Debianbol atjaro

Kedves Mindenki!

Kovetkezo kerdessel fordulok hozzatok:

Egy debian sargebol (2.6.8-as kernellel) szeretnek atjarot csinalni a helyi halom gepei szamara (192.168.10-es cimtartomany).
A bokkeno "csak" annyi, hogy nem tudom, hogy kezdjek hozza!
Allitolag iptablessel lehet megoldani!?
Talaltam nehany iptables script generatort a neten, de igazabol nem lenditett a helyzetemen :oops:

Talan
iptables -A FORWARD -s 192.168.10.x -p icmp -j ACCEPT
???

Allitolag eleg bonyolult, ezert nem gondolom, hogy a fenti sor megoldja a problemat... :cry:

Aki tud, kerem segitsen!!!

THX
By, Sanyi

[quote:10b04060d5="snq-"]pontosan milyen atjarast biztositana eme masina, ha tok ugyanabban a subnetben vannak a dobozok?

:oops:
Jogos a kerdes, eleg kodosen fogalmaztam!
Konkretan:
Eme masina rezse egy helyi halozatnak, es egy masik interfacevel resze egy varosi halozatnak.
Azt szeretnem, hogy ha a helyi halo gepei a varosi halo gepeit akarjak elerni, akkor "eme masinan" keresztul erjek el azokat.
Jelenleg ui.: kb.: 8 lepesben erik el ezeket a servereket (fokent mail es webservereket).
Ez egyreszt lelassitja a kommunikaciot ezekkel a gepekkel (2 lepes helyett kb. 8 lepes), es a mail servert nem tudjuk hasznalni a Netscape Messenger levelezojevel ui.: a leveleket letolti a serverrol, de ha kuldeni szeretnenk, akkor nem talalja a kiszolgalot... :(
Jogos lenne a felvetes, hogy az eddigi ADSL routerben allitsam be, hogy a varosi halo tartomanya fele iranyulo kereseket "eme masina" fele iranyitsa, de sajnos ezt nem en konfiguralom, a szolgaltatonak pedig tilitja a szabalyzata, hogy mas cimtartomanyara routoljon. :x

[quote:10b04060d5="snq-"]routert akarsz?

Nevezhetjuk annak is! :oops:

[quote:523756d5a9="zz7"]Ha van grafikus felületed is a Sarge-n, akkor tudom javasolni a Firestartert.
Nálam ez működött amíg ki nem váltottam saját készítésű megoldással.

Nem, nincs grafikus felulet, parancssorbol kellene megoldani!

[quote:16737ac169="FeriX"][quote:16737ac169="csonkasanyi"]

Talan
iptables -A FORWARD -s 192.168.10.x -p icmp -j ACCEPT
???

Ez itt egy kicsit bonyinak tűnhet de egy példa:

eth0: Interneten lóg
eth1: belső hálókártya
Kívülről minden le van tiltva.
Belülről minden gép kilát, ha a GW=192.168.10.1.
Internetről egy gép 'TERMINAL_CLIENT_IP' belát a belső háló egy db. Windows-ára terminal klienssel 'FORWARD_IP'

[code:1:16737ac169]
#!/bin/sh

echo "0" > /proc/sys/net/ipv4/ip_forward

LAN_IP='192.168.10.1/24'
FORWARD_IP='192.168.10.2'
TERMINAL_CLIENT_IP='xxx.xxx.xxx.xxx'

iptables -F FORWARD
iptables -F INPUT
iptables -t nat -F
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

# localhost
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT

iptables -A POSTROUTING -t nat -s $LAN_IP -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -s $TERMINAL_CLIENT_IP -p tcp --dport 3389 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -s $TERMINAL_CLIENT_IP -p tcp --dport 3389 -j DNAT --to $FORWARD_IP

iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward
[/code:1:16737ac169]

Hi!
Koszi a scriptet, FeriX!
Megirtam, elmentettem, futtattam, de 1-2 ket dolog nem teljesen tiszta :oops:

Az en ertelmezesem:
- GW jelentese gateway
- LAN_IP='192.168.10.1/24' jelenti a most felallitani kivant atjarot (magat a debian belso cimet)
- TERMIANL_CLIENT_IP='xxx.xxx.xxx.xxx' jelenti azt a gepet, amelyiket kivulrol is szeretnem, hogy hozzaferjen a belso halomhoz (jelen esetben a mail server)
Tehat hogy kell azt erteni, hogy:
[quote:16737ac169="FeriX"]Internetről egy gép 'TERMINAL_CLIENT_IP' belát a belső háló egy db. Windows-ára terminal klienssel 'FORWARD_IP

- FORWARD_IP='192.168.10.2' jelenti azt a win-es gepet, amelyik hasznalja a debaint atjaronak!? :?

Egyebkent a scripttel annyi volt mindosszesen a gond, hogy a jogosultsaga 644 volt, es ezert mar bootolaskor hibat irt a gep.
Atirtam 755re, mint a tobbit abban a konyvtarban, azota megy azon a konkret gepen ("FORWARD_IP"), es a netcapa is kuldi a leveleket! :wink:
Abban nem vagyok biztos, hogy a tobbi gepen is ha beallitom a debiant atjaronak, menni fog ugyanez?
Egyreszt igenre gondolok: "belulrol minden gep kilat"
Masreszt akkor minek kellett a "FORWARD_IP"?

Bocs a lama kerdesekert, de ez a fejezet eleg uj volt szamomra, de igerem at fogom gondolni logikusan, mi, miert oldodott meg.
Es a tobbi gepunkon is kiprobalom a debiant, mint atjarot! :wink: