Войти
Регистрация
.....вот так хотел по быстрому настроиь "халяву" незнакомым людям ....придеться читать маны....
Поиски дают ....ну очень много.
Ubuntuкак настроить сеть?
Автор V11, 12.12.2008, 19:03
Наверх
#42
Отправлено 20.11.2009, 11:07:07
Sultan
-
- Постоялец
- 316 сообщений
Пример простого фильтрования:народ
подскажите как легче сделать вай фай шару с такими условиями:
трафик кз (мегалайн ) анлим
трафик не кз через шейпер с ограниченным трафиком (например 10 мб\день)
есть ubuntu server eth1 смотрит в сеть , eth0 подключен в модем.
я так понял нужна будет ставить еще одну сетевуху,(eth2) и уже его подрубать к открытому вай фаю. а вот как разделить траффик?
iptables -F tokt
iptables -X tokt
iptables -N tokt
#kaztelecom
iptables -A tokt -d 82.200.128.0/17 -j RETURN
iptables -A tokt -d 88.204.128.0/17 -j RETURN
iptables -A tokt -d 89.218.0.0/16 -j RETURN
iptables -A tokt -d 92.46.0.0/15 -j RETURN
iptables -A tokt -d 95.56.0.0/14 -j RETURN
iptables -A tokt -d 212.19.128.0/19 -j RETURN
iptables -A tokt -d 212.154.128.0/17 -j RETURN
iptables -A tokt -j REJECT
#tokt
iptables -A FORWARD -s ip-адрес-пациента -j tokt
Если почитать lartc, то можно сделать пометку трафика по условия попалания/непопадания в указанные диапазоны и распределение по полосам.
Простой подсчёт трафика можно сделать по счётчикам фаервола, которые можно обнулять раз в сутки.
Сообщение отредактировал Sultan: 20.11.2009, 11:11:09
#44
Отправлено 20.11.2009, 15:36:59
Sultan
-
- Постоялец
- 316 сообщений
Диапазон не очень удобен для описания в форме cidr. Лучше полностью сеть 192.168.3.0/24 отдать под dhcp или придётся пилить сеть/24 на связку более мелких :
iptables -A FORWARD -s 192.168.3.128/25 -j tokt
iptables -A FORWARD -s 192.168.3.64/26 -j tokt
iptables -A FORWARD -s 192.168.3.32/27 -j tokt
iptables -A FORWARD -s 192.168.3.16/28 -j tokt
iptables -A FORWARD -s 192.168.3.8/29 -j tokt
iptables -A FORWARD -s 192.168.3.7/32 -j tokt
iptables -A FORWARD -s 192.168.3.6/32 -j tokt
iptables -A FORWARD -s 192.168.3.5/32 -j tokt
iptables -A FORWARD -s 192.168.3.128/25 -j tokt
iptables -A FORWARD -s 192.168.3.64/26 -j tokt
iptables -A FORWARD -s 192.168.3.32/27 -j tokt
iptables -A FORWARD -s 192.168.3.16/28 -j tokt
iptables -A FORWARD -s 192.168.3.8/29 -j tokt
iptables -A FORWARD -s 192.168.3.7/32 -j tokt
iptables -A FORWARD -s 192.168.3.6/32 -j tokt
iptables -A FORWARD -s 192.168.3.5/32 -j tokt
#46
Отправлено 27.11.2009, 00:17:15
vair
-
- В доску свой
- 2 103 сообщений
ну вот появилось время поковырять сервак , но результата нет.
вот route -n
Делал как говорил Sultan (похоже я не понял )
больше всего смущает 192.168.4.0/24 , что то подсказывает мне что там дожен быть интерфейс eth2 .
