|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Redhat/Fedora - Настройка шлюза на CENTOS 5.4 Есть проблемы |
|
|
Redhat/Fedora - Настройка шлюза на CENTOS 5.4 Есть проблемы
|
|
Новый участник Сообщения: 10 |
Здравствуйте! Прошу помочь разобраться со следующей ситуацией. Ни один ПК в локальной сети не может выйти в интернет. Последовательность действий:
1. Установил Linux CENTOS 5.4 2. Прописал настройки сетевых карт : ifconfig-eth0 (dhcp), ifconfig-eth1 192.168.0.1 255.255.255.0. Остальное здесь стало автоматически (маска, hastname, network) Причем, что настроить их удалось только через конфигуратор system-config-network. А с консоли, так и не удалось, пишет при ifconfig eth1 192.168.0.1 255.255.255.0 up. "SIOCSIFADDR -не допустимый аргумент", такая же ситуация и по eth0 . Это первый нюанс. 3. Идем дальше в etc/sysconfig/network дописал FORWARD_IPV4=yes 4. А так же в etc/sysctl.conf сделал изменения net.ipv4.ip_forward=1 и net.ipv4.ip_always_defrag=1 5 Перезапустил /etc/rc.d/init.d/network restart 6. Теперь для того что-бы сервер обрабатывал запросы установил кеширующий dns-сервер yum install bind. Все поставилось. В появившемся файле /etc/named.caching-nameserver.conf сделал изменения в синтаксисе: allow-query {localhost; }; allow-query-cache {localhost; }; forwarders {yyy.yyy.yyy.yyy; }; где yyy.yyy.yyy.yyy - dns-адрес провайдера 7. В файле /etc/resolv.conf дописал nameserver yyy.yyy.yyy.yyy 8. На локальных компах прописал в качестве настроек dns адрес сервера-шлюза (eth1)192.168.0.1 9. И теперь настройки iptables, в первом случае через конфигуратор system-config-securitylevel уровень безопасности включен. SELinux принудительный режим. Доверенные устройства eth0 и eth1. На маскарадинге указываю обу карты. Разрешить входящие указываю www, https, smtp, порт 110 для забора почты, ssh. Все выхожу, сохраняюсь, перезапусаюсь. С локальных компьютеров набираю страницу к примеру mail.ru и вижу что идет перебор mail.net, mail.org, mail.com и невозможно отобразить страницу. 10 Вариант 2. Захожу в etc/sysconfig/iptables все комментирую и указываю iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy-где yyy.yyy.yyy.yyy -адрес eth0 дописываю iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth0 --dport 80 -j SNAT --to-source yyy.yyy.yyy.yyy. Сохраняюсь перезапускаюсь. При проверке выдается : применяется правила браундмауера - iptables-restore : line 1 failed. Сбой. Соответственно, ни один комп не выходит в мир. Описал все действия. Прошу указать что здесь не правильно и как устранить проблемы, ведь сразу после праздников люди выйдут на работу. |
|
|
Отправлено: 10:47, 30-12-2009 |
Старожил Сообщения: 437
|
Профиль | Отправить PM | Цитировать Цитата kozyr76:
Цитата kozyr76:
По остальному: со шлюза его же дэфолтный шлюз пингуется? внешние сервера пингуются? iptables -L покажите пжста и напишите лучше нормальный скрипт iptables, все эти настройки через system-config от лукавого... |
||
|
------- Отправлено: 11:53, 30-12-2009 | #2 |
|
Пользователь Сообщения: 55
|
Профиль | Сайт | Отправить PM | Цитировать Для начала - проверь - есть ли Нэт маршрутизаторе, если есть:
Если ты хочешь указать маску, то ifconfig eth1 192.168.0.1 netmask 255.255.255.0 ifconfig eth1 up хотя достаточно, обычно ifconfig eth1 192.168.0.1 ifconfig eth1 up Для нат, должно быть достаточно iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source yyy.yyy.yyy.yyy Перед этим на всякий случай сделай флаш для iptables После этого попробуй пинг на внешние ресурсы с локальных машин. Если нет, пиши. |
