Раздача интернет на локальную сеть.
Источник: ru.wikipedia.org, Lafox.Net
Мы хотим, чтобы машины из локальной сети имели доступ к Internet. В данном случае наш сервер должен выполнять функции роутера (маршрутизатора). В нем должно быть как минимум два интерфейса:
-
один подключен к интернет-провайдеру (пусть это eth0);
-
а второй включен во внутреннюю сеть (пусть это eth1);
Для “раздачи” интернет во внутреннюю сеть часто используется IP маскарадинг (IPMASQUARADE). Работает это, вкратце, следующим образом: пакет, поступающий из локальной сети на роутер, в своем заголовке содержит IP адрес создавшего его компьютера (далее ip-источника) и IP-адрес пункта назначения (далее ip-получателя). Роутер в этом случае подменяет ip-источника на свой ip и отправляет этот пакет получателю. Получатель формирует ответный пакет для роутера. Роутер принимает этот пакет, но он знает, что этот пакет предназначен не ему (путем запоминания номера пакета) и, заменяет в нем ip-получателя на ip-источника, затем отправляет этот пакет локальной машине в сети. Таким образом, получается, что машины во внутренней сети получают доступ в интернет от имени роутера. Отсюда и название “IP-маскарадинг”, так как маршрутизатор маскирует своим IP машины внутри локальной сети. Это дает возможность серьезно повысить защищенность рабочих станций внутри сети и обеспечить их интернетом без раздачи им реальных IP адресов.
В отличии от прокси сервера (например SQUID), этот способ позволяет хорошо работать не только http, но и ftp/pop3/smtp/ssh/telnet/...... практически ЛЮБОМУ сервису. При этом не нужно объяснять сервису, что он работает через прокси.
Для организации раздачи можно использовать следующий скрипт.
#!/bin/sh
# полная версия находится здесь: http://lafox.net/docs/masq/
IPTABLES=/sbin/iptables
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe
EXTIF="eth0"
INTIF="eth1"
$DEPMOD -a
$MODPROBE ip_tables
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
echo -e "done.\n"
Давайте сохраним это в файлик и назовем его, к примеру masq.sh. Далее поправляем переменные:
-
EXTIF - это название интерфейса, который “смотрит” в сторону провайдера. ("eth0")
-
INTIF - это название интерфейса, который “смотрит” во внутреннюю сеть. ("eth1")
Также, возможно, следует закомментировать строку:
$IPTABLES -A FORWARD -j LOG
Этим мы отключим логирование. Иначе, в больших сетях могут возникнуть проблемы с огромными размерами log файлов.
Далее просто запускаем этот скрипт и радуемся тому, что локальная сеть получила интернет. :-)
Посмотреть на то, что сделал этот скрипт с iptables, можно командочками:
# iptables -L
# iptables -L -t nat
Задания:
-
Раздать интернет
-
…
- Курс 2 – Администрирование
- Оглавление.
- Конфигурирование Windows xp и 2003
- Файловая система ntfs, права доступа.
- Реестр, tweaker’ы.
- Службы.
- Драйверы, directX.
- Raid-массивы, резервное копирование, восстановление файлов.
- Быстрое восстановление системы. ShadowUser, AcronisTrueImage.
- Способы восстановления системы.
- Ускорение работы (оптимизация) Windows.
- Разгон системы, стабильность, тесты.
- Виртуальные машины, vMware.
- Автоматическая установка Windows, ris.
- Контрольная работа №1.
- Локальная сеть
- Какие бывают сети, история.
- Сетевое оборудование.
- Топология сети.
- Сетевые протоколы, уровни протоколов.
- Сеть Ethernet.
- Витая пара, разводка сети.
- Настройка сети, сетевой принтер, общие ресурсы, сетевые диски.
- Доступ в интернет, шлюз.
- Учет трафика, proxy, Traffic Inspector.
- Удаленное управление.
- Удаленное администрирование, Radmin.
- Контрольная работа №2.
- Особенности Windows 2003
- Установка, обновления.
- Консоль управления mmc.
- ActiveDirectory, домены.
- Установка контроллера домена; подразделения.
- Групповая политика
- Публикация приложений, перенаправление.
- Распределенная файловая система dfs.
- Контрольная работа №3.
- Сетевые службы Windows 2003
- Почтовый сервер.
- Файловый сервер, ftp.
- Dhcp-сервер.
- Контрольная работа №4.
- Защита и безопасность
- Антивирус.
- Брэндмауэр, AgnitumOutpostFirewall.
- Pgp, шифрование с открытым ключом, цифровая подпись.
- Проверка устойчивости и взлом паролей, SamInside, BootDisk.
- Клавиатурные шпионы, трояны, sniffer’ы.
- Проверка безопасности сети, Xspider.
- Контрольная работа №5.
- Linux, установка
- Linux, основные программы.
- 1. Почта и Интернет
- 1.1. Браузеры
- 1.2. Почтовые клиенты
- 1.3. Чаты и общение
- 2. Офисные пакеты
- 3. Работа с графикой
- 4. Музыка и видео
- Linux, командная строка, создание пользователей, смена паролей.
- Файловая система ext2fs, структура папок.
- Права доступа, жесткие ссылки.
- Установка приложений, rpm, исходные коды.
- Samba, настройка сети.
- Удалённое управление, ssh.
- Удалённое управление из Windows, Telnet, Putty.
- Dhcp-сервер под Linux.
- Apache-сервер под Linux
- Почтовый сервер под Linux.
- Раздача интернет на локальную сеть.
- Контрольная работа №6.
- Особенности Windows Vista
- Установка и настройка интерфейса.
- Новые версии основных программ.
- Безопасность в Windows Vista.
- Надежность и механизмы восстановления.
- 118 Новосибирск 2006