Форумы Серверы Суспільство
Игры Серверы VBIOS General Soft & Hard Увлечения А поговорить... Культура Полезная информация Межигір'я Чат

Пользователь Сообщение: Debian+squid+shaper+nat+firewall        (Тема#28272)
-SImoN- 
капитан
-SImoN-
С нами с 26.04.07
Посты: 854
17.06.09 12:07 Ukraine #576609
Вопрос к знатокам.
Нужно настроить на стареньком компе роутер для раздачи инета в локалку.
В сети пока 12 компов, для разных компов нужно раздавать разную скорость инета.
Еще нужен кеширующий прокси и перенаправление портов. Ну и конечно фаервол ))
На компе две сетевые, установлен Debian и Suiqd. Как это все реализовать?
Если кто-то может помочь, можно связаться через аську, так будет быстрее ))
ICQ # 445339402
Tester_1 
генералиссимус
Tester_1
Возраст: 44
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13406
17.06.09 19:48 [Re: -SImoN-] Ukraine #576860
mikrotik
пошагового хэлпа первоначальной настройки в инете навалом
Slotos 
подполковник
Slotos
Возраст: 34
: nirvana
С нами с 17.10.02
Посты: 4025
17.06.09 20:14 [Re: Tester_1] Ukraine #576878
Эм, я понимаю, что микротик - это круто и вобще, но и дебиан на всё это настроить не проблема. Тот же вебмин ставим и вперёд.

http://en.wikipedia.org/wiki/List_of_Linux_router_...
http://www.endian.com/en/community/download/
http://www.ipfire.org/en/index

Есть также дистры на базе разных БСД. Как правило с удобными веб интерфейсами и нормальной функциональностью.
Tester_1 
генералиссимус
Tester_1
Возраст: 44
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13406
17.06.09 20:27 [Re: Slotos] Ukraine #576885
Ну кагбэ микротик у меня пашет на п-133 128рам, режет полосы для 30 машин, и настраивается при достаточной сноровке за 10-15 минут.
Slotos 
подполковник
Slotos
Возраст: 34
: nirvana
С нами с 17.10.02
Посты: 4025
17.06.09 22:30 [Re: Tester_1] Ukraine #576982
Ну какгбэ это не эксклюзивная его особенность.
Tester_1 
генералиссимус
Tester_1
Возраст: 44
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13406
17.06.09 23:08 [Re: Slotos] Ukraine #577014
бэбэбэ

Отредактировано Tester_1 17.06.09 23:08. Причина редактирования: Причина не указана.
t0rik 
майор
t0rik
Возраст: 41
: /etc/passwd
С нами с 07.03.03
Посты: 1291
18.06.09 09:11 [Re: Tester_1] Ukraine #577133
есчо езь: http://pfsense.org/

управляется вебмордой или ssh, все вышеперечисленное умеет + VPN/PPTP/IpSec, могёт жить на флешке

Отредактировано t0rik 18.06.09 09:13. Причина редактирования: Причина не указана.
-SImoN- 
капитан
-SImoN-
С нами с 26.04.07
Посты: 854
18.06.09 10:34 [Re: t0rik] Ukraine #577158
ща посмотрю все ссылочки, а потом скажу, подходит мне что то или нет
Tester_1 
генералиссимус
Tester_1
Возраст: 44
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13406
19.06.09 11:22 [Re: -SImoN-] Ukraine #577816
Не ждал, не гадал - вот и мне приспичило.

Настройка дебиана,
раздача инета

Slotos 
подполковник
Slotos
Возраст: 34
: nirvana
С нами с 17.10.02
Посты: 4025
19.06.09 23:35 [Re: Tester_1] Ukraine #578303
  • цитировать:
7. правим rc.local



Это, кстати, то, чем меня Дебиан просто угнетает. Есть куда более качественные механизмы менеджмента автозапуска сервисов, но тут выбрали тупой путь.

И iptables лучше настраивать понимая что делаешь, посему http://www.opennet.ru/docs/RUS/iptables/

Ну и лучше писать полноценные скрипты остановки/запуска, а то ещё намучаешься с iptables -F по спешке.

  • цитировать:
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT



И получаем премию идиота года, no offence. Даже OUTPUT не всегда следует на ACCEPT ставить. А форвард и инпут вобще надо в отдельную цепочку с проверкой на валидность пакетов, блокировкой спама на ssh и подобные сервисы и т.д.

Default Allow работало в 80-х, и то едва. Сейчас список правил на запрет будет длиннее списка правил на разрешение на порядки. Так зачем идти по стопам антивирусов там, где этого можно избежать?

