https://www.opennet.ru/openforum/vsluhforumID1/79587.html Здравсвтуйте.<br><br>Есть машина под debian, которая выполняет роль рутера. На ней я включаю NAT с помощью скрипта в конце сообщения. Все работает, все хорошо.<br><br>Очень хочется, чтобы это все загружалось автоматически при включении компьютера. Скажите, пожалуйста, каким образом это реализовать "иделогичеси" правильно (может быть вообще никакой такой скрипт не нужен, а как-то это делается очень просто?)<br><br>Заранее спасибо!<br><br>А вот и сам скрипт:<br><br>#!/bin/sh<br><br>IPTABLES=/sbin/iptables<br>EXTIF="eth0" #(inet)<br>INTIF="eth1" #(home lan)<br><br>#echo " External Interface: $EXTIF"<br>#echo " Internal Interface: $INTIF"<br><br>#echo " enabling forwarding.."<br>#echo "1" &gt; /proc/sys/net/ipv4/ip_forward<br><br>#echo " enabling DynamicAddr.."<br>echo "1" &gt; /proc/sys/net/ipv4/ip_dynaddr<br><br>#echo " clearing any existing rules and setting default policy.."<br>$IPTABLES -P INPUT ACCEPT<br>$IPTABLES -F INPUT <br>$IPTABLES -P OUTPUT ACCEPT<br>$IPTABLES -F OUTPUT <br>$IPTABLES -P FORWARD ACCEPT<br>$IPTABLES -F FORWARD <br>$IPTABLES -t nat -F<br><br>#echo https://www.opennet.ru/openforum/vsluhforumID1/79587.html#17 Fri, 06 Jun 2008 00:25:12 GMT На самом деле если ставить GNU/Debian 4 "с нуля", в отличии от апгрейда с версии 3, то в файл /etc/init.d/iptables отсуствует, соответственно негде посмотреть откуда грузятся автоматически правила, да и не грузятся они в общем, приходится самому все писать :((<br>В третьей версии все было нормально в четвертой сломали....<br> https://www.opennet.ru/openforum/vsluhforumID1/79587.html#16 Mon, 07 Apr 2008 09:31:29 GMT <br>&gt;[оверквотинг удален]<br>&gt;<br>&gt;1. Перепиши под себя скрипт файрволла <br>&gt;2. Смени syslog на syslog-ng потому что кто-то придумал извращенный скрипт ротации <br>&gt;логов сислога _не_ через logrotate (все интересующиеся изучают состав пакета syslog) <br>&gt;<br>&gt;3. Sarg ставится конечно из пакетов, но вот бага с моментами генерации <br>&gt;отчетов за месяц из 7 ежедневных файлов уже сколько лет висит.. <br>&gt;<br>&gt;<br>&gt;и это только мелкий сервер, который только начинает жить... <br><br> Мир не совершенен. :)<br> https://www.opennet.ru/openforum/vsluhforumID1/79587.html#15 Mon, 07 Apr 2008 08:59:44 GMT <br>&gt;&gt;Я поизучал содержимое стартового скрипта, и меня это не устраивает. <br>&gt;<br>&gt; А переделать скрипт так как тебе нужно "камасутра не позволяет"? <br>&gt;:) <br><br>Цитирую свое сообщение:<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Это не комбайн. Довольно простенький. <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;&gt;Подскажите, какой пакет поставить чтобы было как в redhat - <br>&gt;&gt;&gt;/etc/init.d/iptables save&#124;start&#124;stop делало банальные iptables-save iptables-&gt;restore ... <br>&gt;&gt;<br>&gt;&gt; Посмотри на предложенный и переделай. <br>&gt;&gt;<br>&gt;Свой я сам написать могу, я как-бы готовым, имеющимся пакетом интересуюсь...<br><br>Поясните, почему в RH могут сделать удобный скрипт в базовой системе/пакетах, а в Debian я такого найти не могу ?<br><br>Итого:<br><br>1. Перепиши под себя скрипт файрволла<br>2. Смени syslog на syslog-ng потому что кто-то придумал извращенный скрипт ротации логов сислога _не_ через logrotate (все интересующиеся изучают состав пакета syslog)<br>3. Sarg ставится конечно из пакетов, но вот бага с моментами генерации отчетов за месяц из 7 ежедневных файлов уже сколько лет https://www.opennet.ru/openforum/vsluhforumID1/79587.html#14 Mon, 07 Apr 2008 08:57:08 GMT &gt;Маны первого пункта давным-давно известны. А вот второго пункта в моем дебиан <br>&gt;"почему-то" нет. <br>&gt;<br>&gt;Каким