Mala Siec Lokalna

[armi]

heja,

zainstalowalem wczoraj fc2. bez problemu zainstalowalem neostrade (co wczesniej bylo dla mnie niewykonalne) i zacialem sie na najprostrzej rzeczy ktora nigdy mnie jeszcze nie zawiodla.

karta sieciowa Realtek 8139. w network configuration statyczny adres 192.168.0.4 maska 255.255.255.0, gateway czysty (chyba nic nie musze wpisywac?). wpisalem dns'y na wszelki wypadek.

na reszcie kompow tylko inne ip

wszystko ladnie do switcha podlaczone, nawet sie swieca lampki. problem polega na tym ze do linusia nie leca zadne pakiety.

miedzy innymi komputerami wszystko ladnie leci, a do (_linuxa_ → Linuksa) ORT nic. patrzac od strony (_linuxa_ → Linuksa) ORT on do siebie wysyla, ale do innych ma unreachable host

nie mam pojecia w czym lezy problem. co do firewalla to sprawdzalem to na wlaczonym i wylaczonym firewallu.

 

 

maly edit. znalazlem blad :shock:

dhcpd byl wlaczony i on wszystko kaszanil.

 

ale po restarcie znowu nie dziala :/ dhcp jest wylaczony

[jannaw]

Ustaw przekazywanie pakietów

#echo 1 > /proc/sys/net/ipv4/ip_forward

Najlepiej to wpisz w skrypt firewalla i zawsze Ci szię wykona

Pozd.

JN

[armi]

teraz jest tak:

zreinstalowalem fc2; po instalacji i konfiguracji karty sieciowej jak wyzej ping lecial bez problemu. po zainstalowaniu neostrady znowu wszystko sie rozwalilo. nie dosc ze zresetowalo ip,dns karty sieciowej to tez namieszalo troche w iptables.

jannaw: nie pomoglo :lammer:

 

 

udalo mi siie zpingowac wtedy kiedy neostrada jest jeszcze wylaczona (fizycznie)... gdy ja wlaczylem ping nadal lecial... wszystko zaczelo nawet ladnie dzialac (oprocz dziwnej 2giej karcie sieciowej ktora sie pojawila znikad) nie pojmuje tego.

[butcher]

Jaki masz modem?Z jakiego opisu korzystales podczas konfiguracji

[armi]

modem to sagem korzystalem z tego : http://www.fedora.pl/site/index.php?option...task=view&id=46

dziwne te kompy sa jakos teraz bez reboota jak dolaczam na zywca neo ( pojawia sie najpierw po wielu wpisach startadsl i stopadsl jako eth1 a potem dopiero ppp0) net mi dziala ladnie, w sieci lokalnej pingi leca tez ladnie. teraz zapewne przydaloby sie sprawdzic jak po reboocie bedzie stac siec oraz ustawic net na windowsie xp co jest tragedia... windows nie chce przyjac do swiadomosci ze ma bramke w sieci lokalnej

co mam wpisac do tablicy routingu zeby to zaskoczylo?

192.168.0.4 - to bramka

192.168.0.1 to xp

255.255.255.0 maska

route add 192.168.0.0 (miejsce docelowe) MASK 255.255.255.0 (maska) 192.168.0.4 (brama) METRIC 1 (metryka - nie wiem co tu wpisac...) IF 2 (karta sieciowa)

 

choc w sumie powiedzcie..

robie tracert ,<jakis ip zewnetrzny>

i w 1 kroku leci mi do 192.168.0.4 ... (czyli brama jako tako dziala...)

tyle ze w dalszych krokach jest timeout... wtf is this

firewall jest wylaczony. te echo "1" wklepalem. teoretycznie powinno wszystko dzialac :/ ktos ma pomysl?

 

 

edit: zrebootowalem. na powitanie staje karta sieciowa i neo. wszystko ladnie ustawione. necik dziala tyle ze znowu strony linusia ping na siec lokalna jako DESTINATION HOST UNREACHABLE. ... albo siec albo neo :/

moze karta sieciowa jest na zlym pci?