вот route -n
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 95.59.0.25 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.1.0 192.168.3.254 255.255.255.0 UG 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth2 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
Делал как говорил Sultan (похоже я не понял )
iptables --new-chain tokt ptables -F tokt iptables -X tokt iptables -N tokt iptables -A tokt -d 82.200.128.0/17 -j RETURN iptables -A tokt -d 88.204.128.0/17 -j RETURN iptables -A tokt -d 89.218.0.0/16 -j RETURN iptables -A tokt -d 92.46.0.0/15 -j RETURN iptables -A tokt -d 95.56.0.0/14 -j RETURN iptables -A tokt -d 212.19.128.0/19 -j RETURN iptables -A tokt -d 212.154.128.0/17 -j RETURN iptables -A tokt -j REJECT iptables -A FORWARD -s 192.168.4.0/24 -j tokt
больше всего смущает 192.168.4.0/24 , что то подсказывает мне что там дожен быть интерфейс eth2 .
#47
Отправлено 27.11.2009, 21:21:22
Sultan
-
- Постоялец
- 316 сообщений
Можно сделать так:
iptables -A FORWARD -s 192.168.4.0/24 -o ppp0 -j tokt
Есть правило:
"iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE" ?
Форвардинг пакетов включён?
"tcpdump -n -i ppp0" что показывает?
iptables -A FORWARD -s 192.168.4.0/24 -o ppp0 -j tokt
Есть правило:
"iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE" ?
Форвардинг пакетов включён?
"tcpdump -n -i ppp0" что показывает?
#48
Отправлено 27.11.2009, 23:53:59
vair
-
- В доску свой
- 2 103 сообщений
как тока запускаю правило
Форвардинг =1
"iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE" ?,начинаеться раздача инета (без фильтра)
Форвардинг =1
22:52:36.890404 IP 212.96.161.228.80 > 89.218.221.8.53563: . 50400:51840(1440) ack 1 win 4498 <nop,nop,timestamp 919058619 3609894>
22:52:36.890990 IP 89.218.221.8.53563 > 212.96.161.228.80: . ack 53280 win 1255 <nop,nop,timestamp 3609927 919058619,nop,nop,sack 1 {54720:56160}>
22:52:36.966811 IP 212.96.161.228.80 > 89.218.221.8.53563: . 53280:54720(1440) ack 1 win 4498 <nop,nop,timestamp 919058697 3609913>
22:52:36.967414 IP 89.218.221.8.53563 > 212.96.161.228.80: . ack 56160 win 1255 <nop,nop,timestamp 3609946 919058697>
22:52:37.009299 IP 212.96.161.228.80 > 89.218.221.8.53563: . ack 1 win 4498 <nop,nop,timestamp 919058752 3609927>
22:52:37.094945 IP 212.96.161.228.80 > 89.218.221.8.53563: . ack 1 win 4498 <nop,nop,timestamp 919058828 3609946>
^C
67 packets captured
67 packets received by filter
0 packets dropped by kernel
Сообщение отредактировал vair: 27.11.2009, 23:58:20
#49
Отправлено 28.11.2009, 11:30:42
Sultan
-
- Постоялец
- 316 сообщений
Рекомендую ознакомиться хотя бы по упомянутым конструкциям.
Коротко:
1. Форвардинг тут нужен для передача пакетов между интерфейсами.
2. "iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE"
осуществляет NAT пакетов от источника 192.168.4.0/24 уходящих в интерфейс ppp0, ну соответственно, в приходящим по открытым из локалки соединениям обратно.
3. Предложенный мной фильтр пускает пакеты из сети 192.168.4.0/24 только в диапазон сетей КТ.
Если "tcpdump -n -i ppp0" будет показывать в исходящем трафике пакеты с src ip из сети 192.168.4.0/24, значит некорректно настроен NAT и ответы на эти пакеты извне Вы не получите.
Коротко:
1. Форвардинг тут нужен для передача пакетов между интерфейсами.
2. "iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE"
осуществляет NAT пакетов от источника 192.168.4.0/24 уходящих в интерфейс ppp0, ну соответственно, в приходящим по открытым из локалки соединениям обратно.
3. Предложенный мной фильтр пускает пакеты из сети 192.168.4.0/24 только в диапазон сетей КТ.