пакетом это дело организуется у Вас ? <br><br># apt-get install iptables<br><br>/usr/share/doc/iptables/examples/oldinitdscript.gz<br> https://www.opennet.ru/openforum/vsluhforumID1/79587.html#13 Mon, 07 Apr 2008 07:55:24 GMT &gt;&gt;&gt; и как ты получил этот файл ? <br>&gt;&gt;<br>&gt;&gt; Повтроряю, настрой и запусти то что я говорю. Дальше поймешь <br>&gt;&gt;и увидишь все сам. <br>&gt;Я не получил ответ на вопрос - как был получен этот файл.. <br><br> Он был сгенерен самим arno-iptables-firewall<br> <br>&gt;И далее - ты сам эти правила посоставлял ? Нет, это тебе <br>&gt;скрипт их нагенерил.<br><br> Это даже ежу ясно.<br><br><br>&gt;Думаю, что не сильно ты можешь правила менять как тебе нужно. <br><br> Я меняю все что мне нужно.<br><br><br>&gt;Я поизучал содержимое стартового скрипта, и меня это не устраивает. <br><br> А переделать скрипт так как тебе нужно "камасутра не позволяет"? :)<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/79587.html#12 Mon, 07 Apr 2008 06:32:02 GMT &gt;&gt; и как ты получил этот файл ? <br>&gt;<br>&gt; Повтроряю, настрой и запусти то что я говорю. Дальше поймешь <br>&gt;и увидишь все сам. <br>&gt;<br>&gt;<br><br>Я не получил ответ на вопрос - как был получен этот файл..<br><br>И далее - ты сам эти правила посоставлял ? Нет, это тебе скрипт их нагенерил. Думаю, что не сильно ты можешь правила менять как тебе нужно.<br>Я поизучал содержимое стартового скрипта, и меня это не устраивает.<br> https://www.opennet.ru/openforum/vsluhforumID1/79587.html#11 Sun, 06 Apr 2008 20:19:09 GMT <br>&gt; и как ты получил этот файл ? <br><br> Повтроряю, настрой и запусти то что я говорю. Дальше поймешь и увидишь все сам.<br><br> <br> https://www.opennet.ru/openforum/vsluhforumID1/79587.html#10 Sun, 06 Apr 2008 17:13:38 GMT <br> и как ты получил этот файл ?<br><br> Мне вот например не нужны: <br><br> # Create several chains that we will use later on<br> ######################################################################<br> $IPTABLES -N HOST_BLOCK<br> $IPTABLES -N MAC_FILTER<br> $IPTABLES -N VALID_CHK<br> $IPTABLES -N RESERVED_NET_CHK<br> $IPTABLES -N SPOOF_CHK<br> $IPTABLES -N DMZ_INPUT_CHAIN<br> $IPTABLES -N DMZ_LAN_FORWARD_CHAIN<br> $IPTABLES -N INET_DMZ_FORWARD_CHAIN<br> $IPTABLES -N DMZ_INET_FORWARD_CHAIN<br> $IPTABLES -N LAN_INPUT_CHAIN<br> $IPTABLES -N LAN_INET_FORWARD_CHAIN<br> $IPTABLES -N EXT_INPUT_CHAIN<br> $IPTABLES -N EXT_ICMP_FLOOD_CHAIN<br> $IPTABLES -N EXT_OUTPUT_CHAIN<br><br><br>как бы это сказать, задачи несколько другие....<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/79587.html#9 Sun, 06 Apr 2008 16:43:53 GMT &gt;&gt;[оверквотинг удален]<br>&gt;У меня своя специфика фильтрации траффика, свои отдельные цепочки, несколько провайдеров, несколько <br>&gt;внутренних сеток и т п... Мне удобно сделать что-то вроде <br>&gt;<br>&gt;iptables -I FORWARD XXX -i eth0 -p tcp --dport 80 -d xxx.x.x.x <br>&gt;-j ACCEPT <br>&gt;/etc/init.d/iptables save <br>&gt;<br>&gt;- вот и хочу аналогичного в Debian <br><br> Вот тебе кусок из рабочего того что я предлагаю. Никак не пойму что тебя в нем не устаивает.<br><br><br>---------------------- iptables.save ----------------------------<br><br><br>A INPUT -i eth1 -p ! icmp -m state --state NEW -j EXT_INPUT_CHAIN<br>-A INPUT -i eth1 -p icmp -m state --state NEW -m limit --limit 20/sec --limit-burst 100 -j EXT_INPUT_CHAIN<br>-A INPUT -i eth1 -p icmp -m state --state NEW -j EXT_ICMP_CHAIN<br>-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "Dropped INPUT packet: " --log-level 6<br>-A INPUT -j DROP<br>-A FORWARD -i lo -j ACCEPT<br>-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu<br>-A FORWARD -m state --state ESTABLISHED -j A