Недавно поставил CentOS и решил раздать с него инет на комп с виндой. Правила iptables в Centos пишутся в /etc/sysconfig/iptables.
Пишу
-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADEiptables не хочет заводиться, ругается на -t
Помогите разобраться
Открываем man iptables и видим:IPTABLES(8) iptables 1.4.3.2 IPTABLES(8)
NAME
iptables - administration tool for IPv4 packet filtering and NATSYNOPSIS
iptables [-t table] {-A|-D} chain rule-specificationТеперь сравниваем с той херней, что написал ты.
>[оверквотинг удален]
>
>NAME
> iptables - administration tool for
>IPv4 packet filtering and NAT
>
>SYNOPSIS
> iptables [-t table] {-A|-D} chain
>rule-specification
>
>Теперь сравниваем с той херней, что написал ты.Ну напиши, как надо. По примерам в нете, все так пишут... Потерялся я че-то...
Знаешь, как то не тянет помогать в чем-то человеку, который признает, что на большее чем обезьянье копирование он не способен.
>[оверквотинг удален]
>>IPv4 packet filtering and NAT
>>
>>SYNOPSIS
>> iptables [-t table] {-A|-D} chain
>>rule-specification
>>
>>Теперь сравниваем с той херней, что написал ты.
>
>Ну напиши, как надо. По примерам в нете, все так пишут... Потерялся
>я че-то...напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
затем дай команду service iptables save
и все!
>
>напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j
>MASQUERADE
>затем дай команду service iptables save
>и все!Спасибо! Писал и так. Только не признает мой Centos команды service, вообще мало что признает, ifconfig тож не хочет выполнять...
>
>>
>>напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j
>>MASQUERADE
>>затем дай команду service iptables save
>>и все!
>
>Спасибо! Писал и так. Только не признает мой Centos команды service, вообще
>мало что признает, ifconfig тож не хочет выполнять...а если из под root и полный путь указывать.
>
>>
>>напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j
>>MASQUERADE
>>затем дай команду service iptables save
>>и все!
>
>Спасибо! Писал и так. Только не признает мой Centos команды service, вообще
>мало что признает, ifconfig тож не хочет выполнять...тогда так: /etc/init.d/iptables save
скорее всего не нехочет выполнять, а не знает где находится команда.
Вводи полный путь, попробуй /sbin/ifconfig
>Недавно поставил CentOS и решил раздать с него инет на комп
>с виндой. Правила iptables в Centos пишутся в /etc/sysconfig/iptables.
>Пишу
>-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
>
>iptables не хочет заводиться, ругается на -t
>
>Помогите разобратьсяне нужно путать утилиту iptables и файл /etc/sysconfig/iptables.
последний заполняется в стиле iptables-save.
>[оверквотинг удален]
>>-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
>>
>>iptables не хочет заводиться, ругается на -t
>>
>>Помогите разобраться
>
>не нужно путать утилиту iptables и файл /etc/sysconfig/iptables.
>последний заполняется в стиле iptables-save.
>
>https://www.opennet.ru/docs/RUS/iptables/Да уже напишите, как надо, как будет работать...
>
>Да уже напишите, как надо, как будет работать...iptables -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
Вот так будет точно работать, по простецкий.
>iptables -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>
>Вот так будет точно работать, по простецкий.Спасиб, мне сложнецкий и не надо. Вечером попробую... Только вот что-то не верится, по-моему, я так уже делал...
>
>>iptables -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>>
>>Вот так будет точно работать, по простецкий.
>
>Спасиб, мне сложнецкий и не надо. Вечером попробую... Только вот что-то не
>верится, по-моему, я так уже делал...Только ее надо прописать в цепочку *nat в файле /etc/sysconfig/iptables
-A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADEИли же просто дать такую команду из консоли:
iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>Или же просто дать такую команду из консоли:
>
>iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADEВ том и вся моя загвоздка, что дать такую команду из консоли невозможно - нет такой команды iptables. А /etc/sysconfig/iptables будет ругаться на -t
Что значит цепочка *nat v /etc/sysconfig/iptables ?
>
>>Или же просто дать такую команду из консоли:
>>
>>iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>
>В том и вся моя загвоздка, что дать такую команду из консоли
>невозможно - нет такой команды iptables. А /etc/sysconfig/iptables будет ругаться
>на -t
>
>Что значит цепочка *nat v /etc/sysconfig/iptables ?Что значит нет такой команды?
