URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 41538
[ Назад ]

Исходное сообщение
"Тематический каталог: Настройка Linux роутера на базе дистрибутива Debian GNULinux 4.0 r3. (debian linux network iptable..."
Отправлено auto_topic , 30-Апр-08 16:27

Обсуждение статьи тематического каталога: Настройка Linux роутера на базе дистрибутива Debian GNULinux 4.0 r3. (debian linux network iptables vpn 1c install squid pptp)
Ссылка на текст статьи: https://www.opennet.ru/base/net/debian_router.txt.html

Содержание

Настройка Linux роутера на базе дистрибутива Debian GNULinux 4.0 r3. (debian linux network iptables vpn 1c install squid...,banzai, 16:27 , 30-Апр-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,OneROFL, 09:38 , 05-Май-08
- Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,kert84, 18:15 , 07-Июн-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,isupport, 23:29 , 15-Май-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,isupport, 23:32 , 15-Май-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,Ошо, 13:56 , 23-Май-08
- Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,netc, 09:43 , 07-Июн-08
  - Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,Юрий, 13:34 , 05-Апр-09
    - Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,Андрей, 14:01 , 17-Апр-09
      - Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,linjan, 11:49 , 13-Фев-11
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,OneROFL, 10:31 , 28-Май-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,OneROFL, 10:33 , 28-Май-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. ,prostochel, 17:26 , 03-Июн-08
fw note 1,Andrey Mitrofanov, 10:09 , 07-Июн-08
- fw note 2,Andrey Mitrofanov, 12:14 , 07-Июн-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,OneROFL, 13:10 , 09-Июн-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,netc, 18:47 , 05-Июл-08
- Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,netc, 18:48 , 05-Июл-08
  - Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,elec, 18:10 , 20-Окт-08
- Настройка Linux роутера на базе дистрибутива Debian GNU/Linu...,Юрий, 13:36 , 05-Апр-09
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,Igor, 17:49 , 29-Июл-08
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,Юрий, 15:19 , 05-Апр-09
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,Ken, 09:42 , 26-Авг-09
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,Грозный Ламер, 01:13 , 07-Дек-09
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,Saw, 19:35 , 28-Янв-10
Настройка Linux роутера ,WiZaRD, 15:34 , 02-Мрт-10
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,HolyDiver, 13:27 , 12-Апр-10
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,Роман, 02:55 , 07-Май-10
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,alex_shkut, 23:10 , 17-Ноя-10
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,OneROFL, 12:26 , 29-Июн-11
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi...,ДАНИЛ, 12:23 , 24-Мрт-12
БЛУДНЯК,ДАНИЛ, 12:27 , 24-Мрт-12

Сообщения в этом обсуждении

"Настройка Linux роутера на базе дистрибутива Debian GNULinux 4.0 r3. (debian linux network iptables vpn 1c install squid..."
Отправлено banzai , 30-Апр-08 16:27

Получается авторизация только через сквид, нат пускает без всякой авторизации, аналогично учет трафика... Да и оптимальней было бы настроить прозрачный прокси, клиентам раздавать настройки через dhcp - не придется каждому прописывать настройки прокси.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено OneROFL , 05-Май-08 09:38

нат пускает только "бесплатный" трафик.
А оптимальней ставить НетАМС :)

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено kert84 , 07-Июн-08 18:15

А где в настройки описано что пускает только бесплатный траффик? Мне кажется что пускает весь траффик Возможно я что то не понимаю))))(скорее всего:)))

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено isupport , 15-Май-08 23:29

Статья просто отличная, а настроить остальное "под себя" это дело фантазии и квалификации. Главное база неплохая. Спасибо за статью.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено isupport , 15-Май-08 23:32

добавлю что для такого обьема рабочих станций dhcpd просто необходим, уйдет и проблема с дублированием ипов.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено Ошо , 23-Май-08 13:56

А почему часть пакетов ставиться через apt-get а другая через aptitude?