Если "tcpdump -n -i ppp0" будет показывать в исходящем трафике пакеты с src ip из сети 192.168.4.0/24, значит некорректно настроен NAT и ответы на эти пакеты извне Вы не получите.
#50
Отправлено 28.11.2009, 12:13:32
vair
-
- В доску свой
- 2 103 сообщений
Sultan
сейчас у меня так:
по идее если выполнить :
сейчас все пакеты идут в обход цепочке...tokt
может нужно добавить цепочку "tokt" в "iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERAD"
что бы пакеты не шли в обход фильтра.?
ps спасибо за линк. читаю.....
сейчас у меня так:
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADначинает работать инет
по идее если выполнить :
iptables -N tokt iptables -A tokt -j REJECT iptables -A FORWARD -s 192.168.4.0/24 -j toktто все пакеты должен полностью фильтрануться?
сейчас все пакеты идут в обход цепочке...tokt
может нужно добавить цепочку "tokt" в "iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERAD"
что бы пакеты не шли в обход фильтра.?
ps спасибо за линк. читаю.....
Сообщение отредактировал vair: 28.11.2009, 12:14:30
#51
Отправлено 28.11.2009, 20:40:02
Sultan
-
- Постоялец
- 316 сообщений
Все пакеты от 192.168.4.0/24 будут отброшены.iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERAD
начинает работать инет
по идее если выполнить :iptables -N tokt iptables -A tokt -j REJECT iptables -A FORWARD -s 192.168.4.0/24 -j toktто все пакеты должен полностью фильтрануться?
Пакеты не ходят в обход фильтра.сейчас все пакеты идут в обход цепочке...tokt
может нужно добавить цепочку "tokt" в "iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERAD"
что бы пакеты не шли в обход фильтра.?
Внимательно почитайте по ссылке про путь прохождения пакетов по таблицам и цепочкам iptables.
Прежде чем попасть в "-t nat -A POSTROUTING", пакет должен пройти таблицу filter FORWARD.
Для понимания процесса рекомендую потрассировать процесс прохождения пакетов при помощи ping (на стороне хоста из сети 192.168.4.0/24) и tcpdump на внешнем интерфейсе - своеобразная лабораторная работа.
#52
Отправлено 30.11.2009, 18:38:43
vair
-
- В доску свой
- 2 103 сообщений
все сделал 
Вообщем я так понял у меня не получалсь сразу, потому что я при помощи вебмин настроивал сеть ,при помоши него у меня прекрасно работал инет и в сети eth0 и eth2.
Все попытки создать новый chain с правилами не работали
нашел существующий chain eth2_fwd (выводом iptables -L) стер -F что там было и создал новые правила
Спасибо Sultan за help !
Осталось настроить на внешку ограничение по скорости
Вообщем я так понял у меня не получалсь сразу, потому что я при помощи вебмин настроивал сеть ,при помоши него у меня прекрасно работал инет и в сети eth0 и eth2.
Все попытки создать новый chain с правилами не работали
нашел существующий chain eth2_fwd (выводом iptables -L) стер -F что там было и создал новые правила
iptables -A eth2_fwd -d 82.200.128.0/17 -j ACCEPT iptables -A eth2_fwd -d 88.204.128.0/17 -j ACCEPT iptables -A eth2_fwd -d 89.218.0.0/16 -j ACCEPT iptables -A eth2_fwd -d 92.46.0.0/15 -j ACCEPT iptables -A eth2_fwd -d 95.56.0.0/14 -j ACCEPT iptables -A eth2_fwd -d 212.19.128.0/19 -j ACCEPT iptables -A eth2_fwd -d 212.154.128.0/17 -j ACCEPT iptables -A eth2_fwd -d ct.kz -j ACCEPT
Спасибо Sultan за help !
Осталось настроить на внешку ограничение по скорости
Сообщение отредактировал vair: 30.11.2009, 19:51:08
Количество пользователей, читающих эту тему: 1
пользователей: 0, неизвестных прохожих: 1, скрытых пользователей: 0