Возможно путь к ней не прописан.
Тогда вводите вот так/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>>Что значит цепочка *nat v /etc/sysconfig/iptables ?
>
>Что значит нет такой команды?
>Возможно путь к ней не прописан.
>Тогда вводите вот так
>
>/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADEСпасибо. Попробую. Но по-моему(я запутался капитально), и такую команду не выполнить.. Понимает только /sbin/iptables-restore --.... Голова треснет как ...от обилия ненужной инфы, тонее, нужной, но либо для других дистров, либо для других версий iptables.
В любом случае благодарю за отзывчивость!
>[оверквотинг удален]
>>Возможно путь к ней не прописан.
>>Тогда вводите вот так
>>
>>/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>
>Спасибо. Попробую. Но по-моему(я запутался капитально), и такую команду не выполнить.. Понимает
>только /sbin/iptables-restore --.... Голова треснет как ...от обилия ненужной инфы, тонее,
>нужной, но либо для других дистров, либо для других версий iptables.
>
>В любом случае благодарю за отзывчивость!which iptables
укажет путь к iptables ( обычно /sbin/iptables или /usr/sbin/iptables)
и уже от того, что покажет, писать:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
или
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADEА вообще правильно в начале сказали - сперва нужно читать документацию, причём, как я понимаю, не только Iptables Tutorial, но и купить книжки по управлению системой.
Такое впечателние, что Вас уговаривают делать ваше задание :)
>which iptables
>укажет путь к iptables ( обычно /sbin/iptables или /usr/sbin/iptables)Вынужден вас огорчить, но это не так. which ищет в PATH, а если бы iptables был в PATH, то он бы и так запустился и не было бы нужды писать полный путь. Проверить стандартные пути можно с помощью whereis.
>>which iptables
>>укажет путь к iptables ( обычно /sbin/iptables или /usr/sbin/iptables)
>
>Вынужден вас огорчить, но это не так. which ищет в PATH, а
>если бы iptables был в PATH, то он бы и так
>запустился и не было бы нужды писать полный путь. Проверить стандартные
>пути можно с помощью whereis.Да, точно, как-то упустил, но можно и через whereis или find
А вообще лучше добавить нормально пути в .profile :)
>А вообще правильно в начале сказали - сперва нужно читать документацию, причём,
>как я понимаю, не только Iptables Tutorial, но и купить книжки
>по управлению системой.Линукс-машинку сделать роутером очень просто, вот одной командочкой. На сколько в этом случае необходимо знать Iptables Tutorial и читать книжки по управлению системой?
Не осилил я Iptables Tutorial, сколько раз порывался его почитать :)Раньше с дуру читал все подряд, а сейчас понял, какая это глупость. Будет необходимость разберешься, а забивать голову всем подряд бессмысленно.
Все это мое имхо. Сорри что не так.
>Линукс-машинку сделать роутером очень просто, вот одной командочкой. На сколько в этом
>случае необходимо знать Iptables Tutorial и читать книжки по управлению системой?Ну как видно не так и просто, по крайней мере не всем :)
Мало сделать маскарад сетке во вне, нужно и защитить машину и сеть, убрать лишнее
из загрузки, обновлять и т.д.>Не осилил я Iptables Tutorial, сколько раз порывался его почитать :)
Читать мало, там понять многое нужно, а не запоминать.
>Раньше с дуру читал все подряд, а сейчас понял, какая это глупость.
>Будет необходимость разберешься, а забивать голову всем подряд бессмысленно.Когда каша в голове получается, обрывки данных, без всякой систематики.
Зачастую недостаток знания выливается в кошмарную и бесполезную работу,
а всё из-за простого незнания более логичных и коротких путей.>Все это мое имхо. Сорри что не так.
Аналогично, правда из личного опыта. :)
Согласен, если речь идет об офисной сети. И приходится в офисе выполнять функцию сисадмина.
Для домашней сети нет. Я приятелю 2 года назад поставил комп с CentOS 4.2 в кладовку.
Выполняет функцию роутера у него дома. Ничего не делалось вообще "ни обновлений, ни защиты машины и сети, ничего не убиралось лишнего из загрузки и т.д." И ничего все работает, уже вот несколько лет. И я бы хотел посмотреть, каким образом из-вне можно его поламать.
