[Comm] install gate master

Alexey Morsov =?iso-8859-1?q?samurai_=CE=C1_ricom=2Eru?=
Вт Мар 2 10:11:07 MSK 2004


Oleg Vladimirovich wrote:
> Alexey Morsov
> Monday, March 01, 2004 5:46 PM
> wrote :
> 
> A.M. : Сразу вопрос - у этой машины есть реальный IP (т.е. который из
> A.M. :  инета пингуеться)? Обычно его дает провайдер.
> 
> Нет, всё это дело происходит во внутренней (внутри учреждения) сети
> (т.е. из инета машина не пингуется).
> Т.е. одна сетевая (внутренняя) карта (той машины, где собираюсь установить
> Мастар) соединена с 10 машинами,
> а вторая (внешняя) с машиной - шлюзом всей нашей конторы. Так вот она то
> (машина - шлюз всей
> нашей конторы) и имеет реальный IP (и из инета пингуется). Кроме того, на
> ней размещён сайт учреждения
> (довольно хилый). С провайдером соединена по выделенной линии. Но я не о
> ней.
> 
> Т.е. получается что "надо настроивать маскарад,...
> а вообще полезно весь iptables поднять".
> 
> С чего начать ?
Ну строго говоря начать лучше всего с man iptables ибо делать там 
надо все осмысленно - иначе бяка получиться

Намеки:
1. Поднять маскарад (iptables -t nat -A POSTROUTING -j SNAT 
--to-source IP_СМОТРЯЩЕЙ_В_ГЕЙТ_КАРТОЧКИ
2. Разрешить форвард (уже писал см. выше)
3. Далее в принципе раз это не реальный гейт (т.е. сам он не в 
инете) то можно на этом успокоиться... а вот если похорошему то 
надо бы все закрыть (iptables -P DROP) и потом разрешать чего 
нужно...
Например можно запретить определенные порты (скажем 5190 - icq) 
но это вестимо лучше делать на уровне прокси ибо порт аська может 
и поменять

А дальше давайте уж на конкретике - поставте Master и вперед....

-- 
С наилучшими пожеланиями,
Алексей.



Подробная информация о списке рассылки community