Настройка Ubuntu Server в качестве шлюза в интернет

[yurmax]

тут гдето обсуждали настройки igmpproxy и не раз.

[korvin]

Цитата:

Сообщение от yurmax

про настройку dhcp в dnsmasq пару слов напиши, так вроде кошерно.

только INET_IP="ваш внешний ip" не совсем гуд.
я бы сразу заменил чтобы сделать универсальный скрипт для тех у кого постоянный и динамический.
разницы никакой, ни по удобству, ни по секурности, ни по кошерности.

меняем
$cmd -t nat -A POSTROUTING -s $LAN_IP_RANGE -o $INET_IFACE -j SNAT --to-source $INET_IP
на
$cmd -t nat -A POSTROUTING -s $LAN_IP_RANGE -j MASQUERADE

и

$cmd -t nat -A PREROUTING -p tcp -d $INET_IP --dport 6888 -j DNAT --to-destination 192.168.0.2:6888
на
$cmd -t nat -A PREROUTING -p tcp --dport 6888 -j DNAT --to 192.168.0.2:6888

и убираем $INET_IP нафиг с пляжа

ЗЫ

лишнее, они и так по дефолту на eth0 ходят.
смотри route -n

ЗЫЫ
порт торрента оставил бы по умолчанию 6881.
так и клиент не надо перенастраивать.

Код:

$cmd  -I FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1500 -j TCPMSS --clamp-mss-to-pmtu -o ppp0

Еще вот такую строчку надо бы добавить..
А то при таких правилах у меня некоторые сайты не открывались..
instagram.com, olx.ua и еще с пяток..

[Asavah]

Acumen
Уважаемый,в ваших правилах iptables ОГРОМНЫЙ косяк в безопасности,
собственно:

Код:

$cmd -P FORWARD ACCEPT
# Разрешаем ходить пакетам между интерфесом ppp0
$cmd -A FORWARD -i ppp0 -j ACCEPT

FORWARD и INPUT по умолчанию надо дропать, ВЕСЬ, и разрешать только что нужно/можно:
пример для FORWARD:
то что прилетает на LAN ифейс - можно всё

Код:

iptables -A FORWARD -i $LAN -j ACCEPT

для всех ифейсов - RELATED,ESTABLISHED можно,

Код:

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP

также ессно надо отдельно разрешать NEW для проброшенных портов (торрент итп).

за это надо бить по рукам, причём сильно,
просьба если не владеете материей не вводить в заблуждение людей такой извините за прямоту - криворукостью
с вашим недофаерволлом МОЖНО попасть в лан сеть снаружи.

Код:

# Точно не скажу что делают эти правила, но по ходу отбрасывает все ошибочные пакеты
$cmd -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$cmd -A INPUT -m state --state INVALID -j DROP

ну так разберитесь прежде чем постить - lartc.org в помощь.
объяснять state/ctstate просто лень.

второй косяк:
у системы должно быть ТРИ интерфейса -
LAN (понятно)
MAN - DHCP client для "локалки" тенета, его тоже нужно натить, также он нужен для мультикаста IPTV (на него igmpproxy вешаем)
WAN - собссно ppp для pppoe

Код:

# Устанавливаем стндартные политики для фильтра
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT

надо так:

Код:

# Устанавливаем стандартные политики для фильтра
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD DROP

Код:

# Устанавливаем стндартные политики для таблицы NAT
$cmd -t nat -P PREROUTING ACCEPT
$cmd -t nat -P POSTROUTING ACCEPT
$cmd -t nat -P OUTPUT ACCEPT

это вообще не нужно, по умолчанию политики таблицы nat и так в ACCEPT

короче косяков у вас больше чем правильных вещей.
мне правильно писать это дело лениво, пусть спецы тенета инструкцию с картинками рисуют, они за это деньги получают.

ваша попытка похвальна, но я всё таки бы посоветовал воздержатся от подобных инструкций так как
вы можете ввести в заблуждение других начинающих линуксоидов.

я попросил бы модераторов форума удалить данные правила из первого поста ввиду того что грамотность оных недотягивает даже до 3-ечки и содержит дыру в безопасности.

ЗЫ:

Цитата:

Автор 'Acumen'
Спасибо за внимание, авторские права на данную статью присуцтвуют так что НЕТ плагиату )).

Мдяяя .... авторские права за неправильно написанный файрволл скопированный неизвестно откуда неразобравшись даже в основных принципах работы iptables это 5+

korvin
да, клампинг надо делать обязательно, ибо у нас на PPPoE MTU 1492
правильно делается так:
mss указывать не надо, ядро само знает что на данном интерфейсе творится,
делать это надо только на выходе в WAN, посему надо указать ppp интерфейс

Код:

iptables -A FORWARD -o $INET_IFACE -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu