Acquila
Super Participante
Registrado
651 Mensagens
9 Curtidas
Alguem aqui usa o iptables do kernel 2.4 pra compartilhar conexao??
Ele funciona com todos os programas instalados nas maquinas clientes??
ICQ, ftp, browsers, games, etc??
Se tem alguem usando, por favor responda, e me diz o que esta dando pra usar e o que nao esta.
valeu,
eduardo
Eduardo, eu tenho aqui ao meu lado um micro antigo, (um PII-233 sobre uma placa Tomato sem-vergonha) que está rodando Conectiva 7 sem interface gráfica. Ele compartilha a internet entre 4 máquinas não exatamente muito próximas umas das outras e está ativo há um ano, praticamente sem ser desligado.
A resposta pra sua pergunta é a segunte: Você pode fazer rodar QUALQUER COISA nas máquinas cliente, mas deve levar em conta que quanto mais serviços você habilitar, menor será a sua segurança.
Serviços que utilizam portas baixas ( <1024) não devem, à princúpio, ser habilitados, pois podem ser utilizadas pra executar serviços indesejáveis.
Resumindo, aqui está assim:
ICQ: Roda com aúxílio de um Socks Proxy , ouvindo a porta 1080. Funciona perfeitamente, mas não permite envio e recebimento de arquivod.
HTTP / FTP: Funcionam normalmente, através do Squid, ouvindo a porta 3128.
RealPlayer: Funciona normalmente usando o Squid tmb.
IRC: Funciona com o auxílio do Socks Proxy, mas aqui eu desabilitei.
Games: Não habilitei.
O IpTables permite uma gama enorme de configurações. Você pode configura-lo pra permitir passar qualquer coisa. Seria, por exemplo, como se você tivesse todas as máquinas plugadas diretamente na rede.
[]!
paulobenfatt...
Novo Membro
Registrado
28 Mensagens
0 Curtidas
Qual é Socks Proxy que vc está usando aí ?
[]s,
Paulo Benfatti
talao
Super Participante
Registrado
613 Mensagens
0 Curtidas
Dá para fazer NAR (compartilhar conexão) com o IPtables perfeitamente, como o micro ligado ao servidor estivesse conectado diretamente (transparente) tenho uma rede de 6 pcs ligado com o IPtables fazendo NAT. Funciona tudo (ICQ, FTP...)
Vou ver a configuração aqui e lhe passo, mas vou avisando de antemão, provavelmente terá que recompilar o kernel e ativar suporte ao NAT no IPtables.
Até +
-= Bio]+[aza...
Membro Senior
Registrado
311 Mensagens
0 Curtidas
tente isso aki
INTERNAL="eth0"
EXTERNAL="eth1"
EXT_IP=`/sbin/ifconfig $EXTERNAL | egrep 'inet' | cut -d ':' -f 2 | cut -d 'P' -f 1 | cut -d 'B' -f 1`
INT_IP=`/sbin/ifconfig $INTERNAL | egrep 'inet' | cut -d ':' -f 2 | cut -d 'P' -f 1 | cut -d 'B' -f 1`
echo "Current External IP is $EXT_IP"
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -i $INTERNAL -d $EXT_IP -j DNAT --to $INT_IP
iptables -t nat -A POSTROUTING -s $EXT_IP -o $INTERNAL -j SNAT --to $INT_IP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE
iptables -A FORWARD
## - Disable source routing of packets
if [ -f /proc/sys/net/ipv4/conf/all/accept_source_route ]; then
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $i;
done
fi
## - Enable rp_filter
if [ -f /proc/sys/net/ipv4/conf/all/rp_filter ]; then
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $i;