Пример скрипта, который я юзаю на одном серваке. С комментах NAT, настроенный под гостевую систему XEN с lighttpd и ftp сервером:
Code:

  #!/bin/sh IPTABLES="/sbin/iptables" INET_IFACE="eth0" # Иногда xen при ручно перезагрузке гостевого домена даёт лувые именя интерфейсов - предусматриваем. #if [ $# == 1 ]; then #       LAN_IFACE="$1"; #       else #       LAN_IFACE="vif1.0"; #fi #LAN_IP=`ifconfig $LAN_IFACE |grep 'inet addr:'| sed 's/addr://' |awk '{print $2}'` #LAN_NET="192.168.1.0/24" INET_IP=`ifconfig $INET_IFACE |grep 'inet addr:'| sed 's/addr://' |awk '{print $2}'` # Себе доверяем, остальных проверяем. $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP # Сброс правил $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -F # Удаление кастомных цепочек $IPTABLES -t filter -X $IPTABLES -t nat -X $IPTABLES -X # Дропаем "весёлые" пакеты. $IPTABLES -A INPUT -m conntrack --ctstate INVALID -j DROP $IPTABLES -A FORWARD -m conntrack --ctstate INVALID -j DROP $IPTABLES -A OUTPUT -m conntrack --ctstate INVALID -j DROP # Пакеты установленного соединения оставляем на совести софта, который их получает. $IPTABLES -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # По два логина за 10 секунд с китайских и русских прокси - зло. Попросим ботов добавить нас в список тормозных серверов. Главное самому не зайти на сервак более двух раз за 2 минуты. $IPTABLES -N SSH_RECENT $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -j SSH_RECENT $IPTABLES -A SSH_RECENT -m recent --set --name SSH $IPTABLES -A SSH_RECENT -m recent --update --seconds 120 --hitcount 3 --name SSH -j DROP $IPTABLES -A SSH_RECENT -j ACCEPT # Локалхост локалхосту друг товарищ и брат. $IPTABLES -A INPUT -i lo -d 127.0.0.0/8 -j ACCEPT # Нат, разрешение пакетам выдадим позже. Пока в FORWARD с маскировкой источника. #$IPTABLES -t nat -A POSTROUTING -s $LAN_NET -j SNAT --to-source $INET_IP # XEN домену мы тоже верим. Пускай балуется. #$IPTABLES -A FORWARD -p all -i $LAN_IFACE -o $INET_IFACE -j ACCEPT # Почта и подобные радости $IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 143 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 995 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT # mySQL у нас один, гостевому домену надо с ним общаться #$IPTABLES -A INPUT -p tcp -s $LAN_NET --dport 3306 -j ACCEPT # Разрешаем ftp доступ (passive, since active sucks by design) $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 60000:62000 -j ACCEPT # Прокидываем фтп гостувому домену #$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp --dport 221 -j DNAT --to-destination 192.168.1.101 #$IPTABLES -A FORWARD -i eth0 -p tcp --dport 221 -j LOG --log-prefix "FTPFWD:" #$IPTABLES -A FORWARD -i eth0 -p tcp --dport 221 -j ACCEPT #$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp --dport 6000:7000 -j DNAT --to-destination 192.168.1.101 #$IPTABLES -A FORWARD -i eth0 -p tcp --dport 6000:7000 -j LOG --log-prefix "FTPFWD:" #$IPTABLES -A FORWARD -i eth0 -p tcp --dport 6000:7000 -j ACCEPT  





И т.д.

PS: http://www.ranum.com/security/computer_security/ed...
Slotos 
подполковник
Slotos
Возраст: 34
: nirvana
С нами с 17.10.02
Посты: 4025
19.06.09 23:50 [Re: Slotos] Ukraine #578310
В добавок к SSH_RECENT желательно использовать screen, чтобы выполнять много задач в одном терминале. Моя строка визуализации "окон":

Добавить в /etc/screenrc (или ~/.screenrc)
Code:

 caption         always  "%{= bw} %-Lw%{+b wK}%L>   %n%f %t   %{-}%+Lw %-35=%{= kw} %D %d.%m.%Y %0c %=[%H]%<" 





Добавить в /etc/bash/bashrc (или ~/.bashrc)
Code:

 if [ $TERM 'screen' ] ; then PROMPT_COMMAND='echo -ne "\033k\033\\"' fi 





Результат
Icon Legend Права Настройки темы
Распечатать тему


5172 Просмотры
Реклама
71 сейчас в онлайне
3 пользователей (Lam0, Hac9lJlbHuKe, 6APMALEU) и 1 скрытых, а также 67 гостей сейчас онлайн.
VBIOS Version 3.0 FINAL | ©1999-2020
Execution time: 0.11 seconds.   Total Queries: 52   Zlib сжатие вкл.
All times are (GMT+2.0). Current time is 11:27
Top