>Согласен, если речь идет об офисной сети. И приходится в офисе выполнять
>функцию сисадмина.
>
>
>Для домашней сети нет. Я приятелю 2 года назад поставил комп с
>CentOS 4.2 в кладовку.
>Выполняет функцию роутера у него дома. Ничего не делалось вообще "ни обновлений,
>ни защиты машины и сети, ничего не убиралось лишнего из загрузки
>и т.д." И ничего все работает, уже вот несколько лет. И
>я бы хотел посмотреть, каким образом из-вне можно его поламать.Знаете, как часто думают люди - "да что вирусы, я одним глазком гляну туда и назад".
Когда-то попадалась на глаза статистика скорости заражения ПК со свежей ОСью - порядка 7-8 минут пребывания в интернете. Сломать можно всё - ломать не строить :) Крайне ошибочное мнение, что раз "это просто хоумнет, то никому и не нужно ничего". Можете сами посмотреть на сайте центоса о закрытых дырках и исправленных проблемах за эти годы.
Другое дело вопрос критичности ущерба - это да, если кроме потерянного архива порнухи ничего страшнее нет, то это не идёт в сравнение с потерями корпоративной БД или дефейса или вандализма над корпоративным сайтом.
Впрочем каждый сам решает как ему ходить в дом терпимости - с презервативом или нет :)
А то, что нынешний инет ничем не безопаснее портового публичного дома - бесспорно.
> Сломать можно всё - ломать не строить :)Не пишите ерунду, если не разбираетесь.
Возьмите диск с центОС 4.2 установите минимальную конфигурацию необходимую для проброса траффика, воткните комп в локальную сеть и попробуйте его ломануть оттуда.
>Ну как видно не так и просто, по крайней мере не всем :)Как вы думаете насколько поможет чтение книг обезьянке, которая даже одну строчку из man понять не может? Если существо больше чем на бездумное копирование не способно, то никакие книжки не помогут, он и в них будет искать только готовые команды и копипастить без попыток осмысления.
С остальным согласен, однако хочу добавить, что на практике умение читать по диагонали, выбирая за минуты нужную инфу из десятков тысяч строк доки/кода, не менее важно чем умение систематически усваивать материал. Эти умения очень хорошо дополняют друг друга.
>[оверквотинг удален]
>Как вы думаете насколько поможет чтение книг обезьянке, которая даже одну строчку
>из man понять не может? Если существо больше чем на бездумное
>копирование не способно, то никакие книжки не помогут, он и в
>них будет искать только готовые команды и копипастить без попыток осмысления.
>
>
>С остальным согласен, однако хочу добавить, что на практике умение читать по
>диагонали, выбирая за минуты нужную инфу из десятков тысяч строк доки/кода,
>не менее важно чем умение систематически усваивать материал. Эти умения очень
>хорошо дополняют друг друга.Для того, чтобы прочесть и выбрать нужное, нужно понимать что нужно, а что нет.
А уж когда было бы понимание, то и таких топиков не было бы :)
Пока не получилось :(
Команды выполняются, правила записываются, сохраняются - интернета на винде нет пока.
Может, Samba,мож еще чего, но теперь уж как-нибудь доковыряю ;)
PS Хочу искренне поблагодарить за помощь всех, кто помогает разобраться, в особенности Berlin и Junior.
>angra и тебе спасибо за whereis. А твое поведение....твое дело...
>Пока не получилось :(
>Команды выполняются, правила записываются, сохраняются - интернета на винде нет пока.
>Может, Samba,мож еще чего, но теперь уж как-нибудь доковыряю ;)
>PS Хочу искренне поблагодарить за помощь всех, кто помогает разобраться, в особенности
>Berlin и Junior.
>>angra и тебе спасибо за whereis. А твое поведение....твое дело...echo "1" > /proc/sys/net/ipv4/ip_forward
?
Бонус за упорство, так конечно делать не стоит, но будет работать
#!/bin/bash
echo "1">/proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
iptables -I FORWARD 1 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
а так же не забываем настройки у клиентов, прописать шлюз и DNS.