 

nie wiem co jest nie tak w rozumowaniu ponizej:

instalacja fc2;

konfiguracja karty sieciowej na ustawienia wyzej wymienione;

instalacja neo wg tutoriala;

reboot;

d*pa

[MrReal]

Zdaje mi się że wina leży po stronie firewalla. Wyłącz firewalla (skasuj wszystkie regułki które powstały po instalacji neo)

 

iptables -P INPUT   ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT

iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

Włącz maskaradę dla każdego ip w LANie. Dla iptables wygląda to chyba tak:

iptables -t nat -A POSTROUTING -s 192.168.0.1 -j MASQUERADE

 

A w ogóle to tu coś jest o tym:

maskarada iptables

http://linuxweb.linuxindex.pl/?q=node/view/29

http://www.baseciq.org/linux/masq

 

Tu jest opisane na ipchains ale nie powinno być problemu z przepisaniem tego na iptables:

http://zlobek.tcz.wroclaw.pl/dzial.php3?dzial=3

 

Pozdrawiam

[armi]

iptables v1.2.9: Couldn't load target `MASQUARADE':/lib/iptables/libipt_MASQUARADE.so: cannot open shared object file: No such file or directory

yyyyy...? przeciez iinstalowalem iptables...

 

 

moze to sie przyda... zmienilem ip i tablice routingu jak widac.

Diagnostic (v1.6 20040504) driver eagle-usb 20050106131927
# System Information
Linux localhost 2.6.5-1.358 #1 Sat May 8 09:04:50 EDT 2004 i686 i686 i386 GNU/Linux
Fedora Core release 2 (Tettnang)
Linux version 2.6.5-1.358 ([email protected]) (gcc version 3.3.3 20040412 (Red Hat Linux 3.3.3-7)) #1 Sat May 8 09:04:50 EDT 2004
gcc version 3.3.3 20040412 (Red Hat Linux 3.3.3-7)
# Dependances
kernel-source-2.6.5-1.358
ppp-2.4.2-2
package dhcp-client is not installed
package dhcpcd is not installed
lrwxrwxrwx   1 root root   27 Jan  4 19:38 linux -> /usr/src/linux-2.6.5-1.358/
drwxr-xr-x  19 root root 4096 Jan  4 19:01 linux-2.6.5-1.358
# Kernel config : usb modules
ppp_async               8064  1 
ppp_generic            20500  5 ppp_async
slhc                    5632  1 ppp_generic
eagle_usb              99336  0 
uhci_hcd               23708  0 
# module loaded ?        [ OK ]
# modem operational ?    [ OK ]
eagle-usb status display
-------------------------------------------------------------
Driver version 2
USB Bus : 001  USB Device : 003  Dbg mask: 0x0
Ethernet Interface : eth0
MAC: 00:60:4c:1b:e2:db
Tx Rate  0000000192  Rx Rate  0000000768  Crc      0000000000
FEC      0000000000  Margin   0000000036  Atten    0000000021 dB
VID-CPE  0000000000  VID-CO   0000000028  HEC      0000000000
VPI      0000000000  VCI      0000000035  Delin          GOOD
Cells Rx 0000002401  Cells Tx 0000000884
Pkts Rx  0000000257  Pkts Tx  0000000268
OAM      0000000000  Bad VPI  0000000000  Bad CRC  0000000000
Oversiz. 0000000000

Modem is operational

# Config eagle-usb : vpi/vci/encapsulation 0 23 6
# pppd launched ?        [ OK ]
# Service for connection [ OK ]
# /etc/resolv.conf should contain the DNS
search localhost
nameserver 194.204.159.1
nameserver 194.204.152.34
eth0      Link encap:Ethernet  HWaddr 00:60:4C:1B:E2:DB  
         inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
         inet6 addr: fe80::260:4cff:fe1b:e2db/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:257 errors:0 dropped:0 overruns:0 frame:0
         TX packets:268 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:104615 (102.1 Kb)  TX bytes:36394 (35.5 Kb)

lo        Link encap:Local Loopback  
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:2732 errors:0 dropped:0 overruns:0 frame:0
         TX packets:2732 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:2895523 (2.7 Mb)  TX bytes:2895523 (2.7 Mb)

ppp0      Link encap:Point-to-Point Protocol  
         inet addr:83.31.221.238  P-t-P:213.25.2.5  Mask:255.255.255.255
         UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
         RX packets:244 errors:0 dropped:0 overruns:0 frame:0
         TX packets:208 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:3 
         RX bytes:103950 (101.5 Kb)  TX bytes:29512 (28.8 Kb)

sit0      Link encap:IPv6-in-IPv4  
         NOARP  MTU:1480  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.25.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
# ping IP ?              [ OK ]
# test DNS resolution ?  [ OK ]

 

ale tak poza tym to raczej bez firewalla powinno dzialac... przeciez ping powinien dzialac bez zadnej maskarady.... a po prostu nie chce dzialac. dwa kompy polaczone kablem, rozne ip, jedna maska, nawet diody sie swieca a ping nie leci.... i jest to ewidentna wina (_linuxa_ → Linuksa) ORT i eaglle usb (i oczywiscie mojej niewiedzy)

[The Structorr]

Może zainstaluj sobie Firestartera. Skonfigurujesz sobie wszystko w trybie graficznym, nawet wizard jest.