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено netc , 07-Июн-08 09:43

потому-что aptitude запоминает что и для чего он ставил
т.е. он помнит что ему когда сказали ставить Samba он еще установил и samba-common
ну и так далее
просто удалять пакеты потом намного легче
а еще ставить надо так aptitude -R install ...
-R без рекомендованных пакетов (т.е зачастую не нужных нафик)

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено Юрий , 05-Апр-09 13:34

Что за ернуда? apt-get тоже поставит samba-common, точнее он скажет ему он нужен.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено Андрей , 17-Апр-09 14:01

>Что за ернуда? apt-get тоже поставит samba-common, точнее он скажет ему он
>нужен.
Поставит. Но не удалит при удалении samba.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено linjan , 13-Фев-11 11:49

Не удалит, но скажет, что этот пакет больше не нужен и его можно удалить через apt-get autoremove

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено OneROFL , 28-Май-08 10:31

да это не решает :)

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено OneROFL , 28-Май-08 10:33

а по поводу DHCP, DNS, локальной почты
все эти функции выполняет контроллер домена Windows 2003 server

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. "
Отправлено prostochel , 03-Июн-08 17:26

спс за статью +1 ;)

"fw note 1"
Отправлено Andrey Mitrofanov , 07-Июн-08 10:09

Спасибо за статью.
>        iptables -P INPUT ACCEPT
>        iptables -P OUTPUT ACCEPT
>        iptables -P FORWARD ACCEPT
> Файрвол с комментариями будет ниже - просто даем интернет.
> Итак, первое правило: все, что окружает наш роутер - это зло.
По "первому правилу" просто "дать интернет" нужно было делать:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
:) "Лично мне так ка-а-атся."(тм)

"fw note 2"
Отправлено Andrey Mitrofanov , 07-Июн-08 12:14

>По "первому правилу" просто "дать интернет" нужно было делать:
>
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
Да, при этом придётся делать сначала файервол до сервисов или открывать fw для каждого вервиса во время его настройки... Зато не будет "окна уязвимости".
#>#Прямо дропаем пакеты NEW, но без флага --syn(запрос на установку соединения)
#>iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
-A in_xxx -m state --state INVALID -j DROP
-A in_xxx -f -j pr_xxx_fragments
-A in_xxx -p tcp -m state --state NEW \! --syn -j pr_xxx_nosyn
-A in_xxx -p icmp --icmp-type echo-request -j pr_xxx_icmpflood
-A in_xxx -p tcp --syn -j pr_xxx_synflood
-A in_xxx -p tcp --tcp-flags ALL ALL -j pr_xxx_malxmas
-A in_xxx -p tcp --tcp-flags ALL NONE -j pr_xxx_malnull
-A in_xxx -p tcp --tcp-flags SYN\,FIN SYN\,FIN -j pr_xxx_malbad
-A in_xxx -p tcp --tcp-flags SYN\,RST SYN\,RST -j pr_xxx_malbad
-A in_xxx -p tcp --tcp-flags ALL SYN\,RST\,ACK\,FIN\,URG -j pr_xxx_malbad
-A in_xxx -p tcp --tcp-flags ALL FIN\,URG\,PSH -j pr_xxx_malbad
И я эти (и ещё 16 штук с логами-дропами в семи непоказанных цепочках) правила _не_ писал, за меня их программа пишет...
Рассказать какая? B-))

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено OneROFL , 09-Июн-08 13:10

попробуй руками прописать,
попробуй обратиться по этому "правилу"
и сравни.
Есть разница отработки файрвола,
да и тут можно это викинуть, оставил чисто
ради ознокомления статуса пакета, каму влом
читать доку

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено netc , 05-Июл-08 18:47

Из руководства по иптаблес
6.4.3.4. Критерий Multiport
Расширение multiport позволяет указывать в тексте правила несколько портов и диапазонов портов.
Вы не сможете использовать стандартную проверку портов и расширение -m multiport (например --sport 1024:63353 -m multiport --dport 21,23,80) одновременно. Подобные правила будут просто отвергаться iptables.