>Бонус за упорство, так конечно делать не стоит, но будет работать
>#!/bin/bash
>echo "1">/proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr
>iptables -I FORWARD 1 -j ACCEPT
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADEЯ так понимаю-это скрипт. И куды ж его писать? В каком-нить файле или в командной строке?
Вообще, форвард я где-то выставлял =1 ...не помню путь, а сейчас на работеШлюз и DNS выставлены. На виндах-то приходилось сетку настраивать.
>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>или в командной строке?Просто введите эти 4-ре команды, одну за другой в командной строке.
>>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>>или в командной строке?
>
>Просто введите эти 4-ре команды, одну за другой в командной строке.A #!/bin/bash
>>>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>>>или в командной строке?
>>
>>Просто введите эти 4-ре команды, одну за другой в командной строке.
>
>A #!/bin/bashи это тоже можно, хуже уже не будет.
все разжевали, осталось только вместо вас все это сделать.
>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>или в командной строке?Да как вам будет удобно. Если не лень каждый раз эти команды набирать, то можно и в консоли, но лучше создать текстовый файлик любым невиндовым(иначе придется еще и окончания строк менять) редактором, записать в него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod +x имя_файла, дабы сделать его исполнимым.
В любом случае все это будет работать только от рута, а не простого пользователя.P.S. что еще я мог забыть? :)
>[оверквотинг удален]
>
>Да как вам будет удобно. Если не лень каждый раз эти команды
>набирать, то можно и в консоли, но лучше создать текстовый файлик
>любым невиндовым(иначе придется еще и окончания строк менять) редактором, записать в
>него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod
>+x имя_файла, дабы сделать его исполнимым.
>В любом случае все это будет работать только от рута, а не
>простого пользователя.
>
>P.S. что еще я мог забыть? :)запускать его из под root, после каждой загрузки или перезагрузки машины :)
>[оверквотинг удален]
>
>Да как вам будет удобно. Если не лень каждый раз эти команды
>набирать, то можно и в консоли, но лучше создать текстовый файлик
>любым невиндовым(иначе придется еще и окончания строк менять) редактором, записать в
>него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod
>+x имя_файла, дабы сделать его исполнимым.
>В любом случае все это будет работать только от рута, а не
>простого пользователя.
>
>P.S. что еще я мог забыть? :)Cпасибо, вроде ничего не забыл ;)
Но разве команда /sbin/service iptables save не делает вышепривенные строки исполняемыми
при каждой загрузке?
Вообще, вчера заметил, что /sbin/service iptables save сохранил изменения в /etc/sysconfig/iptables , а в самом /etc/sysconfig/iptables-save эти изменения не зафиксировались. А /sbin/iptables -L выдает данные именно файла iptables-save
>[оверквотинг удален]
>>него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod
>>+x имя_файла, дабы сделать его исполнимым.
>>В любом случае все это будет работать только от рута, а не
>>простого пользователя.
>>
>>P.S. что еще я мог забыть? :)
>
>Cпасибо, вроде ничего не забыл ;)
>Но разве команда /sbin/service iptables save не делает вышепривенные строки исполняемыми
>при каждой загрузке?она сохраняет текущие правила в /etc/sysconfig/iptables
и если указано что iptables должен запускаться при загрузке и скрипты не менялись, то правила из /etc/sysconfig/iptables будут загружаться автоматом.
>Вообще, вчера заметил, что /sbin/service iptables save сохранил изменения в /etc/sysconfig/iptables ,
>а в самом /etc/sysconfig/iptables-save эти изменения не зафиксировались. А /sbin/iptables -L
>выдает данные именно файла iptables-save/sbin/iptables -L выдаст текущие правила на экран
какая тема следующего занятия?
>>[оверквотинг удален]
>
>/sbin/iptables -L выдаст текущие правила на экран
>
>какая тема следующего занятия?Ну ,вероятно, поэтому интернета и не было - /sbin/iptables -L как раз и не показывал маскарадинга, т.е. файл iptables не запускается у меня при загрузке...
А я как раз после каждого изменения делал релоад.
Кстати, это
echo "1">/proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
я вчера выполнял,а форвардинг правил на =1
Вечером попробую "рецепт" от angra
>>>[оверквотинг удален]
>>
>>/sbin/iptables -L выдаст текущие правила на экран
>>
>>какая тема следующего занятия?
