Linux 7.2
На серваке 2 сетевухи, одна с локальным IP (192.168.0.1 - eth1), другая с реальным IP (197.128.11.14 - eth0). Необходимо чтоб локальными компы с адресами 192.168.0.2, 192.168.0.3 - не смогли выйти в инет, но при этом в локальной сети работали, остальным - разрешены любые передвижения (по сетки и в инете)

Guest
А разве это не настройка по-умолчанию ?

НЕТ!

остальным - разрешены любые передвижения (по сетки и в инете)

- это кому ?


Добавлено:

Как минимум - что Вам нужно настроить - сеть, файервол, прокси ?

Да это прямая дорога k ipchains ))

Или iptables :)

Я знаю что нужен iptables или ipchains. Кто может написать конкретный пример!!!???

хм... что то типа того:
-A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
-A forward -s 192.168.0.3/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
...кстати в иннете полно конкретных примеров


Добавлено:

это для ipchains

http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html

Друзья, не сочтите за идиота, но раз взялись, обьясните доконца.
Как я понял, пишутся команды типа:
-A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
-A forward -s 192.168.0.3/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
где: ACCEPT: принять пакет
DENY: уничтожить
REJECT: отвергнуть, т.е. уничтожить и послать квитанцию отправителю в виде ICMP-пакета, если, конечно, отвергаемый
пакет сам не был ICMP.
MASQ: замаскарадить пакет - допустимо только в пересылочной цепочке и только если ядро было скомпилировано с поддержкой
маскарадинга
REDIRECT: переадресовать пакет на определенный порт локальной машины, независимо от того, куда он был отправлен
(прозрачное проксирование). Допустимо только во входной цепочке. Номер порта указывается после ключевого слова REDIRECT.
RETURN: вызывает прекращение дальнейших проверок в цепочке и применение к пакету политики цепочки.

1) Могу ли я эти команды
(-A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
-A forward -s 192.168.0.3/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY )
записать в отдельный файл?
2) Если да, то как правильно пишутся команды в файле?
3) Как линукс заставить обращаться к этому файлу во время работы?

Большое спасибо.

1)Да конечно,
2)
#!/bin/sh
ipchains -A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
3) Прописать его в одну из rc'шек. После инициализации сети

Но для этого нужен ipchains. У меня его не было, мне пришлось пересобирать ядро.
Проверить есть ли он у тебя можно так: ipchains -LM

Исправлено: Bugs, 11:33 15-03-2003

Bugs - отлично, но начиная с Linux 2.4 используется уже iptables (хотя и ipchains тоже можно использовать). По какому принципу построится файл работающий с iptables?

Вообщето наооборот, отказались от iptables, по моему, я знаю только ipchains

Привет.
Так iptables or ipchains в kernel 2.4.
Обидно что придется компильть ядро.

Тебе в любом случае ядро пересобирать, т.к. они обы выключены по умолчанию...

Bugs
От iptables никто не отказывался.
Если ядро 2.4 - лучше iptables (ipchains с ядром 2.4 не полностью фунлциональное)
Если 2.2 - тогда ipchains

glassMonk прав ruslandh, "наблюдается постепенная тенденция внедрения iptables, как замена ipchains на нывых (с 2.4) ядрах" (с) %о))) непомню кто, просто запомнилось фраза своей навороченью!

Bugs , насчёт по-умолчанию... :о/ это зависит от Дистра, так в последних RH там как раз по умолчанию и chains и tables включены!

Guest 193.111.11.*
можно прописать в rc.* как и предлогалось, т.е.
ipchains -A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
можно создать скрипт, сунуть его в /etc/init.d/iptables ..... кста! там может такой и быть уже....
так вот, ну и добавить в автозапуск, ...тока в файле можно не писать команды, т.е.
-A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
...мммм, вот.

Я тут уже начал читать
http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
да iptables штука очень навароченная.
Севот всем кто еще не знает что это, быстро читать.