forum.lissyara.su

Добавлено: **2009-09-14 11:52:53**

Есть квартира, в ней имеется: три компа (Gentoo, Windows XP, Windows XP), свитч (Acorp 8 ports), модем (ZTE).

Все подсоединено следующим образом:

Код: Выделить всё

          модем
            |
Gentoo —— свитч —— WinXP
            |
          WinXP

Задача: дать пользователям виндовых машин интернет, причем интернет должен ходить через линукс машину.

На gentoo поднято три соединения для интернета:
eth0 - соединение к самому модему, на котором поднято pppoe на "гостевой" интернет (внутренние ресурсы провайдера)
tun0 - vpn-соединение на "пиринг" (белорусские сайты)
ppp0 - pppoe соединение на весь интернет.

Виндовые машины должны иметь доступ ко всем этим соединениям.

Решение (не рабочее):
Мне предложили поднять два eth соединения с сетями:
192.168.1.x - сеть в которой будет линукс машина и модем (eth0)
192.168.2.x - сеть в которой будут виндовые машины и линукс машина (eth1)

Сделал:

Код: Выделить всё

[b]cat /etc/conf.d/net[/b]

modules=("ifconfig")

config_eth0=(
 "192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255"	
 "192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255"
)

routes_eth0=(
 "default gw 192.168.1.1"
)

dns_servers_eth0=(
 "82.209.213.51"
 "193.232.248.2"
)

И предложили установить прозрачный прокси squid.

Код: Выделить всё

[b]cat /etc/squid/squid.conf[/b]

http_port 3128 transparent
icp_port 0

## Кеш
cache_dir ufs /opt/squid/cache 2048 64 256
maximum_object_size 10240 KB
maximum_object_size_in_memory 128 MB

refresh_pattern ^ftp:    1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern .    0 20% 4320

visible_hostname satsura.com

## Сети 
acl all src 0.0.0.0/0.0.0.0
acl homenet src 192.168.2.0/24
acl localhost src 127.0.0.1/255.255.255.255

## Доступ для сетей
http_access allow localhost
http_access allow homenet
http_access deny all

Рестартанул eth'неты

Код: Выделить всё

[b]ifconfig[/b]
eth0      Link encap:Ethernet  HWaddr 00:1c:23:9c:ab:40  
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21c:23ff:fe9c:ab40/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12901 errors:7299 dropped:3633 overruns:0 frame:1078
          TX packets:10938 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:9541727 (9.0 MiB)  TX bytes:1708503 (1.6 MiB)
          Interrupt:17 

eth0:1    Link encap:Ethernet  HWaddr 00:1c:23:9c:ab:40  
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:17 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:322 errors:0 dropped:0 overruns:0 frame:0
          TX packets:322 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:10348 (10.1 KiB)  TX bytes:10348 (10.1 KiB)

И стартанул squid:

Код: Выделить всё

[b]/etc/init.d/squid start[/b]
 * Starting squid ...
2009/09/14 09:50:08| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2009/09/14 09:50:08| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2009/09/14 09:50:08| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'

Виндовые машины настроил так:
Windows XP 1
IP: 192.168.2.2
Mask: 255.255.255.0
Gateway: 192.168.2.1

Windows XP
IP: 192.168.2.3
Mask: 255.255.255.0
Gateway: 192.168.2.1

Результат: на виндовых машинах нету инета.

P.S.
iptables не установлен.
Не нужно никаких мега крутых настроек безопасностей, сеть квартирная, всех знаю в лицо.

Помогите кто чем может.

Добавлено: **2009-09-14 11:58:21**

перенесена в линух

Добавлено: **2009-09-14 12:10:19**

satsura писал(а): ...И предложили установить прозрачный прокси squid.
P.S.
iptables не установлен.
Не нужно никаких мега крутых настроек безопасностей, сеть квартирная, всех знаю в лицо.
Помогите кто чем может.

А как Вы хотели что бы у Вас интернет был, если iptables
у Вас не установлен? Кто редиректить клиентов на прокси будет?

Добавлено: **2009-09-14 12:16:08**

Ок, понял. Поставил iptables, помогите плз с правилами для него.

Добавлено: **2009-09-14 12:16:28**

а если поднять pptpd
и дать доступ вндовым тачкам
то поидеи никаких других манипуляций на сервере кроме маскарада и включения форварада - ненадо

Добавлено: **2009-09-14 12:55:36**

Т.е. просто поднять openvpn? а как же кеширование?

Добавлено: **2009-09-14 12:58:36**

я про openvpn ничего не говорил
а нафиг то кеширование
вам приятно когда броузеры не коррекно работают когда вы особенно по сайтам новостей лазите
когда прокся что то себе закеширует и потом вы вместо новых новостей читаете сто летней давности

прокси это для 1990 годов

Добавлено: **2009-09-14 13:04:59**

Ок. Кеширование отменяется.
Если вы не имели ввиду vpn-соединение, то что вы имели?

