форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Интересный случай роутинга инета и локалки"
Сообщение от classic on 31-Янв-04, 21:52  (MSK)
Есть linux компьютер с 2 ethernet интерфейсами. eth0 ( 192.168.0.0/24) - сидит LAN : все клиенты Windows 9x eth1 ( 10.0.0.0/8 ) - линк с провайдеровской внутрегородской сетью 1. Требуется предоставить пользователям локалки доступ в городскую сетку по следующим протоколам: www (secure) [80,443], smtp[25], pop3[110], ftp[21]. Все другие коннекты должны быть урезаны. 2. Будут ли проблемы, когда компы LAN будут коннектитсья с машинками в городской сети? Очевидно ip надо подменять посредством NAT? 3. В городской сети есть Microsoft VPN сервер, который предоставляет пользователям городской сети доступ в Инет. Естественно, он имеет ip: 10.0.0.1. Задача такова: нужно каким то способом дать пользователям моей LAN доступ в Инет. Как я понимаю, всеми предыдущими пунктами мы обеспечили подмену ip и поэтому на компе в LAN (на Винде) нужно будет только стандартно настроить vpn. Однако, ip ведь подменяется под ip шлюза, а мне нужно вести учёт коннектов к этому VPN шлюзу из моей локалки и статистику показывать через веб? Подскажите пожалуйста, как можно конструктивней, по каждому пункту, или, если у кого-то была подобная ситуация - дайте линк! Заранее благодарен, --- SDN corp. Administrator
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Интересный случай роутинга инета и локалки"
Сообщение от Xela on 02-Фев-04, 10:41  (MSK)
>1. Требуется предоставить пользователям локалки доступ в городскую сетку по следующим протоколам: >www (secure) [80,443], smtp[25], pop3[110], ftp[21]. Все другие коннекты должны быть >урезаны. modprobe ip_nat_ftp iptables -A FORWARD -o eth1 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -o eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -o eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -o eth1 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -o eth1 -p tcp --dport 20:21 -j ACCEPT iptables -A FORWARD -o eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source $prov_ip_addres где $prov_ip_addres IP адрес выданый провайдером. >2. Будут ли проблемы, когда компы LAN будут коннектитсья с машинками в >городской сети? Очевидно ip надо подменять посредством NAT? Смотря по каким протоколам. >3. В городской сети есть Microsoft VPN сервер, который предоставляет пользователям городской >сети доступ в Инет. Естественно, он имеет ip: 10.0.0.1. Задача такова: >нужно каким то способом дать пользователям моей LAN доступ в Инет. >Как я понимаю, всеми предыдущими пунктами мы обеспечили подмену ip и >поэтому на компе в LAN (на Винде) нужно будет только стандартно >настроить vpn. Однако, ip ведь подменяется под ip шлюза, а мне >нужно вести учёт коннектов к этому VPN шлюзу из моей локалки >и статистику показывать через веб? 1) iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT    iptables -A FORWARD -p 47 -j ACCEPT ну и    modprobe ip_nat_gre ((!!! Внимаение! Работает только на ядрах с kernel.org) 2) Статистику надо снимать с eth0 и все будет в ажуре.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Интересный случай роутинга инета и локалки"
	Сообщение от classic on 05-Фев-04, 12:28  (MSK)
	Всё как-бы понятно- форвардим пакеты по указанным портам на изер eth1 и они прекрасно уходят в городскую сетку. >iptables -A FORWARD -o eth1 -j DROP - вот это конечно можно заменить на >iptables -P FORWARD DROP чтобы другие правила было легче добавлять потом. Потом ты предлагаешь НАТ для всех выше указанных правил, хорошо, но! >iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source $prov_ip_addres Тогда расскажи, по каким протоклам адрес из eth1 нормально приймёт мой ip из LAN, ну скажем 192.168.0.6 iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT iptables -A FORWARD -p 47 -j ACCEPT ОК, но зачем modprobe ip_nat_gre ? обьясни, плиз. Я в инете искал, и мало чё про него нашел, зачем он в моей ситуации. >Статистику надо снимать с eth0 и все будет в ажуре. а как предлагаешь снимать, ведь из eth0 все коннекты к 1723 натяться и у них ip становиться мой, так что надо как-то брать статистиу до подмены ip? или-как? обьясни плиз, и если можно, покажи реально в моём случае, как её можно собрать (мне в статистике главное: source addr, чтобы в статистику попадал траффик только по VPN, ну и размер tcp пакета), а потом это всё в mysql 'INSERT bla-bla-bla VALUES(bla-bla-bla)' Жду, а то время припирает!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Интересный случай роутинга инета и локалки"
	Сообщение от Xela on 05-Фев-04, 13:38  (MSK)
	>Тогда расскажи, по каким протоклам адрес из eth1 нормально приймёт мой ip >из LAN, ну скажем 192.168.0.6 Т.е. тебе нужно, что бы из 10.0.0.0 можно было обратьтся куда-то в 192.168.0.0? Если так, то для этого есть DNAT. Например: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.6 >iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT >iptables -A FORWARD -p 47 -j ACCEPT > >ОК, но зачем modprobe ip_nat_gre ? обьясни, плиз. Я в инете искал, >и мало чё про него нашел, зачем он в моей ситуации. GRE это комплексный протокол, используемый в частности, для PPTP(VPN). И для того, что бы те кто сидят за НАТ могли без проблем использовать PPTP  нужен, так называемый connection tracking module. Вот ip_nat_gre это оно и есть. >а как предлагаешь снимать, ведь из eth0 все коннекты к 1723 натяться >и у них ip становиться мой, так что надо как-то брать На eth0 ip придет 192.168.0.0 а подмениться он перед роутингом, то есть уже на выходе из eth0 и на eth1 придет уже подмененный.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Интересный случай роутинга инета и локалки"
	Сообщение от classic on 05-Фев-04, 15:58  (MSK)
	Хорошо, то есть если у меня в lsmod ip_nat_gre не светится, то значит и те, кто сидят за натом, не смогут работать по vpn. Ладно, а где взять ip_nat_gre. И что там насчёт - только работает с kernelами с kernel.org? То есть в принципе на redhat 9 kernel 2.4.20-8 не станет. Если так, расскажи для примера, как его поставить, этот чёртов модуль. И если можно, опищи как брать статистику выхода лановцев в инет ( только конкретнее). .
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Интересный случай роутинга инета и локалки"
	Сообщение от Xela on 05-Фев-04, 16:24  (MSK)
	>Хорошо, то есть если у меня в lsmod ip_nat_gre не светится, то >значит и те, кто сидят за натом, не смогут работать по >vpn. да. >Ладно, а где взять ip_nat_gre. И что там насчёт - только работает В поставке iptables. >с kernelами с kernel.org? То есть в принципе на redhat 9 >kernel 2.4.20-8 не станет. Если так, расскажи для примера, как его >поставить, этот чёртов модуль. Посмотри в при конфигурации ядра, в том месте где конфигурирутеся netfilter. Если его там нет, то берешь с netfilter.org последний iptables и patch-o-matic и ставишь, но в этом случаее лучше брать нормальное ядро с kernel.org. >И если можно, опищи как брать статистику выхода лановцев в инет ( >только конкретнее). Масса вариантов. Можешь считать iptables-ом можешь еще чем. Посмотри, на этом форуме было много разговоров о том, как снимать статистику.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.