Хочу NAT! - Кто знает как?

Linux, безопасность, сети и все что с этим связано
Аватара пользователя
Aerostar
Неотъемлемая часть форума
Сообщения: 447
Зарегистрирован: 08 фев 2002, 14:47
Откуда: Riga
Контактная информация:

Хочу NAT!

Сообщение Aerostar »

У меня есть парочка таких. В списке они значатся как TynyLinuxes.
Если вы все такие умные - что же вы строем не ходите?

Lynxer
Неотъемлемая часть форума
Сообщения: 285
Зарегистрирован: 10 мар 2002, 14:44
Откуда: Minsk

Хочу NAT!

Сообщение Lynxer »

Ну так ставь с флопов или по сети. Сначала с флопов, потому что с них грузиться проще. Потом настраиваешь сеть и по сети. Например, берешь какой-нить tiny linux, поднимаешь сеть, делаешь корневой раздел, ну и туда барахло всякое из сети закачиваешь. Только /dev сделать не забудь. Или в ядре devfs по умолчанию включи. Потом chroot туда, lilo и ребут. Про Х-ы в коробке дискет - скорее всего это сказки. А если и правда - они настолько обрезаны, что с ними будет больше мучений, чем пользы. А лучше таки найти место на том 10 Гб диске (особенно если этот диск твой) и поставить нормальный дистрибут без Х-ов. На 200-250 Мб влезет Дебиан с довольно приличным количеством прог и документацией. Заодно сможешь монитор от этой машины убрать, будешь ходить туда по telnet/rsh/ssh. Еще монитор можно продать и купить на эти деньги веник. :)

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Хочу NAT!

Сообщение Llama »

Нее... Мне надо с нее иногда в сеть лазить с картинками... А пока сталю qnx - она с дискетки грузится вместе с photon и браузером и работает весьма шустро.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Хочу NAT!

Сообщение Llama »

Вобщем сделал NAT с чем себя и поздравляю... Очень просто оказалось.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Anonymous

Хочу NAT!

Сообщение Anonymous »

Напиши HOWTO по NATу :) или статейку как я настраивал НАТ :)

Аватара пользователя
Aerostar
Неотъемлемая часть форума
Сообщения: 447
Зарегистрирован: 08 фев 2002, 14:47
Откуда: Riga
Контактная информация:

Хочу NAT!

Сообщение Aerostar »

Даже, если RaptoR пошутил, то все равно идея неплохая. Если что не так напишешь, народ поправит, глядишь - полезная вещь получится.
Если вы все такие умные - что же вы строем не ходите?

Lynxer
Неотъемлемая часть форума
Сообщения: 285
Зарегистрирован: 10 мар 2002, 14:44
Откуда: Minsk

Хочу NAT!

Сообщение Lynxer »

Да написали ж уже! 2 штуки! Подробное и простое. Читать только всем лень. :(

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Хочу NAT!

Сообщение Llama »

А что там писать...

ipchains -A forward -i ppp0 -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward

Если комп домашний (не сервер) - хорошо бы еще
ipchains -A input -d ! myip -i ppp0 -J DENY - нафиг нам чужые пакеты если мы не роутер
ipchains -A input -p TCP -s you.dns.ip -i ppp0 1024:65535 -J ACCEPT - пропустим пакеты с DNS-сервера, хотя обычо DNS юзает UDP но ipchains-hwoto написано, что может быть и TCP
ipchains -A input -p TCP -y -l -j DENY  
А все попытки приконнектится к нашему компу похерит и занести в журнал.

У кого еще какие предло жения? ;)

ЗЫ: А вот почему-то по модему NAT работает медленнее чем SQUID, наверно SQUID кэширует dns, а NAT делает так: client request-> server (MASQ) -> dns -> server (UNMASQ) -> client
Опыт растет прямо пропорционально выведенному из строя оборудованию

Anonymous

Хочу NAT!

Сообщение Anonymous »

Говорил я вполне серьезно, squid если я не ошибаюсь ДНС не кеширует, а кеширует всё остальное :)
У меня на роутере squid+NAT+sock5+DNS, инет у мя диалап и я заметил существенный прирост, после перехода с НТ

Anonymous

Хочу NAT!

Сообщение Anonymous »

на citforum.ru есть очень подробная статья касающееся ipchains и всего с этим связаного (раздел ОС-Линух-Маскарадинг, фаервалл и т.д.) Вот хотелось бы подробную статейку (желательно на русском) по iptables

Lynxer
Неотъемлемая часть форума
Сообщения: 285
Зарегистрирован: 10 мар 2002, 14:44
Откуда: Minsk

Хочу NAT!

Сообщение Lynxer »

Squid кэширует DNS. Правда, если он висиит как transparent proxy, от этого толку мало. Об этом любят забывать.
-j REJECT не юзаем из принципа? Безопасности это, конечно, добавляет, но и о проблемах никто не крикнет. А ведь, как пелось в одной песне "за тех кто первый кричит "Беда!" - спасает корабль твой". -j DENY часто добавляет проблем, причем труднонаходимых. -j REJECT во многих случаях лучше. Вот, например, в твоей конфигурации ни один TCP-сервис работать не будет, потому что твой фильтр даже соединения с localhost отрежет. Причем без всякой ответной реакции. И будешь сидеть таймаут ждать, думая, что машина "думает". :) А так тебе бы сказали destination host unreachable и все дела.
Еще из предложений: фильтровать не только TCP, фильтровать поддельные адреса (типа 127.0.0.1).

Аватара пользователя
Aerostar
Неотъемлемая часть форума
Сообщения: 447
Зарегистрирован: 08 фев 2002, 14:47
Откуда: Riga
Контактная информация:

Хочу NAT!

Сообщение Aerostar »

2Raptor: X-Stranger уже написал статью в 3-х частях по безопасности Линукса, где очень подробно описывается iptables. На всякий случай ссылочка: http://www.linux.hitech.by/sections.php ... e&artid=61.
Если вы все такие умные - что же вы строем не ходите?

Anonymous

Хочу NAT!

Сообщение Anonymous »

Спасибки :) Я не очень тут по сайту еще полазил, тока на форум захожу!

Аватара пользователя
Aerostar
Неотъемлемая часть форума
Сообщения: 447
Зарегистрирован: 08 фев 2002, 14:47
Откуда: Riga
Контактная информация:

Хочу NAT!

Сообщение Aerostar »

А зря, статьи довольно доходчиво написаны, да и информации в них много. Очень рекомендую.
Если вы все такие умные - что же вы строем не ходите?

Ответить