unsorted ~ Разные вопросы по Linux

Вопросы по Linux задаём здесь

C нами с 22.01.2007 Репутация: **136.4**

ZigBee, если честно, то не до конца понял что ты имеешь ввиду под пропустил Юзер

Можешь по подробнее объяснить что и куда дописать \ заменить?

Добавлено спустя 6 минут 26 секунд:

А не, пардон, вроде понял Весело

Спасибо еще раз!

Возраст: 38 C нами с 27.06.2005 Репутация: **116.8**

Keper, Я не включил в ответ то, что не нужно было менять, дабы не заниматься оверквотингом Улыбочка

Там где поменял - причесал и комментарии.

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

Keper вот как у меня работает NAT. В файл /etc/rc.local просто добавил несколько строк и все:

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward

первое правило расшариват интерфейс ppp0 (внешку VPN)
второе правило расшаривает интерфейс eth0 (локалку Авиэл)
третье правило включает форвардинг.

В данном случает интерфейс eth0 имеет адрес, который выдал Авиэл при подключении. Второй интерфейс eth1 имеет локальный адрес 192.168.0.1 к которому и подключен мой домашний комп.

Вот собственно и все !!! Работает на ура Улыбочка

Одновременно есть и локалка и внешка. Городить огород и морочить голову скриптами для iptables не стал, никаких скриптов нет.

В этот же самый файл /etc/rc.local сразу можешь добавить проброс порта для торрент-клиента (у меня этот порт 40000, именно этот порт я выставил в настройках торрент-клиента, а домашний адрес компа, на котором стоит торрент-клиент 192.168.0.10):

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000

в данном случае первое правило для интерфайса eth0 (локальных пиров).
второе правило для интерфейса ppp0 (внешних пиров).

Вот тоже собственно и все и с торрент-клиентом проблем нет Улыбочка

C нами с 22.01.2007 Репутация: **136.4**

PIRAT писал(а):

Keper вот как у меня работает NAT. В файл /etc/rc.local просто добавил несколько строк и все:

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward

первое правило расшариват интерфейс ppp0 (внешку VPN)
второе правило расшаривает интерфейс eth0 (локалку Авиэл)
третье правило включает форвардинг.

В данном случает интерфейс eth0 имеет адрес, который выдал Авиэл при подключении. Второй интерфейс eth1 имеет локальный адрес 192.168.0.1 к которому и подключен мой домашний комп.

Вот собственно и все !!! Работает на ура Улыбочка

Одновременно есть и локалка и внешка. Городить огород и морочить голову скриптами для iptables не стал, никаких скриптов нет.

Сделал по твоей аналогии, работает превосходно!!! Спасибо!!!

PIRAT писал(а):

В этот же самый файл /etc/rc.local сразу можешь добавить проброс порта для торрент-клиента (у меня этот порт 40000, именно этот порт я выставил в настройках торрент-клиента, а домашний адрес компа, на котором стоит торрент-клиент 192.168.0.10):

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 40000 -j DNAT --to-destination 192.168.0.10:40000

в данном случае первое правило для интерфайса eth0 (локальных пиров).
второе правило для интерфейса ppp0 (внешних пиров).

Вот тоже собственно и все и с торрент-клиентом проблем нет Улыбочка

А можно ли как нибудь задать диапазон пробрасывания портов?
Просто я не хочу голову ломать над настройкой торрент клиента.
И еще мне кажется, что веселее было-бы сделать скрипт в init.d со всеми этими правилами, и при необходимости без проблем их рестартовать, хотя до этого еще далеко, а спасибо еще раз!

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

Keper для торрент-клиента не нужен диапазон входящих портов, одного порта достаточно для его полноценной работы.

Проброс диапазона портов будит выглядеть вот так (пример, нужно открыть диапазон портов с 40000 по 50000, для локальной машины 192.168.0.10):

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 40000:50000 -j DNAT --to-destination 192.168.0.10:40000-50000

врде так, если ошибаюсь поправьте.

C нами с 22.01.2007 Репутация: **136.4**

Еще такой вопрос, как закрыть доступ по самбе от внешней сети, тобишь от авиэловского диапазона?

Добавлено спустя 3 минуты 37 секунд:

А в идеале, закрыть полностью все, и открыть отдельные порты для того чтобы они были доступны с наружи! Вот!

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

Keper писал(а):

Еще такой вопрос, как закрыть доступ по самбе от внешней сети, тобишь от авиэловского диапазона?

А в идеале, закрыть полностью все, и открыть отдельные порты для того чтобы они были доступны с наружи! Вот!