Добавлено: **2009-09-14 13:08:57**

Добавлено: **2009-09-14 13:18:36**

Кстати, а если как вариант установить openvpn ?

Добавлено: **2009-09-14 13:24:41**

ну установите
токо для винды нужно будет тож ставить опенвпн клиетов
а так pptp в винде работает "из кароПки"

Добавлено: **2009-09-14 13:25:44**

Блин, ну нахрена еще впн-то поднимать кто-то объяснит? Религия запрещает траффик с eth0 натить?

А прокся - работает вполне себе отменно. И траф несколько позволяет сэкономить (эдак несколько % для мелкой сети, для крупной - больше), и баннеры порезать. А то, что закешировать может что-то не то - так это разве что на мелких сайтах с жопорукими вебмастерами/одминами...

Добавлено: **2009-09-14 13:28:05**

ну впн что бы линух в своих интерфейсах не запутался)
что кому куда натить

Добавлено: **2009-09-14 13:29:18**

NiTr0 писал(а):Блин, ну нахрена еще впн-то поднимать кто-то объяснит? Религия запрещает траффик с eth0 натить?
А прокся - работает вполне себе отменно. И траф несколько позволяет сэкономить (эдак несколько % для мелкой сети, для крупной - больше), и баннеры порезать. А то, что закешировать может что-то не то - так это разве что на мелких сайтах с жопорукими вебмастерами/одминами...

Ну так помоги мне с моей проблемой, что не так у меня там?

Добавлено: **2009-09-14 13:29:56**

paradox писал(а):ну впн что бы линух в своих интерфейсах не запутался)
что кому куда натить

А с чего ему путаться-то?
Нат на ppp0 (для простоты - маскарадинг) - и делов-то...

Добавлено: **2009-09-14 13:31:03**

ну хорошо если не будет путаться))) я ж не линухоид
но помогать человеку нужно пока нет никого из вас

Добавлено: **2009-09-14 13:31:59**

И, вправду, зачем vpn?
На виндовых - шлюзом генту. На модеме - принимать только генту.
Прокси - по желанию

Добавлено: **2009-09-14 13:34:01**

vasdor писал(а):И, вправду, зачем vpn?
На виндовых - шлюзом генту. На модеме - принимать только генту.
Прокси - по желанию

Так и сделано. Но надо чтобы виндовые машины получали инет от трех интерфейсов eth0, tun0, ppp0

Добавлено: **2009-09-14 13:35:35**

Код: Выделить всё

iptables -t nat -A postrouting -o ppp0 -j MASQUERADE
iptables        -A forwarding  -o ppp0 -i eth0 -j ACCEPT

Добавлено: **2009-09-14 13:36:41**

thefree писал(а):
Код: Выделить всё
iptables -t nat -A postrouting -o ppp0 -j MASQUERADE
iptables        -A forwarding  -o ppp0 -i eth0 -j ACCEPT

Как я понимаю это только на ppp0 ?

Добавлено: **2009-09-14 13:44:08**

satsura писал(а):Как я понимаю это только на ppp0 ?

ага, как на 3 не знаю ... скажу честно, еще желательно ну или обезательно

Код: Выделить всё

 cat /proc/sys/net/ipv4/ip_forward
1

p.s. попробуйте сначала ... так ...

Добавлено: **2009-09-14 13:48:09**

satsura писал(а):Так и сделано. Но надо чтобы виндовые машины получали инет от трех интерфейсов eth0, tun0, ppp0

У вас что, с eth0 тоже инет приходит?

И откуда тут вообще tun0 нарисовался?
P.S. в /etc/sysctl.conf хоть форвардинг разрешен?

Добавлено: **2009-09-14 13:49:40**

thefree писал(а):
satsura писал(а):Как я понимаю это только на ppp0 ?
ага, как на 3 не знаю ... скажу честно, еще желательно ну или обезательно
Код: Выделить всё
 cat /proc/sys/net/ipv4/ip_forward
1
p.s. попробуйте сначала ... так ...

Это сделано давно

Добавлено: **2009-09-14 13:51:26**

NiTr0 писал(а):
satsura писал(а):Так и сделано. Но надо чтобы виндовые машины получали инет от трех интерфейсов eth0, tun0, ppp0
У вас что, с eth0 тоже инет приходит? И откуда тут вообще tun0 нарисовался?
P.S. в /etc/sysctl.conf хоть форвардинг разрешен?

Про три интерфейса tun0, ppp0, eth0 написано в первом посте топика.
Форвадинг разрешен.

Добавлено: **2009-09-14 14:29:36**

Извратно однако... Да и лично я на модеме бы не стал что-либо поднимать - 50-100 сессий и мыльница захлебнется...
Но это все решается обычно просто

Код: Выделить всё

iptables -t nat -A POSTROUTING ! -d 192.168.2.0/24 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

forum.lissyara.su

Раздача квартирного интернета

Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета

Re: Раздача квартирного интернета