|
На страницу « 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40 » |
|
|
|
|
C нами с 22.01.2007 Репутация: 136.4
|
|
ZigBee, если честно, то не до конца понял что ты имеешь ввиду под пропустил
Можешь по подробнее объяснить что и куда дописать \ заменить?
Добавлено спустя 6 минут 26 секунд:
А не, пардон, вроде понял Спасибо еще раз!
|
|
|
|
|
|
|
|
Возраст: 38 C нами с 27.06.2005 Репутация: 116.8
|
|
Keper, Я не включил в ответ то, что не нужно было менять, дабы не заниматься оверквотингом Там где поменял - причесал и комментарии.
|
_____________________________ «Programming is like sex: one mistake and you have to support it for the rest of your life». (Michael Sinz)
|
|
|
|
|
|
|
Возраст: 47 C нами с 17.10.2005 Репутация: 347.3
|
|
Keper вот как у меня работает NAT. В файл /etc/rc.local просто добавил несколько строк и все:
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward |
первое правило расшариват интерфейс ppp0 (внешку VPN)
второе правило расшаривает интерфейс eth0 (локалку Авиэл)
третье правило включает форвардинг.
В данном случает интерфейс eth0 имеет адрес, который выдал Авиэл при подключении. Второй интерфейс eth1 имеет локальный адрес 192.168.0.1 к которому и подключен мой домашний комп.
Вот собственно и все !!! Работает на ура Одновременно есть и локалка и внешка. Городить огород и морочить голову скриптами для iptables не стал, никаких скриптов нет.
В этот же самый файл /etc/rc.local сразу можешь добавить проброс порта для торрент-клиента (у меня этот порт 40000, именно этот порт я выставил в настройках торрент-клиента, а домашний адрес компа, на котором стоит торрент-клиент 192.168.0.10):
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000 |
в данном случае первое правило для интерфайса eth0 (локальных пиров).
второе правило для интерфейса ppp0 (внешних пиров).
Вот тоже собственно и все и с торрент-клиентом проблем нет
|
_____________________________ ♫-♠♥♣♦-♫
|
|
|
|
|
|
|
C нами с 22.01.2007 Репутация: 136.4
|
|
PIRAT писал(а): |
Keper вот как у меня работает NAT. В файл /etc/rc.local просто добавил несколько строк и все:
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward |
первое правило расшариват интерфейс ppp0 (внешку VPN)
второе правило расшаривает интерфейс eth0 (локалку Авиэл)
третье правило включает форвардинг.
В данном случает интерфейс eth0 имеет адрес, который выдал Авиэл при подключении. Второй интерфейс eth1 имеет локальный адрес 192.168.0.1 к которому и подключен мой домашний комп.
Вот собственно и все !!! Работает на ура Одновременно есть и локалка и внешка. Городить огород и морочить голову скриптами для iptables не стал, никаких скриптов нет.
|
Сделал по твоей аналогии, работает превосходно!!! Спасибо!!!
PIRAT писал(а): |
В этот же самый файл /etc/rc.local сразу можешь добавить проброс порта для торрент-клиента (у меня этот порт 40000, именно этот порт я выставил в настройках торрент-клиента, а домашний адрес компа, на котором стоит торрент-клиент 192.168.0.10):
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000 |
в данном случае первое правило для интерфайса eth0 (локальных пиров).
второе правило для интерфейса ppp0 (внешних пиров).
Вот тоже собственно и все и с торрент-клиентом проблем нет
|
А можно ли как нибудь задать диапазон пробрасывания портов?
Просто я не хочу голову ломать над настройкой торрент клиента.
И еще мне кажется, что веселее было-бы сделать скрипт в init.d со всеми этими правилами, и при необходимости без проблем их рестартовать, хотя до этого еще далеко, а спасибо еще раз!
|
|
|
|
|
|
|
|
Возраст: 47 C нами с 17.10.2005 Репутация: 347.3
|
|
Keper для торрент-клиента не нужен диапазон входящих портов, одного порта достаточно для его полноценной работы.
Проброс диапазона портов будит выглядеть вот так (пример, нужно открыть диапазон портов с 40000 по 50000, для локальной машины 192.168.0.10):
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 40000:50000 -j DNAT --to-destination 192.168.0.10:40000-50000 |
врде так, если ошибаюсь поправьте.
|
_____________________________ ♫-♠♥♣♦-♫
|
|
|
|
|
|
|
C нами с 22.01.2007 Репутация: 136.4
|
|
Еще такой вопрос, как закрыть доступ по самбе от внешней сети, тобишь от авиэловского диапазона?
Добавлено спустя 3 минуты 37 секунд:
А в идеале, закрыть полностью все, и открыть отдельные порты для того чтобы они были доступны с наружи! Вот!
|
|
|
|
|
|
|
|
Возраст: 47 C нами с 17.10.2005 Репутация: 347.3
|
|
Keper писал(а): |
Еще такой вопрос, как закрыть доступ по самбе от внешней сети, тобишь от авиэловского диапазона?
