
Внешняя сеть - 194.85.161.144-159
адрес машины, через которую выход в и-нет 194.85.161.147
Шлюз у внешней сетки 194.85.161.145

Скачал я rc.firewall.txt из приведенного выше ХАУТУ, запустил.
Эффектом стала видимость машинами 10.12.0.0/16 сети 194.85.161.144-159, но при этом не виден шлюз (194.85.161.145).

Может кто скажет чего хорошего???

povod
Junior member
Сообщения: 5
Зарегистрирован: 06 окт 2005, 22:29

Сообщение povod » 07 окт 2005, 16:10

Странно, но все заработало, только теперь недогоняю как поставить диапазон разрешенных портов...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 07 окт 2005, 16:14

povod писал(а):Хмм...

Дело в том, что и с ней у меня что-то не выходит...
У меня внутрення сетка видит несколько машин во внешней сети и все... А и-нету так и нету...

Внутренняя сеть - 10.12.0.0/16
Внешняя сеть - 194.85.161.144-159
адрес машины, через которую выход в и-нет 194.85.161.147
Шлюз у внешней сетки 194.85.161.145

Скачал я rc.firewall.txt из приведенного выше ХАУТУ, запустил.
Эффектом стала видимость машинами 10.12.0.0/16 сети 194.85.161.144-159, но при этом не виден шлюз (194.85.161.145).

Может кто скажет чего хорошего???
сказать пока ничего не получится, потому, что ничего не понятно.

для внутренней сети должен быть назначен default gw из ее же сети 10.12.0.0/16.

что такое внешняя сеть в данном контексте - не совсем понятно.

задачу хоть описать можете внятно? есть роутер с таким-то количеством интерфейсов. у такого-то интерфейса адрес такой-то, маска сети такая-то, у другого - соответственно другие. первый интерфейс подключен к такой-то сети и т. д.
--
/corvax

povod
Junior member
Сообщения: 5
Зарегистрирован: 06 окт 2005, 22:29

Сообщение povod » 07 окт 2005, 17:19

Хоть уже и заработал рутинг или нат (я даже не знаю как сказать), но все равно для меня этот процесс остается загадкой.

Задача такая: Есть машина с Линуксом РедХат ЕЕ 3.
У нее есть адрес 194.85.161.147 (это ее внешний и-нтернет адрес).
И это интерфейс eth0;
Есть еще и второй (внутренний - eth1) интерфейс с адресом 10.12.0.1.

В сети 194.85.161.144-159, помимо 194.85.161.147 есть шлюз 194.85.161.145, через который подключается и 194.85.161.147.

в сети 10.12.0.1 - машин много (20-30) и может буду еще.

Хочется чтобы мышины из сети 10.12.0.0/16 спокойно ходили в и-нет.
Плюс ко всему на самом Сервере (машинка под линухом)
должны стоять WebServer(apach)+PHP+MySQL, DHCP для внутренней сети (10.12.0.0/16), E-mail сервер, DNS сервер и возможно Samba.

Как я сказал, настройка удалась,  но не все нужные порты открыты... в файле rc.firewall.txt из Манюала есть строки:
#
# TCP rules
#

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

#
так вот как задавать не отдельные порты, а диапазоны, например 500-1200, 3400-5600. ???

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 07 окт 2005, 17:41

povod писал(а):Как я сказал, настройка удалась,  но не все нужные порты открыты... в файле rc.firewall.txt из Манюала есть строки:
#
# TCP rules
#

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

#
так вот как задавать не отдельные порты, а диапазоны, например 500-1200, 3400-5600. ???
вы хотите открыть наружу столько портов?
у вас все эти порты слушаются процессами на вашем роутере?
или я чего-то не понял?
--
/corvax

povod
Junior member
Сообщения: 5
Зарегистрирован: 06 окт 2005, 22:29

Сообщение povod » 07 окт 2005, 18:11

В том то и дело, что с моей конфигарцией пользователи из внутренней сети не могут по такому диапазону портов обратиться в интернет.
На рутере под Линуксом пропускаются только разрешенные порты.
Вот и хочеться знать, как не прописывать поштучно эти порты а задать диапазоном...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 07 окт 2005, 18:20

povod писал(а):В том то и дело, что с моей конфигарцией пользователи из внутренней сети не могут по такому диапазону портов обратиться в интернет.
На рутере под Линуксом пропускаются только разрешенные порты.
Вот и хочеться знать, как не прописывать поштучно эти порты а задать диапазоном...
для указания нескольких портов или диапазона портов см. 6.4.3.4. "Критерий Multiport"

но на сколько я понмю тот туториал, вышеуказанный синтаксис использовался для открытия доступа извне к определенным портам данного хоста
--
/corvax

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 20 гостей