>
>Ну ,вероятно, поэтому интернета и не было - /sbin/iptables -L как раз
>и не показывал маскарадинга, т.е. файл iptables не запускается у меня
>при загрузке...не удивительно, в таком виде показывается таблица фильтров, а таблица nat - /sbin/iptables -L -t nat
>А я как раз после каждого изменения делал релоад.
service iptables reload вызывает загрузку правил из /etc/sysconfig/iptables
и если изменения делались из командной строки и не сохранялись через service iptables save, то эти изменения благополучно терялись.>Кстати, это
>echo "1">/proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr
>я вчера выполнял,а форвардинг правил на =1
>Вечером попробую "рецепт" от angraудачи
Ну хз .... Не идет инет. Извините за отнятое время
Забей :)
>Забей :)Да забил. Почти. Тока интересно: почему через squid инет заходит, а через iptables - нет...
>>Забей :)
>
>Да забил. Почти. Тока интересно: почему через squid инет заходит, а через
>iptables - нет...если действительно интересно, то показывайте вывод c CentOS:
ifconfig
route -n
iptables-save
cat /proc/sys/net/ipv4/ip_forward
свои белые адреса подмените, но так что бы логика не нарушилась.и что прописано у клиента.
адреса DNS и шлюза, route print, ipconfig с win.
>[оверквотинг удален]
>
>если действительно интересно, то показывайте вывод c CentOS:
>ifconfig
>route -n
>iptables-save
>cat /proc/sys/net/ipv4/ip_forward
>свои белые адреса подмените, но так что бы логика не нарушилась.
>
>и что прописано у клиента.
>адреса DNS и шлюза, route print, ipconfig с win.Вечером только смогу.
Ipconfig
Подключение по локальной сети - Ethernet адаптер:DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.1.3
Маска подсети . . . . . . . . . . : 255.0.0.0
Основной шлюз . . . . . . . . . . : 192.168.1.2Teredo Tunneling Pseudo-Interface - туннельный адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : fe80::5445:5245:444f%4
Основной шлюз . . . . . . . . . . :Automatic Tunneling Pseudo-Interface - туннельный адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : fe80::5efe:192.168.1.3%2
Основной шлюз . . . . . . . . . . :
Route print
C:\Documents and Settings\Admin>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 11 d8 f7 fe cd ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet C
troller - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.3 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.0.0.0 255.0.0.0 192.168.1.3 192.168.1.3 20
192.168.1.3 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.3 192.168.1.3 20
224.0.0.0 240.0.0.0 192.168.1.3 192.168.1.3 20
255.255.255.255 255.255.255.255 192.168.1.3 192.168.1.3 1
Основной шлюз: 192.168.1.2
===========================================================================
Постоянные маршруты:
Отсутствует
ifconfigeth0 Link encap:Ethernet HWaddr 00:18:E7:15:9A:EF
inet addr:192.168.1.2 Bcast:192.255.255.255 Mask:255.0.0.0
inet6 addr: fe80::218:e7ff:fe15:9aef/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1900 errors:0 dropped:0 overruns:0 frame:0
TX packets:1806 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:662763 (647.2 KiB) TX bytes:239933 (234.3 KiB)lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2086 errors:0 dropped:0 overruns:0 frame:0
TX packets:2086 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3488384 (3.3 MiB) TX bytes:3488384 (3.3 MiB)peth0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:1974 errors:0 dropped:0 overruns:0 frame:0
TX packets:2007 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:669796 (654.0 KiB) TX bytes:265810 (259.5 KiB)
Interrupt:21 Base address:0xe000ppp0 Link encap:Point-to-Point Protocol
inet addr:95.83.39.248 P-t-P:95.83.32.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:659 errors:0 dropped:0 overruns:0 frame:0
TX packets:1281 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:421599 (411.7 KiB) TX bytes:152229 (148.6 KiB)vif0.0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:1806 errors:0 dropped:0 overruns:0 frame:0
TX packets:1900 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:239933 (234.3 KiB) TX bytes:662763 (647.2 KiB)virbr0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:96 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:15844 (15.4 KiB)xenbr0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:211 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:35315 (34.4 KiB) TX bytes:0 (0.0 b)Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
95.83.32.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
192.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
iptables-save в этот раз не устанавливал(со времени начала ветки я уже debian ставил - и там с iptables потерпел фиаско, теперь опять стоит centos
Cхема такая- adsl-модем - свитч - два компа, на каждом по одной сетевухе.