А в идеале, закрыть полностью все, и открыть отдельные порты для того чтобы они были доступны с наружи! Вот!
|
/etc/samba/smb.conf в настройках Networking можно указать конкретно, какой именно интерфейс будит слушать Самба:
#### Networking ####
# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred
interfaces = 192.168.0.0/24 eth1
bind interfaces only = yes |
таким образом Самба будит работать только локальную (домашнюю сеть) и к ней не будит доступа из других сетей.
|
_____________________________ ♫-♠♥♣♦-♫
|
|
|
|
|
|
|
C нами с 09.04.2005 Репутация: 0.1
|
|
Keper, man inet.d , man inetd.conf man hosts.allow, man hosts.deny |
И второй способ:
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 0:1023 -j DROP |
Примерно так.
P.S. правила iptables даны в формате утилиты iptables-restore
|
|
|
|
|
|
|
|
C нами с 22.01.2007 Репутация: 136.4
|
|
Поправьте меня, я понимаю, что если торрент клиент будет стоять на самом сервере, который смотрит и в авиэловскую сеть и в локально-домовую, то никаких правил для iptables прописывать не надо?
Просто на клиентских компах я торрент как-то не привык юзать, все качает сервер, а я уже потом по самбе забираю.
Мне вот интересно закрыть полностью все подключения \ порты к серверу из вне, за исключением некоторых, которые нужно описать определенными правилами, так вот интересно, реально ли такое реализовать?
DALDON писал(а): |
Keper, man inet.d , man inetd.conf man hosts.allow, man hosts.deny |
|
Ну не умею я маны читать, как не пытался, так и не получается в них вникнуть, мне проще по аналогии постигать то, чего я еще не знаю.
|
|
|
|
|
|
|
|
C нами с 09.04.2005 Репутация: 0.1
|
|
Цитата: |
Мне вот интересно закрыть полностью все подключения \ порты к серверу из вне, за исключением некоторых, которые нужно описать определенными правилами, так вот интересно, реально ли такое реализовать?
|
Написал же выше во втором способе. Это именно то, что Вам надо.
Если не умеете man pages читать, прочтите how-to , я обычно читаю сначало man pages, затем если чего-либо мне не понятно смотрю how-to.
/usr/share/doc/iptables/html
NAT-HOWTO-10.html NAT-HOWTO-5.html packet-filtering-HOWTO-10.html packet-filtering-HOWTO-5.html
NAT-HOWTO-11.html NAT-HOWTO-6.html packet-filtering-HOWTO-11.html packet-filtering-HOWTO-6.html
NAT-HOWTO-1.html NAT-HOWTO-7.html packet-filtering-HOWTO-1.html packet-filtering-HOWTO-7.html
NAT-HOWTO-2.html NAT-HOWTO-8.html packet-filtering-HOWTO-2.html packet-filtering-HOWTO-8.html
NAT-HOWTO-3.html NAT-HOWTO-9.html packet-filtering-HOWTO-3.html packet-filtering-HOWTO-9.html
NAT-HOWTO-4.html NAT-HOWTO.html packet-filtering-HOWTO-4.html packet-filtering-HOWTO.html
|
|
|
|
|
|
|
|
Возраст: 47 C нами с 17.10.2005 Репутация: 347.3
|
|
Keper если лень читать маны и вникать в тонкости настроек iptables, то для этого есть "конфигуратор iptables". Смысл такой, запускаешь его, отвечаешь на перечень вопросов и все Он сам составит нужные правила по своим готовым шаблонам, типа какие порты открыть, какие интерфейсы натить, плюс защита от ДОС атак и тд. Инструкция с картинками во вложении. Я тоже не сторонник манов, мне жалко потраченного времени т.к. на это совершенно точно может уйти несколько недель и тонна потраченых нервов, поэтому ищу пути попроще
|
_____________________________ ♫-♠♥♣♦-♫
arno-iptables-firewall.rar - 489.53 Kб
Скачиваний: 14
|
|
|
|
|
|
|
C нами с 22.01.2007 Репутация: 136.4
|
|
Всем спасибо за помощь, домашний шлюз настроен и работает, тьфу-тьфу, более чем хорошо.
Теперь у меня возник еще один своевременный вопрос, как реализовать полный бэкап системы, для ее последующего быстрого развертывания?
Есть что-нибудь типо акрониса, нортенгоста, чтобы сделать полный слепок системы из консоли, а потом с помощью лайв-сд его попросту развернуть без излишних заморочек и трудностей?
|
|
|
|
|
|
|
|
C нами с 09.04.2005 Репутация: 0.1
|
|
Keper, запросто. CloneZilla LiveCD, Parted Magic 4.5 Вам точно для этой цели подойдут. Можете не просто сделать backup, а сможете даже развернуть копию этой ОС на неограниченное число компьютеров.
|
|
|
|
|
|
|
|
Возраст: 47 C нами с 17.10.2005 Репутация: 347.3
|
|
DALDON а какая из этих двух программ все-таки лучше, на ваш взгляд, какой удобнее пользоваться ???
|
_____________________________ ♫-♠♥♣♦-♫
|
|
|
|
|
|
|
C нами с 09.04.2005 Репутация: 0.1
|
|
PIRAT, лично мне более всего приглянулся Parted Magic, но всё же лучшим вариантом для меня оказался по удобству, RipLinux. С его помощью подготовил образ и разоставил на некоторое количество ПК без проблем, ни раза не было повода для злости. Рекомендую в общем RipLinux. Но вообще есть такая штука CloneZilla Server - это будет ещё удобнее при массовой миграции на Linux. - Сам не пробовал.
|
|
|
|
|
|
|
|
На страницу « 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40 »
|
|