т.е
                #Открываем TCP порты каторые слушать только из локалки
                #SQUID+SSH
                iptables -A INPUT -s $NET_NET -p TCP -d $LANIP -m multiport \
                --dport 22,3128 -j ACCEPT
- неправильное ???
я не стал рисковать

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено netc , 05-Июл-08 18:48

ой блин извините ;(

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено elec , 20-Окт-08 18:10

а как тогда правильно? поправить бы статейку =)

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linu..."
Отправлено Юрий , 05-Апр-09 13:36

я всегда так пишу и всегда так работает - только sport 1024:65535 явно лишне правило. оно ничо не даёт.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено Igor , 29-Июл-08 17:49

Спасибо за статью, очень понятно и доступно. Автору респект.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено Юрий , 05-Апр-09 15:19

вместо
echo "1" > /proc/sys/net/ipv4/ip_forward
уже давно следует писать
в /etc/sysctl.conf
net.ipv4.ip_forward=1
во всяком случае в RH/Debian системах

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено Ken , 26-Авг-09 09:42

#!/bin/sh
        echo "------------------------------------------------" >> /var/log/vpn.log
        date >> /var/log/vpn.log
        echo "from IP $6 with speed $3">> /var/log/vpn.log
        echo "------------------------------------------------" >> /var/log/vpn.log
А откуда берется $6 и $3

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено Грозный Ламер , 07-Дек-09 01:13

> Адреса ДНС серверов находятся в файле /etc/resolf.conf
Исправьте пожалуйста имя файла на /etc/resolv.conf

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено Saw , 28-Янв-10 19:35

Было бы отлично если бы была аналогичная статья Freebsd+IPFW+squid

"Настройка Linux роутера "
Отправлено WiZaRD , 02-Мрт-10 15:34

Отличный пост!
Огромное спасибо.
коротко, чётко, доступно...

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено HolyDiver , 12-Апр-10 13:27

Огромное спасибо!
Все Ок и под x64!

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено Роман , 07-Май-10 02:55

Вот такие строчки показывают неграмотность автора и то что он сам то не запускал видимо, что писал.
iptables -A FORWARD -p UDP -s $DNS_SERVER2 -d $NET_NET --sport 53 -m state --state ESTABLISHED -j ACCEPT
UDP ПРОТОКОЛ БЕЗ установления соединения... какой там нафиг эстеблишед ? а Таблы ругаются от такой команды.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено alex_shkut , 17-Ноя-10 23:10

Некоторым надо придраться к тонкостям, а кому-то просто намек и схема действий, дабы не потратить пару недель на вычитку манов, осознание всех супервозможностей ИПтаблов и т.п. Кто знает - поймет, и исправит ошибки. Кто не знает - тому все равно без толку. Автору огромное спасибо!

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено OneROFL , 29-Июн-11 12:26

--UDP ПРОТОКОЛ БЕЗ установления соединения... какой там нафиг эстеблишед ? а Таблы ругаются от такой команды--
если не первый пакет в соединении,то как ESTABLISHED считается.
Все работает в боевых условиях.

"Настройка Linux роутера на базе дистрибутива Debian GNU/Linux 4.0 r3. (debian linux network iptables vpn 1c install squi..."
Отправлено ДАНИЛ , 24-Мрт-12 12:23

Бьюсь целый день ДНС не пропускает запросы,,, чего делать ? Маны уже голову забили на прочь.....

"БЛУДНЯК"
Отправлено ДАНИЛ , 24-Мрт-12 12:27

Вот такие строчки показывают неграмотность автора и то что он сам то не запускал видимо, что писал.
iptables -A FORWARD -p UDP -s $DNS_SERVER2 -d $NET_NET --sport 53 -m state --state ESTABLISHED -j ACCEPT
UDP ПРОТОКОЛ БЕЗ установления соединения... какой там нафиг эстеблишед ? а Таблы ругаются от такой команды.
РЕБЯТА ПОДСКАЖИТЕ КАК ИСПРАВИТЬ ДАННУЮ ОШИБКУ !!!