done
fi
## - Ignore any broadcast icmp echo requests
if [ -f /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ]; then
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
fi
## - Ignore all icmp echo requests on all interfaces
if [ -f /proc/sys/net/ipv4/icmp_echo_ignore_all ]; then
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
fi
## - Local port range for TCP/UDP connections
if [ -f /proc/sys/net/ipv4/ip_local_port_range ]; then
echo -e "32768\t61000" > /proc/sys/net/ipv4/ip_local_port_range
fi
## - Log packets with impossible addresses to kernel log.
if [ -f /proc/sys/net/ipv4/conf/all/log_martians ]; then
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
fi
## - Don't send ICMP redirects - needed for transparent proxy
if [ -f /proc/sys/net/ipv4/conf/all/send_redirects ]; then
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
fi
## - Don't accept ICMP redirects
if [ -f /proc/sys/net/ipv4/conf/all/accept_redirects ]; then
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
fi
## - Don't accept ICMP redirects
## (You may only want to disable on the external interface)
if [ -f /proc/sys/net/ipv4/conf/$EXTERNAL/accept_redirects ]; then
echo 0 > /proc/sys/net/ipv4/conf/$EXTERNAL/accept_redirects
fi
## Drop the ECN flag in tcp-packets
if [ -f /proc/sys/net/ipv4/tcp_ecn ];then
echo 0 > /proc/sys/net/ipv4/tcp_ecn
fi
## Additional options for dialup connections with a dynamic ip address
## See: linux/Documentation/networking/ip_dynaddr.txt
if [ -f /proc/sys/net/ipv4/ip_dynaddr -a "$MASQ_TYPE" = "STAT" ]; then
echo 0 > /proc/sys/net/ipv4/ip_dynaddr
elif [ -f /proc/sys/net/ipv4/ip_dynaddr ]; then
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
fi
## - Enable IP Forwarding
if [ -f /proc/sys/net/ipv4/ip_forward ]; then
echo 1 > /proc/sys/net/ipv4/ip_forward
else
echo "Uh oh: /proc/sys/net/ipv4/ip_forward doesn't exist"
fi
## - Increase maximum limit of ip_conntrack
if [ -f /proc/sys/net/ipv4/ip_conntrack_max ]; then
echo 16376 > /proc/sys/net/ipv4/ip_conntrack_max
fi
if [ -f /proc/sys/net/ipv4/tcp_timestamps ]; then
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
fi
AM2 64 2600@2808 | CPNS9700nt | Asus CrossHAIR | 2GB KVR @702 | Seagate 250Gb.320Gb | 2 xFx GF7900Gs SLi | Audigy2 Zs 7.1 | WinXP 64 | CaseATEN Mod |
Dual PII Xeon 400 | Intel MarlinSpike MS440GX | 768 Mb ECCREG | AHC-29160 | 32GB+73Gb 10K SCSI | FreeBSD 7 ZFS | IBM PCServ320 |
Cold Fusion
Veterano
Registrado
1.7K Mensagens
1 Curtida
To tentando fazer dois scripts pra iptables:
1) Rodar um servidor FTP, WEB, SAMBA e firewall com mascaramento e compartilhamento de internet com o resto da rede....tudo na mesma makina!! Tô exagerando?
2) Rodar somenta o firewall com NAT e compartilhamento. Rodar os servidores descritos acima numa outra makina da rede interna.
Eu pergunto...alguem tem um script praticamente pronto pra essas situações?
Se eu mascarar os servidores, como eles serão acessados?
Abraço
Sempron 2200+@2500+#ASROCK K7S8XE#Radeon 9200se 128Mb 200/166@230/185#
DDR333@400 256 Mb Sansung#Maxtor D541X 20Gb
#Win XP PRO+Testando MDK 10.1
-= Bio]+[aza...
Membro Senior
Registrado
311 Mensagens
0 Curtidas
eu tenho um ótimo script pra isso mais vc term que modificar o kernel é meio chatinho de fazer isso
vc tem qeu por as atualizações do iptables dentro do kernel .
e tb vc tem que ter o kernel limpo ( www.kernel.org ) masi é muito bom ele
AM2 64 2600@2808 | CPNS9700nt | Asus CrossHAIR | 2GB KVR @702 | Seagate 250Gb.320Gb | 2 xFx GF7900Gs SLi | Audigy2 Zs 7.1 | WinXP 64 | CaseATEN Mod |
Dual PII Xeon 400 | Intel MarlinSpike MS440GX | 768 Mb ECCREG | AHC-29160 | 32GB+73Gb 10K SCSI | FreeBSD 7 ZFS | IBM PCServ320 |
paulobenfatt...
Novo Membro
Registrado
28 Mensagens
0 Curtidas
-= Bio]+[azarD =-,
Esse código tenho q adicionar em algum arquivo específico.....tem q recompilar o Kernel ???
Valeu,
Paulo
-= Bio]+[aza...
Membro Senior
Registrado
311 Mensagens
0 Curtidas
o código é o IPTABLES atualizado e corrigido no kernel
eu utilizo o firewall dese rapaz muitooo bom so'que é chatinho de criar
www.netfilter.se
AM2 64 2600@2808 | CPNS9700nt | Asus CrossHAIR | 2GB KVR @702 | Seagate 250Gb.320Gb | 2 xFx GF7900Gs SLi | Audigy2 Zs 7.1 | WinXP 64 | CaseATEN Mod |
Dual PII Xeon 400 | Intel MarlinSpike MS440GX | 768 Mb ECCREG | AHC-29160 | 32GB+73Gb 10K SCSI | FreeBSD 7 ZFS | IBM PCServ320 |