на win машине должен быть прописан DNS.
Маска подсети на ней и на eth0 измените на 255.255.255.0на centos , как и говорилось раньше, из командной строки:
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddriptables -A INPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADEесли заработает, тогда
service iptables saveесли не заработает, то покажите вывод
cat /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv4/ip_dynaddr
route -n
iptables-save
>
>если не заработает, то покажите вывод
>cat /proc/sys/net/ipv4/ip_forward
>cat /proc/sys/net/ipv4/ip_dynaddr
>route -n
>iptables-savecat /proc/sys/net/ipv4/ip_forward
1cat /proc/sys/net/ipv4/ip_dynaddr
1/sbin/route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
95.83.32.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0iptables-save как я упоминал выше не устанавливал, привожу /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
на win в свойствах tcp/ip прописан в качестве dns 192.168.1.2 (комп с линем)
ЗЫ squid пашет ....
>[оверквотинг удален]
> 0 0
> 0 eth0
>0.0.0.0 0.0.0.0
> 0.0.0.0
> U 0
> 0
> 0 ppp0
>
>iptables-save как я упоминал выше не устанавливал, привожу /etc/sysconfig/iptables
>iptables-save ставится вместе с пакетом iptables, так что, как говорилось раньше, ищите и указывайте полный путь или укажите пути для поиска в PATH
>попробуем обойтись файлом /etc/sysconfig/iptables,
добавьте в начало файла
#
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp+ -j MASQUERADE
>[оверквотинг удален]
>-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
>-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138
>-j ACCEPT-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53
-j ACCEPT
>[оверквотинг удален]
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25
>-j ACCEPT
>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
>COMMIT
>после изменения /etc/sysconfig/iptables, перезапустите iptables
/etc/init.d/iptables restart
>
>на win в свойствах tcp/ip прописан в качестве dns 192.168.1.2 (комп с
>линем)а на 192.168.1.2 DNS настраивали и запускали?
на win для проверки работы dns:
nslookup opennet.ru
должны увидеть его ip, если не увидите то до поднятия своего DNS, в свойствах tcp/ip пропишите DNS провайдера и после настройки iptables, имена должны нормально разрешаться
>ЗЫ squid пашет ....при прописывании в браузере работать через прокси, разрешением адресов занимается прокси, в вашем случае наверно использовался DNS провайдера.
/etc/init.d/iptables restart
Сбрасываются правила брандмауэра: [ OK ]
Политика цепочек брандмауэра устанавливается в ACCEPT: filt[ OK ]
Выгружаются модули [ OK ]
Применяются правила брандмауэра iptables: Bad argument `*nat'
Error occurred at line: 11
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
[ СБОЙ ]
На Win прописал DNS провайдера.
На CentOS выполнил /sbin/service iptables save
После этого появился файл iptables.save в /etc/sysconfig
Ввел из командной строки
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddriptables -A INPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADEВвел /sbin/service iptables save
Правила брандмауэра сохраняются в /etc/sysconfig/iptables: [ OK ]
Ввел /etc/init.d/iptables restart
Сбрасываются правила брандмауэра: [ OK ]
Политика цепочек брандмауэра устанавливается в ACCEPT: nat [ OK ]
Выгружаются модули [ OK ]
Применяются правила брандмауэра iptables: [ OK ]
Загружаются дополнительные модули iptables: ip_conntrack_ne[ OK ]Вывожу /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Thu May 7 21:58:20 2009
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Thu May 7 21:58:20 2009
# Generated by iptables-save v1.3.5 on Thu May 7 21:58:20 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [422:83331]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -j ACCEPT
-A OUTPUT -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu May 7 21:58:20 2009Вывожу /etc/sysconfig/iptables.save
# Generated by iptables-save v1.3.5 on Thu May 7 21:54:21 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [421:83255]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu May 7 21:54:21 2009
>[оверквотинг удален]
>-j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80
>-j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443
>-j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25
>-j ACCEPT
>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
>COMMIT
># Completed on Thu May 7 21:54:21 2009и какой из них используется при загрузки системы?
ищите iptables-save и тогда увидите текущие правила.
/etc/sysconfig/iptables уже близок к тому чтобы выпускать win в инет.
добавте правила для DNS, как писал выше (то что с --dport 53).после того как добьетесь что бы они стали текущими (можно с помощью iptables-restore < /etc/sysconfig/iptables ), win должна работать в инете.
правда по безопасности правила полный отстой, но сейчас главное что бы заработало, а уж исправлять будете потом.
>[оверквотинг удален]
> ]
>Применяются правила брандмауэра iptables: Bad argument `*nat'
>Error occurred at line: 11
>Try `iptables-restore -h' or 'iptables-restore --help' for more information.
>
>
>
>
>
> [ СБОЙ ]это скорей всего из-за пропущенных
COMMIT
перед
*nat
и
*filter
>Недавно поставил CentOS и решил раздать с него инет на комп
>с виндой. Правила iptables в Centos пишутся в /etc/sysconfig/iptables.
>Пишу
>-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
>
>iptables не хочет заводиться, ругается на -t
>
>Помогите разобратьсяпопробуй так
-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -p all -o ppp0 -j MASQUERADE
Какая-то непосильная тема - что только не делал - нет не заходит. Переставил систему -
iptables-save
/sbin/iptables-save
# Generated by iptables-save v1.3.5 on Mon May 11 13:14:10 2009
*filter
:INPUT ACCEPT [13:966]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [17:1434]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Mon May 11 13:14:10 2009
# Generated by iptables-save v1.3.5 on Mon May 11 13:14:10 2009
*nat
:PREROUTING ACCEPT [34:3694]
:POSTROUTING ACCEPT [22:1187]
:OUTPUT ACCEPT [22:1187]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon May 11 13:14:10 2009
>[оверквотинг удален]
>COMMIT
># Completed on Mon May 11 13:14:10 2009
># Generated by iptables-save v1.3.5 on Mon May 11 13:14:10 2009
>*nat
>:PREROUTING ACCEPT [34:3694]
>:POSTROUTING ACCEPT [22:1187]
>:OUTPUT ACCEPT [22:1187]
>-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
>COMMIT
># Completed on Mon May 11 13:14:10 2009по идее, этих правил достаточно, что бы выпустить другие машины, если конечно в таблице mangle ничего не блокируется.
если про
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
не забыли и на win все правильно прописано ( IP, маска, DNS, шлюз ), то нужно слушать что происходит на интерфейсах при обращении с win
>[оверквотинг удален]
>
>по идее, этих правил достаточно, что бы выпустить другие машины, если конечно
>в таблице mangle ничего не блокируется.
>
>если про
>echo "1" > /proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr
>не забыли и на win все правильно прописано ( IP, маска, DNS,
>шлюз ), то нужно слушать что происходит на интерфейсах при обращении
>с winможет еще модули попробовать подгрузить
insmod ip_conntrack_pptp
insmod ip_nat_pptp
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr - не забывал :)
c загрузкой модулей проблемы :
/sbin/insmod ip_conntrack_pptp
insmod: can't read 'ip_conntrack_pptp': No such file or directory
где-то еще видел /sbin/modprobe - попробовал - инет не идет.
Что значит "нужно слушать что происходит на интерфейсах при обращении с win "?
И как проверить , загрузились ли модули?PS Reader, Вашему терпению пою хвалебную песнь!
>echo "1" > /proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr - не забывал :)
>c загрузкой модулей проблемы :
> /sbin/insmod ip_conntrack_pptp
>insmod: can't read 'ip_conntrack_pptp': No such file or directory
>где-то еще видел /sbin/modprobe - попробовал - инет не идет.во , уже прогресс , про полный путь уже запомнили :)
возможно в Вашем дистрибутиве этих модулей нет, а вот понадобятся они или нет - хз
>
>
>Что значит "нужно слушать что происходит на интерфейсах при обращении с win
>"?есть tcpdump, в графике - wireshark ( кстати и для win существует версия ), с помощью которых можно смотреть что приходит и уходит на интерфейсах, вот и нужно посмотреть win машина вообще то обращается.
>И как проверить , загрузились ли модули?
lsmod - загруженные модули
>
>PS Reader, Вашему терпению пою хвалебную песнь!вообще то я не напрягаюсь, Ваши вопросы много раз описывались в статьях и обсуждались на форумах, так что при правильном использовании ключевых слов в поисковике, ответ Вы бы получили гораздо быстрей.