[Comm] Re: Linux Gate

Alexey Morsov =?iso-8859-1?q?samurai_=CE=C1_ricom=2Eru?=
Ср Ноя 26 12:40:54 MSK 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Денис Смирнов пишет:
| On Tue, Nov 25, 2003 at 03:41:09PM +0300, Alexey Morsov wrote:
|
|  > Есть необходимость настроить на базе linux-машины gate для
|  > небольшой (30-40 компьютеров) сетки с выходом как в интеренет
|  > через ADSL.
|
| Ключевые слово для поиска документации -- NAT, MASWUERADE.
Погряз уже во всех этих NAT =)

|
|  > 2. Поднимаем и настроаиваем iptables так что бы все порты извне
|  > кроме http, ftp и https были закрыты.
|
| Зачем открывать http, ftp, https? Это нужно только если на этой
машине
| есть соответствующие сервера. Обычно снаружи бывает смысл
держать smtp, и,
| если админ удалённый, то ssh.
Дело в том что в нашей сетке стоят и www и ftp и mail сервера
(хотя прописаны они в сетке провайдера - т.е. видны извне) - но
физчески они в нашей сетке... Сейчас у нас cisco так и настроена
- - от нас вовне доступно все - к нам извне только http, ftp (ну
плюс видимо все порты от 1024 и выше... они вроде как почти
всегда открыт) - никаких телнетов и ssh
А - ну почта конечно...
Вот нужно такое же дело изобразить на Linux (для adsl)

|
|  > 3. Указываем в правилах iptables так что бы все запросы из
|  > феёкового пространства адресов форвардились на второй интерфейс.
|
| _Форвардились_ это указывается в route. А в iptables нужно
настроить NAT.
И вот тут непонятка - сейчас у нас route сеть провайдера (те 8
адресов что он нам выделил как внешние) настроен. Если я втыкаю в
комп вторую сетевуху, то по идее у меня долна таблица route
выглядить типа как:

route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw
201.xxx.xxx.xxx dev eth0 (первый провайдер)

route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw
202.xxx.xxx.xxx  dev eth1 (второй провайдер)

И в iptables я так понимаю надо сделать что-то типа:

iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source
202.xxx.xxx.xxx:1024-32000

и дальше route его закинет куда надо, как я поинмаю

А вот что с ответной частью (т.е. с ответом что прийдет извне -
он ведь прийдет на 202.xxx.xxx.xxx)?


|
|  > 4. Заводим все http, ftp и  https запросы пользователй на
прокси.
|
| С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше
через NAT
| ходят. Или нужно журналировать все посещения?
Да заводить пожалуй не надо - просто я думаю надо настроить
iptables так чтобы онно запрещало доступ мимо прокис а прокси
прописывать явно...

|
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/xHUmanU3DZdZEiwRAsqtAJ9KuHLoEX+Sc821gWNRqyYUgS6B9QCfWfcl
XHimUleQMP0P2D7adxa6JJs=
=/oP5
-----END PGP SIGNATURE-----

Подробная информация о списке рассылки community