Konfiguracja iptables przy podziale

kyoko · Post autor: **kyoko** » 18 grudnia 2008, 09:44

Witam.

Czy ktoś może mi powiedzieć co źle skonfigurowałem przy próbie podzielenia łącza?

Oto mój plik /etc/network/interfaces:

Kod: Zaznacz cały

# The loopback...
auto lo 
iface lo inet loopback

# Primary ...
auto eth0
iface eth0 inet dhcp

# Drugi ...
auto eth1
iface eth1 inet static
   address ip.ip.ip.ip
   netmask ip.ip.ip.ip

A oto plik firewall.sh (bardzo skromny ale chcę na razie tylko żeby zadziałało):

Kod: Zaznacz cały

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Dodam, że polecenie:

Kod: Zaznacz cały

cat /proc/sys/net/ipv4/ip_forward

wyrzuca "1"

Internet podłączony jest po "eth0" a sieć lokalna do "eth1"

Z góry dziękuje za odpowiedzi.

goofy · Post autor: **goofy** » 18 grudnia 2008, 11:27

sprobuj:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE

kyoko · Post autor: **kyoko** » 18 grudnia 2008, 11:56

Jak tak zrobiłem to cały ruch idzie przez "eth0" przynajmniej tak "lstat" pokazuje, a nie o to mi chodziło.

Jeszcze chciałem powiedzieć że ten serwer stoi za routerem.

goofy · Post autor: **goofy** » 18 grudnia 2008, 12:04

Aha, to napisz moze co dokladnie chcialbys uzyskac.

kyoko · Post autor: **kyoko** » 18 grudnia 2008, 12:08

Chciałbym żeby ten serwer między innymi zbierał mi statystyki ruchu z sieci lokalnej do Internetu i z powrotem.

goofy · Post autor: **goofy** » 18 grudnia 2008, 12:21

Napisales, ze siec lokalna podlaczona jest do eth1, a internet do eth0 poprzez router. Czy siec lokalna jest jeszcze podlaczona w jakis inny sposob do internetu?

kyoko · Post autor: **kyoko** » 18 grudnia 2008, 12:30

Tak w switchu i bezpośrednio w routerze, przez ten serwer to tylko ja próbuje się łączyć z Internetem ustawiając na sztywno w swoim komputerze domyślną bramkę z adresem IP karty sieciowej "eth1" serwera. Jak widać nie za bardzo mi to idzie dlatego nie puszczam jeszcze przez serwer innych użytkowników.

goofy · Post autor: **goofy** » 18 grudnia 2008, 12:51

O ile dobrze rozumiem, to chcesz tylko jednemu koputerowi z sieci lokalnej dac dostep do netu poprzez serwer, a reszta ma laczyc sie dalej przez switch.

Mozesz ustawic odpowiednie restrykcje w firewallu na podstawie ip tego komputera.

Zmien

Kod: Zaznacz cały

iptables -A FORWARD -i eth1 -j ACCEPT

na

Kod: Zaznacz cały

iptables -A FORWARD -s x.x.x.x -j ACCEPT

Mozesz to takze zrobic za pomoca numeru MAC karty sieciowej.

Poczytaj tez tu:

http://dug.net.pl/texty/masq.php

i tu:

http://night.jogger.pl/2007/10/14/mala- ... stem-linux

Konfiguracja iptables przy podziale

Konfiguracja iptables przy podziale łącza