 

Pozdrawiam

[armi]

ale zrozumcie ze to nie chodzi o firewalla ja chce zeby siec lokalna dzialala (_wogole_ → w ogóle) ORT.

 

ale zobacze ten program, bo jest tam cos niecos o wspoldzieleniu lacza.

 

zainstalowalem tego firestartera i znalazlem przerazajaca rzecz.

 

pokazuje mi on na firewallu 3 polaczenia - eth0, ppp0, sit0(tunnel ipv6). otoz jak siedze na neo i ogladam stronke, to na firewallu widac ze ppp0 i eth0 pracuja razem. czyli activity , sent receive jest taki sam na obu urzadzeniach... weird.

 

zmiana slota pci nic nie pomaga.

[MrReal]

oki tylko spokojnie

Zacznijmy od konfiguracji sieci lokalnej, albo raczej od topologi Twojej sieci. Komputery połączone są switchem czyli żeby działał LAN to serwer z linuxem na razie nie jest do niczego potrzebny. Po prostu poustawiaj statycznie (na razie) adresy ip, bramy, gateway-e (możesz już ustawić a co) itp.

No i już LAN dziła. Jak nie to to nie wiem, może switch jest rąbnięty.

Oki

Teraz ustawiasz połączenie z NEO. Włącz serwer i zainstaluj modem i wszystko inne co tam potrzeba czyli np. sieciówki. ppp0 to będzie interfejs neo z dynamicznie przypisywanym ip, eth0 to bedzie interfejs LANu. No chyba nie musze pisać że lan musi być w tej samej podsieci czyli dla eth0 ustaw 192.168.0.254/24 a innym komputerom przypisz od 192.168.0.1/24 do...sam wiesz najlepiej.

Fajnie. W tym momencie każdy komputer powinien się pingować z każdym innym. Aha; wyłącz wszelkie firewale na wszystkich komputerach.

Jak już się pinguje to połącz się na serwerze z NEO i pingnij się z serwera na www.onet.pl, jak nie działa to na 213.180.130.200 (bo być może resolv.conf trzeba poprawić )

Jak masz Xy to włącz przegladarkę i zobacz czy otwierają się stronki. Jak tak to teraz czeka Cie najtrudniejsza część czyli ustawienie maskarady dla zmiennego ip.

(Sorki że tak wklejam ale nie mam niestety linku do strony z której to wziąłem )

#!/bin/sh
#
# rc.firewall-2.4-stronger
#
FWVER=0.80s

#          An example of a stronger IPTABLES firewall with IP Masquerade 
#          support for 2.4.x kernels.  
#
# Log:
#
#   0.80s - Added a DISABLED ip_nat_irc kernel module section, changed the
#           default of the ip_conntrack_irc to NOT load by default, and 
#           added additional kernel module comments
#   0.79s - ruleset now uses modprobe instead of insmod
#   0.78s - REJECT is not a legal policy yet; back to DROP
#   0.77s - Changed the default block behavior to REJECT not DROP
#   0.76s - Added a comment about the OPTIONAL WWW ruleset and a comment
#           where to put optional PORTFW commands
#   0.75s - Added clarification that PPPoE users need to use
#           "ppp0" instead of "eth0" for their external interface
#   0.74s - Changed the EXTIP command to work on NON-English distros
#   0.73s - Added comments in the output section that DHCPd is optional
#           and changed the default settings to disabled
#   0.72s - Changed the filter from the INTNET to the INTIP to be
#           stateful; moved the command VARs to the top and made the
#           rest of the script to use them
#   0.70s - Added a disabled examples for allowing internal DHCP  
#           and external WWW access to the server
#   0.63s - Added support for the IRC module
#   0.62s - Initial version based upon the basic 2.4.x rc.firewall


echo -e "\nLoading STRONGER rc.firewall - version $FWVER..\n"


# The location of various iptables and other shell programs
#
#   If your Linux distribution came with a copy of iptables, most
#   likely it is located in /sbin.  If you manually compiled 
#   iptables, the default location is in /usr/local/sbin
#
# ** Please use the "whereis iptables" command to figure out 
# ** where your copy is and change the path below to reflect 
# ** your setup
#
IPTABLES=/sbin/iptables
#
LSMOD=/sbin/lsmod
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe
GREP=/bin/grep
AWK=/bin/awk
SED=/bin/sed
IFCONFIG=/sbin/ifconfig


#Setting the EXTERNAL and INTERNAL interfaces for the network
#
#  Each IP Masquerade network needs to have at least one
#  external and one internal network.  The external network
#  is where the natting will occur and the internal network
#  should preferably be addressed with a RFC1918 private address
#  scheme.
#
#  For this example, "eth0" is external and "eth1" is internal"
#
#  NOTE:  If this doesnt EXACTLY fit your configuration, you must 
#         change the EXTIF or INTIF variables above. For example: 
#
#            If you are a PPPoE or analog modem user:
#
#               EXTIF="ppp0" 
#
EXTIF="ppp0"
INTIF="eth0"
echo "  External Interface:  $EXTIF"
echo "  Internal Interface:  $INTIF"
echo "  ---"

# Specify your Static IP address here or let the script take care of it 
# for you.
#
#   If you prefer to use STATIC addresses in your firewalls, un-# out the
#   static example below and # out the dynamic line.  If you don't care,
#   just leave this section alone.
#
#   If you have a DYNAMIC IP address, the ruleset already takes care of
#   this for you.  Please note that the different single and double quote 
#   characters and the script MATTER.
#
#
#   DHCP users:
#   -----------
#   If you get your TCP/IP address via DHCP, **you will need ** to enable the 
#   #ed out command below underneath the PPP section AND replace the word 
#   "eth0" with the name of your EXTERNAL Internet connection (ppp0, ippp0, 
#   etc) on the lines for "ppp-ip" and "extip".  You should also note that the 
#   DHCP server can and will change IP addresses on you.  To deal with this, 
#   users should configure their DHCP client to re-run the rc.firewall ruleset 
#   everytime the DHCP lease is renewed.
#
#     NOTE #1:  Some DHCP clients like the original "pump" (the newer
#               versions have been fixed) did NOT have the ability to run 
#               scripts after a lease-renew.  Because of this, you need to 
#               replace it with something like "dhcpcd" or "dhclient".
#
#     NOTE #2:  The syntax for "dhcpcd" has changed in recent versions.
#
#               Older versions used syntax like:
#                         dhcpcd -c /etc/rc.d/rc.firewall eth0
#
#               Newer versions execute a file called /etc/dhcpc/dhcpcd-eth0.exe
#
#     NOTE #3:  For Pump users, put the following line in /etc/pump.conf:
#
#                   script /etc/rc.d/rc.firewall
#
#   PPP users:
#   ----------
#   If you aren't already aware, the /etc/ppp/ip-up script is always run when 
#   a PPP connection comes up.  Because of this, we can make the ruleset go and 
#   get the new PPP IP address and update the strong firewall ruleset.
#
#   If the /etc/ppp/ip-up file already exists, you should edit it and add a line
#   containing "/etc/rc.d/rc.firewall" near the end of the file.
#
#   If you don't already have a /etc/ppp/ip-up sccript, you need to create the 
#   following link to run the /etc/rc.d/rc.firewall script.
#
#       ln -s /etc/rc.d/rc.firewall /etc/ppp/ip-up
#
#   * You then want to enable the #ed out shell command below *
#
#
# Determine the external IP automatically:
# ----------------------------------------
#
#  The following line will determine your external IP address.  This
#  line is somewhat complex and confusing but it will also work for
#  all NON-English Linux distributions:
#
EXTIP="`$IFCONFIG $EXTIF | $AWK \
/$EXTIF/'{next}//{split($0,a,":");split(a[2],a," ");print a[1];exit}'`"


# For users who wish to use STATIC IP addresses:
#
#  # out the EXTIP line above and un-# out the EXTIP line below
#
#EXTIP="your.static.PPP.address"
echo "  External IP: $EXTIP"
echo "  ---"


# Assign the internal TCP/IP network and IP address
INTNET="192.168.100.0/24"
INTIP="192.168.100.100/24"
echo "  Internal Network: $INTNET"
echo "  Internal IP:      $INTIP"
echo "  ---"




# Setting a few other local variables
#
UNIVERSE="0.0.0.0/0"

#======================================================================
#== No editing beyond this line is required for initial MASQ testing ==

# Need to verify that all modules have all required dependencies
#
echo "  - Verifying that all kernel modules are ok"
$DEPMOD -a

echo -en "    Loading kernel modules: "

# With the new IPTABLES code, the core MASQ functionality is now either
# modular or compiled into the kernel.  This HOWTO shows ALL IPTABLES
# options as MODULES.  If your kernel is compiled correctly, there is
# NO need to load the kernel modules manually.  
#
#  NOTE: The following items are listed ONLY for informational reasons.
#        There is no reason to manual load these modules unless your
#        kernel is either mis-configured or you intentionally disabled
#        the kernel module autoloader.
#

# Upon the commands of starting up IP Masq on the server, the
# following kernel modules will be automatically loaded:
#
# NOTE:  Only load the IP MASQ modules you need.  All current IP MASQ 
#        modules are shown below but are commented out from loading.
# ===============================================================

#Load the main body of the IPTABLES module - "ip_tables"
#  - Loaded automatically when the "iptables" command is invoked
#
#  - Loaded manually to clean up kernel auto-loading timing issues
#
echo -en "ip_tables, "
#
#Verify the module isn't loaded.  If it is, skip it
#
if [ -z "` $LSMOD | $GREP ip_tables | $AWK {'print $1'} `" ]; then
  $MODPROBE ip_tables
fi


#Load the IPTABLES filtering module - "iptable_filter" 
#
#  - Loaded automatically when filter policies are activated


#Load the stateful connection tracking framework - "ip_conntrack"
#
# The conntrack  module in itself does nothing without other specific 
# conntrack modules being loaded afterwards such as the "ip_conntrack_ftp"
# module
#
#  - This module is loaded automatically when MASQ functionality is 
#    enabled 
#
#  - Loaded manually to clean up kernel auto-loading timing issues
#
echo -en "ip_conntrack, "
#
#Verify the module isn't loaded.  If it is, skip it
#
if [ -z "` $LSMOD | $GREP ip_conntrack | $AWK {'print $1'} `" ]; then
  $MODPROBE ip_conntrack
fi


#Load the FTP tracking mechanism for full FTP tracking
#
# Enabled by default -- insert a "#" on the next line to deactivate
#
echo -e "ip_conntrack_ftp, "
#
#Verify the module isn't loaded.  If it is, skip it
#
if [ -z "` $LSMOD | $GREP ip_conntrack_ftp | $AWK {'print $1'} `" ]; then
  $MODPROBE ip_conntrack_ftp
fi


#Load the IRC tracking mechanism for full IRC tracking
#
# Disabled by default -- insert a "#" on the next few lines to activate
#
# echo -en "                             ip_conntrack_irc, "
#
#Verify the module isn't loaded.  If it is, skip it
#
# if [ -z "` $LSMOD | $GREP ip_conntrack_irc | $AWK {'print $1'} `" ]; then
#    $MODPROBE ip_conntrack_irc
# fi



#Load the general IPTABLES NAT code - "iptable_nat"
#  - Loaded automatically when MASQ functionality is turned on
# 
#  - Loaded manually to clean up kernel auto-loading timing issues
#
echo -en "iptable_nat, "
#
#Verify the module isn't loaded.  If it is, skip it
#
if [ -z "` $LSMOD | $GREP iptable_nat | $AWK {'print $1'} `" ]; then
  $MODPROBE iptable_nat
fi


#Loads the FTP NAT functionality into the core IPTABLES code
# Required to support non-PASV FTP.
#
# Enabled by default -- insert a "#" on the next line to deactivate
#
echo -e "ip_nat_ftp"
#
#Verify the module isn't loaded.  If it is, skip it
#
if [ -z "` $LSMOD | $GREP ip_nat_ftp | $AWK {'print $1'} `" ]; then
  $MODPROBE ip_nat_ftp
fi


#Loads the IRC NAT functionality (for DCC) into the core IPTABLES code
#
# DISABLED by default -- delete the "#" on the next few lines to activate
#
# echo -e "ip_nat_irc"
#
#Verify the module isn't loaded.  If it is, skip it
#
# if [ -z "` $LSMOD | $GREP ip_nat_irc | $AWK {'print $1'} `" ]; then
#    $MODPROBE ip_nat_irc
# fi


echo "  ---"

# Just to be complete, here is a partial list of some of the other  
# IPTABLES kernel modules and their function.  Please note that most 
# of these modules (the ipt ones) are automatically loaded by the 
# master kernel module for proper operation and don't need to be 
# manually loaded.
# --------------------------------------------------------------------
#
#    ip_nat_snmp_basic - this module allows for proper NATing of some 
#                        SNMP traffic
#
#    iptable_mangle    - this target allows for packets to be 
#                        manipulated for things like the TCPMSS 
#                        option, etc.
#
# --
#
#    ipt_mark       - this target marks a given packet for future action.
#                     This automatically loads the ipt_MARK module
#
#    ipt_tcpmss     - this target allows to manipulate the TCP MSS
#                     option for braindead remote firewalls.
#                     This automatically loads the ipt_TCPMSS module
#
#    ipt_limit      - this target allows for packets to be limited to
#                     to many hits per sec/min/hr
#
#    ipt_multiport  - this match allows for targets within a range
#                     of port numbers vs. listing each port individually
#
#    ipt_state      - this match allows to catch packets with various
#                     IP and TCP flags set/unset
#
#    ipt_unclean    - this match allows to catch packets that have invalid
#                     IP/TCP flags set
#
#    iptable_filter - this module allows for packets to be DROPped, 
#                     REJECTed, or LOGged.  This module automatically 
#                     loads the following modules:
#

#                     ipt_LOG - this target allows for packets to be 
#                               logged
#
#                     ipt_REJECT - this target DROPs the packet and returns 
#                                  a configurable ICMP packet back to the 
#                                  sender.


#CRITICAL:  Enable IP forwarding since it is disabled by default since
#
#           Redhat Users:  you may try changing the options in
#                          /etc/sysconfig/network from:
#
#                       FORWARD_IPV4=false
#                             to
#                       FORWARD_IPV4=true
#
echo "  Enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward


# Dynamic IP users:
#
#   If you get your IP address dynamically from SLIP, PPP, or DHCP, 
#   enable the following option.  This enables dynamic-address hacking
#   which makes the life with Diald and similar programs much easier.
#
echo "  Enabling DynamicAddr.."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo "  ---"

#############################################################################
#
# Enable Stronger IP forwarding and Masquerading
#
#  NOTE:  In IPTABLES speak, IP Masquerading is a form of SourceNAT or SNAT.
#
#  NOTE #2:  The following is an example for an internal LAN address in the
#            192.168.1.x network with a 255.255.255.0 or a "24" bit subnet 
#            mask connecting to the Internet on external interface "eth0".  
#            This example will MASQ internal traffic out to the Internet 
#            but not allow non-initiated traffic into your internal network.
#
#            
#         ** Please change the above network numbers, subnet mask, and your 
#         *** Internet connection interface name to match your setup
#         

#Clearing any previous configuration
#
#  Unless specified, the defaults for INPUT, OUTPUT, and FORWARD to DROP
#
#    You CANNOT change this to REJECT as it isn't a vaild policy setting.
#    If you want REJECT, you must explictly REJECT at the end of a giving 
#    INPUT, OUTPUT, or FORWARD chain
#
echo "  Clearing any existing rules and setting default policy to DROP.."
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT 
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT 
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD 
$IPTABLES -F -t nat

#Not needed and it will only load the unneeded kernel module
#$IPTABLES -F -t mangle
#
# Flush the user chain.. if it exists
if [ -n "`$IPTABLES -L | $GREP drop-and-log-it`" ]; then
  $IPTABLES -F drop-and-log-it
fi
#
# Delete all User-specified chains
$IPTABLES -X
#
# Reset all IPTABLES counters
$IPTABLES -Z


#Configuring specific CHAINS for later use in the ruleset
#
#  NOTE:  Some users prefer to have their firewall silently
#         "DROP" packets while others prefer to use "REJECT"
#         to send ICMP error messages back to the remote 
#         machine.  The default is "REJECT" but feel free to
#         change this below.
#
# NOTE: Without the --log-level set to "info", every single
#       firewall hit will goto ALL vtys.  This is a very big
#       pain.
#
echo "  Creating a DROP chain.."
$IPTABLES -N drop-and-log-it
$IPTABLES -A drop-and-log-it -j LOG --log-level info 
$IPTABLES -A drop-and-log-it -j REJECT

echo -e "\n   - Loading INPUT rulesets"


#######################################################################
# INPUT: Incoming traffic from various interfaces.  All rulesets are 
#        already flushed and set to a default policy of DROP. 
#

# loopback interfaces are valid.
#
$IPTABLES -A INPUT -i lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT


# local interface, local machines, going anywhere is valid
#
$IPTABLES -A INPUT -i $INTIF -s $INTNET -d $UNIVERSE -j ACCEPT


# remote interface, claiming to be local machines, IP spoofing, get lost
#
$IPTABLES -A INPUT -i $EXTIF -s $INTNET -d $UNIVERSE -j drop-and-log-it


# external interface, from any source, for ICMP traffic is valid
#
#  If you would like your machine to "ping" from the Internet, 
#  enable this next line
#
#$IPTABLES -A INPUT -i $EXTIF -p ICMP -s $UNIVERSE -d $EXTIP -j ACCEPT


# remote interface, any source, going to permanent PPP address is valid
#
#$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -j ACCEPT


# Allow any related traffic coming back to the MASQ server in
#
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state \
ESTABLISHED,RELATED -j ACCEPT


# ----- Begin OPTIONAL INPUT Section -----
#

# DHCPd - Enable the following lines if you run an INTERNAL DHCPd server
#
#$IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67 -j ACCEPT
#$IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67 -j ACCEPT

# HTTPd - Enable the following lines if you run an EXTERNAL WWW server
#
#    NOTE:  This is NOT needed for simply enabling PORTFW.  This is ONLY 
#           for users that plan on running Apache on the MASQ server itself
#
#echo -e "      - Allowing EXTERNAL access to the WWW server"
#$IPTABLES -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED \
# -p tcp -s $UNIVERSE -d $EXTIP --dport 80 -j ACCEPT

#
# ----- End OPTIONAL INPUT Section -----



# Catch all rule, all other incoming is denied and logged. 
#
$IPTABLES -A INPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it


echo -e "   - Loading OUTPUT rulesets"

#######################################################################
# OUTPUT: Outgoing traffic from various interfaces.  All rulesets are 
#         already flushed and set to a default policy of DROP. 
#

# loopback interface is valid.
#
$IPTABLES -A OUTPUT -o lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT


# local interfaces, any source going to local net is valid
#
$IPTABLES -A OUTPUT -o $INTIF -s $EXTIP -d $INTNET -j ACCEPT


# local interface, any source going to local net is valid
#
$IPTABLES -A OUTPUT -o $INTIF -s $INTIP -d $INTNET -j ACCEPT


# outgoing to local net on remote interface, stuffed routing, deny
#
$IPTABLES -A OUTPUT -o $EXTIF -s $UNIVERSE -d $INTNET -j drop-and-log-it


# anything else outgoing on remote interface is valid
#
$IPTABLES -A OUTPUT -o $EXTIF -s $EXTIP -d $UNIVERSE -j ACCEPT


# ----- Begin OPTIONAL OUTPUT Section -----
#

# DHCPd - Enable the following lines if you run an INTERNAL DHCPd server
#         - Remove BOTH #s all the #s if you need this functionality.
#
#$IPTABLES -A OUTPUT -o $INTIF -p tcp -s $INTIP --sport 67 \
# -d 255.255.255.255 --dport 68 -j ACCEPT
#$IPTABLES -A OUTPUT -o $INTIF -p udp -s $INTIP --sport 67 \
# -d 255.255.255.255 --dport 68 -j ACCEPT

#
# ----- End OPTIONAL OUTPUT Section -----


# Catch all rule, all other outgoing is denied and logged. 
#
$IPTABLES -A OUTPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it


echo -e "   - Loading FORWARD rulesets"

#######################################################################
# FORWARD: Enable Forwarding and thus IPMASQ
#

# ----- Begin OPTIONAL FORWARD Section -----
#
# ----- End OPTIONAL FORWARD Section -----


echo "     - FWD: Allow all connections OUT and only existing/related IN"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

# Catch all rule, all other forwarding is denied and logged. 
#
$IPTABLES -A FORWARD -j drop-and-log-it


echo "     - NAT: Enabling SNAT (MASQUERADE) functionality on $EXTIF"
#[QUOTE]
#More liberal form
#$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
#
#Stricter form
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP


#######################################################################
echo -e "\nStronger rc.firewall-2.4 $FWVER done.\n"

 

To jest kompletny skrypt z dość dobrym firewallem. Jedyne co musisz zrobić to pewnie pozmieniać niektóre adresy ip i interfejsy. Musisz sobie poradzić a przy okazji zobaczysz jak to działa. Pamiętam że jedyne co mi się nie podobało w tym skrypcie to to że trzeba go uruchomić po połączeniu się z netem, bo on sam sobie wykrywa zewnętrzny ip.

 

iptables v1.2.9: Couldn't load target `MASQUARADE':/lib/iptables/libipt_MASQUARADE.so: cannot open shared object file: No such file or directory

yyyyy...? przeciez iinstalowalem iptables...

Załaduj moduł do jądra:

modprobe ipt_MASQUERADE (jakoś tak chyba, nie pamiętam)

Jeśli nie działa (czyli nie masz modułu) to musisz przekompilować jajko

 

Teraz możesz sobie postawić dhcpd jak chcesz.

 

Pozdrawiam

[armi]

mcreal robilem dokladnie tak jak mowiles juz wczesniej. teraz sprobowalem troche inaczej, czyli od tylu. wyjalem karte sieciowa fizycznie, wczesniej ja wylaczylem, sprawilem ze sluch w (_linuxie_ → Linuksie) ORT o niej znikl. przy starcie sie pytal czy zmienic konfiguracje - zmienil. eth0 nie ma... chcialem zobaczyc co sie bedzie dziac. instalacja neostrady poszla gladko i szybciutko. nowe sterowniki sobie nawet sciagnalem - 2.0.0. i co sie okazalo. stworzylo mi ppp0 - dynamiczne podlaczenie do netu, ping pieknie leci na net, przegladarka ostro smiga. czyli spox. ale co ciekawsze, pojawilo mi sie eth0. z wyzerowanym ip, bez maski i gatewaya.

po wlozeniu i zainstalowaniu karty sieciowej nadal bylo "destination host unreachable" :/ jakby ten wirtualny eth0 byl mu potrzebny...

 

mam pare pytanek co do twojego posta.. dla czego na serwer mam dawac ip 192.168.9.254... ? przeciez to nie powinno miec roznicy jakie ip przyporzadkowuje... byle by sie nie powtarzaly, byly w tej samej podsieci..

bez neostrady na (_linuxie_ → Linuksie) ORT siec dziala bezblednie. ale i tak sie nie poddam bo to kwestia honoru.

[MrReal]

Oczywiście że ip daj takie jakie chcesz tylko bądź konsekwentny

Teraz ja czegoś nie rozumiem

Po wyjęciu karty sieciowej ciągle pozostało po niej eth0 a powinno zniknąć?

Być może nie usunąłeś kofiguracji do końca i skryptu ifcfg-eth0 w /etc/sysconfig/network-scripts. Użyj narzędzia system-config-network w Xach żeby usunąć konfiguracje z (_linuxa_ → Linuksa) ORT.

 

Rozumiem też że po ponownym włożeniu karty sieciowej internet przestał działać na serwerze tak? A jak ustawisz ip dla eth0 to możesz zrobić ping na inne komputery?

Może default gateway sie zmienił i ustawił błędnie przez eth0

Zobacz route.

Po połączeniu się z neo napisz:

route add default gw zewnętrzny_ip dev ppp0

 

Dodaj tą regułkę do skryptu (np na sam koniec).

 

Pozdrawiam

 

ps. MrReal a nie McReal . Dlaczego wszyscy mówią McReal?

[armi]

bo mi sie kojarzy z mcdonalds i colinem

1. po wyjeciu eth0 nic po niej nie bylo. w xie skasowalem konfiguracje. podczas bootowania nie wlaczal juz eth0. czyli wszystko bylo czyste.

jednakze po zainstalowaniu eagle-usb interfejs karty sieciowej sie pojawil nowy. jakis wirtualny

 

2. mialem wyjeta karte sieciowa, zainstalowalem neo ktore dziala. wkladam karte sieciowa i chce odpalic lan. bezskutecznie, pomimo poprawnego wpisania ip pisze :dest host unreachable. co ciekawsze ten sam napis jest jak nie ma karty sieciowej - na tym wirtualnym eth0 tez jest ten napis podczas pingowania lokalnej sieci. neo nadal dziala.

gateway raczej nic do tego nie ma.. poza tym poprawiam default gateway - ale to nie powinno przeszkadzac w pingowaniu. jutro zobacze z tym default route.

 

heja. problem sie rozwiazal. po reboocie fedora znalazla karte sieciowa raltek i tym razem nazwala ja eth1, a nie eth0 - co nadpisywalo ten wirtualny interfejs neostrady. dzieki za pomoc. z firewalla pozniej skorzystam. poki co firestarter dziala.