PLD jako router

Michał Panasiewicz wolvverine w tarchomin.pl
Pon, 19 Mar 2007, 02:27:14 CET


Dnia 18-03-2007, nie o godzinie 23:01 +0100, Krystian Tomczyk
napisał(a):
> Dnia 17-03-2007, sob o godzinie 23:25 +0100, Marcin Sapeta napisał(a):
> > > Autor wątku gdzieś zaginął :). A tutaj zmniejszanie TTL przez ISP nie było
> > > problemem tylko chyba coś innego, ale jak nie wróci to sie nie dowiemy :)
> > Nie zaginął, sprawy osobiste ;) 
> > 
> > Co do problemu, to od nadmiaru informacji się pogubiłem ;/
> > 
> > Zrobiłem to: http://www.baseciq.org/linux/masq  dla jądra 2.6 nie wiem jakie 
> > łańcuchy z iptables wstawić w końcu :( 
> > 
> > W innym miejscu miałem tylko tyle skonfigurowane: 
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> > iptables -A POSTROUTING -s 192.168.0.0 -j MASQUERADE -t nat
> > i to działało, udostępniałem net po Wi-Fi dla tego drugiego laptopa. Teraz 
> > jestem podpiety u innego dostawcy, który taki problem zrobił :)
> > 
> > Nie chcę kupować sprzętowego routera skoro mam linuxa i to PLD :) 
> > 
> IMO to powinno działać (chyba, że faktycznie są sztuczki z TTL)
> Ja u siebie mam tak:
> # maskarada - eth0 to wyjście w świat
> modprobe iptable_nat
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> echo 1 >/proc/sys/net/ipv4/ip_forward

$ sudo cat /etc/rc.d/firewall.start | grep -v ^# | grep -v ^$
 echo " Odpalam firewall: "
# eth0 = ISP (dhcp)
# eth1 = 10.0.0.1 - LAN
# wlan1 = 10.0.1.1
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_irc
echo "1" > /proc/sys/net/ipv4/ip_forward
# wyczysc reguły
/usr/sbin/iptables -F -t mangle
/usr/sbin/iptables -X -t mangle
/usr/sbin/iptables -F -t nat
/usr/sbin/iptables -X -t nat
/usr/sbin/iptables -F -t filter
/usr/sbin/iptables -X -t filter
# zablokuj wszystko
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -P OUTPUT DROP
/usr/sbin/iptables -P FORWARD DROP
# przepuść wszystko na wybranych interfejsach - lo MUSI być
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/usr/sbin/iptables -A INPUT -i eth1 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o eth1 -j ACCEPT
# ponizej to nie jest dobry pomysł ale do testow sie przyda
/usr/sbin/iptables -A INPUT -i wlan0 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o wlan0 -j ACCEPT
#
/usr/sbin/iptables -t filter -A FORWARD -s 10.0.0.0/24 -d 0/0 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 10.0.0.0/24 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 10.0.1.0/24 -d 0/0 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 10.0.1.0/24 -j ACCEPT
/usr/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -j
MASQUERADE
/usr/sbin/iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -d 0/0 -j
MASQUERADE
/bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians


...


-- 
Michał Panasiewicz Linux user nr. #425323 - jabber: wolvverine [ at ] chrome [ dot ] pl  || e-mail: wolvverine [ at ] tlen [ dot ] pl , wolvverine [ at ] pld-linux [ dot ] org
http://www.linkomp.pl - Linkomp - Usługi informatyczne dla firm - biuro [ at ] linkomp [ dot ] pl



Więcej informacji o liście dyskusyjnej pld-users-pl