/etc/samba/smb.conf в настройках Networking можно указать конкретно, какой именно интерфейс будит слушать Самба:

#### Networking ####

# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred

   interfaces = 192.168.0.0/24 eth1
   bind interfaces only = yes

таким образом Самба будит работать только локальную (домашнюю сеть) и к ней не будит доступа из других сетей.

C нами с 09.04.2005 Репутация: **0.1**

Keper,

man inet.d , man inetd.conf man hosts.allow, man hosts.deny

И второй способ:

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 0:1023 -j DROP

Примерно так.

P.S. правила iptables даны в формате утилиты iptables-restore

C нами с 22.01.2007 Репутация: **136.4**

Поправьте меня, я понимаю, что если торрент клиент будет стоять на самом сервере, который смотрит и в авиэловскую сеть и в локально-домовую, то никаких правил для iptables прописывать не надо?

Просто на клиентских компах я торрент как-то не привык юзать, все качает сервер, а я уже потом по самбе забираю.

Мне вот интересно закрыть полностью все подключения \ порты к серверу из вне, за исключением некоторых, которые нужно описать определенными правилами, так вот интересно, реально ли такое реализовать?

DALDON писал(а):

Keper,

man inet.d , man inetd.conf man hosts.allow, man hosts.deny

Ну не умею я маны читать, как не пытался, так и не получается в них вникнуть, мне проще по аналогии постигать то, чего я еще не знаю.

C нами с 09.04.2005 Репутация: **0.1**

Цитата:

Мне вот интересно закрыть полностью все подключения \ порты к серверу из вне, за исключением некоторых, которые нужно описать определенными правилами, так вот интересно, реально ли такое реализовать?

Написал же выше во втором способе. Это именно то, что Вам надо.

Если не умеете man pages читать, прочтите how-to , я обычно читаю сначало man pages, затем если чего-либо мне не понятно смотрю how-to.

/usr/share/doc/iptables/html

NAT-HOWTO-10.html NAT-HOWTO-5.html packet-filtering-HOWTO-10.html packet-filtering-HOWTO-5.html
NAT-HOWTO-11.html NAT-HOWTO-6.html packet-filtering-HOWTO-11.html packet-filtering-HOWTO-6.html
NAT-HOWTO-1.html NAT-HOWTO-7.html packet-filtering-HOWTO-1.html packet-filtering-HOWTO-7.html
NAT-HOWTO-2.html NAT-HOWTO-8.html packet-filtering-HOWTO-2.html packet-filtering-HOWTO-8.html
NAT-HOWTO-3.html NAT-HOWTO-9.html packet-filtering-HOWTO-3.html packet-filtering-HOWTO-9.html
NAT-HOWTO-4.html NAT-HOWTO.html packet-filtering-HOWTO-4.html packet-filtering-HOWTO.html

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

Keper если лень читать маны и вникать в тонкости настроек iptables, то для этого есть "конфигуратор iptables". Смысл такой, запускаешь его, отвечаешь на перечень вопросов и все Улыбочка

Он сам составит нужные правила по своим готовым шаблонам, типа какие порты открыть, какие интерфейсы натить, плюс защита от ДОС атак и тд. Инструкция с картинками во вложении. Я тоже не сторонник манов, мне жалко потраченного времени т.к. на это совершенно точно может уйти несколько недель и тонна потраченых нервов, поэтому ищу пути попроще Улыбочка

C нами с 22.01.2007 Репутация: **136.4**

Всем спасибо за помощь, домашний шлюз настроен и работает, тьфу-тьфу, более чем хорошо.

Теперь у меня возник еще один своевременный вопрос, как реализовать полный бэкап системы, для ее последующего быстрого развертывания?
Есть что-нибудь типо акрониса, нортенгоста, чтобы сделать полный слепок системы из консоли, а потом с помощью лайв-сд его попросту развернуть без излишних заморочек и трудностей?

C нами с 09.04.2005 Репутация: **0.1**

Keper, запросто. CloneZilla LiveCD, Parted Magic 4.5 Вам точно для этой цели подойдут. Можете не просто сделать backup, а сможете даже развернуть копию этой ОС на неограниченное число компьютеров.

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

DALDON а какая из этих двух программ все-таки лучше, на ваш взгляд, какой удобнее пользоваться ???

C нами с 09.04.2005 Репутация: **0.1**

PIRAT, лично мне более всего приглянулся Parted Magic, но всё же лучшим вариантом для меня оказался по удобству, RipLinux. С его помощью подготовил образ и разоставил на некоторое количество ПК без проблем, ни раза не было повода для злости. Рекомендую в общем RipLinux. Но вообще есть такая штука CloneZilla Server - это будет ещё удобнее при массовой миграции на Linux. - Сам не пробовал.