|
------- Отправлено: 13:14, 30-12-2009 | #3 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать Значит так, файерволл не воспринимает
iptables -t nat -F iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source yyy.yyy.yyy.yyy Пишет, что сбой в строках и в 1 и во второй, пробЫвал коментировать по очереди. Может стоит обратить внимание, что это CENTOS, там синтаксис не тот. Вот, взгляньте, что указал iptables после простой настройки через конфигуратор: FORWARD ACCEPT 0:0 OUTPUT ACCEPT 0:0 RH-Firewal-1-INPUT -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall -1-INPUT -i lo -j ACCEPT -A RH-Firewall -1-INPUT -i eth0 -j ACCEPT -A RH-Firewall -1-INPUT -i eth1 -j ACCEPT -A RH-Firewall -1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall -1-INPUT -p 50 -j ACCEPT -A RH-Firewall -1-INPUT -p 51 -j ACCEPT -A RH-Firewall -1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall -1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall -1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall -1-INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT -A RH-Firewall -1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT -A RH-Firewall -1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall -1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall -1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall -1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A RH-Firewall -1-INPUT -j REJECT --reject-witch icmp-host-prohibited COMMIT mangle PREROUTING ACCEPT 0:0 INPUT ACCEPT 0:0 FORWARD ACCEPT 0:0 OUTPUT ACCEPT 0:0 POSTROUTING ACCEPT 0:0 -A PREROUTING -i eth0 -j MARK --set-mark 0x9 nat PREROUTING ACCEPT 0:0 OUTPUT ACCEPT 0:0 POSTROUTING ACCEPT 0:0 -A POSTROUTING -m mark --mark 0x9 MASQUERADE (если в конфигураторе поставлю eth0 -маскарад) COMMIT Вот такие настройки iptables, прошу внесите необходимые коррективы При таком раскладе клиенты могут пинговать 2 интерфейса сервера, не более. Команда tracert 93.73.118.162 на клиенте выдает "не удается разрешить системное имя" |
|
Отправлено: 02:07, 31-12-2009 | #4 |
|
Пользователь Сообщения: 55
|
Профиль | Сайт | Отправить PM | Цитировать Введи это в консоли, если не тот синтаксис (в чём я лично сомневаюсь) подправь под себя. Если у тебя на маршрутизаторе есть интернет и проходит он через eth0 и адрес yyy-yyy-yyy-yyy, то должно всё работать.
ifconfig eth1 192.168.0.1 ifconfig eth1 up iptables -F iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source yyy.yyy.yyy.yyy |
|
|
------- Отправлено: 09:17, 31-12-2009 | #5 |
|
Старожил Сообщения: 437
|
Профиль | Отправить PM | Цитировать Цитата kozyr76:
 Спешл фо ю запостил скрипт: http://ithouse.spb.ru/?p=336 Но правильную конфигурацию сетевых интерфейсов никто не отменял. |
|
|
------- Отправлено: 10:17, 31-12-2009 | #6 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать Я пробЫвал, прописывал в консоли, но ничего не поменялось, остается синтаксис конфигуратора, как его можно отключить, что бы правила прописывать самому. Захожу system-config-securitylevel Уровень безопасности включен. SElinux- принудительный режим. Доверенные устройства eth0 eth1, Снимаю галочки-разрешить входящие. После в консоли прописываю правила и ....ничего не меняется. Как же все-таки отключить правила с конфигуратора?
Если же сделать уровень безопасности выключен, то файл iptables будет отсутствовать. |
|
Отправлено: 13:11, 31-12-2009 | #7 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Redhat/Fedora - проблемы с BIND в CENTOS 5.4 | kozyr76 | Общий по Linux | 1 | 06-01-2010 12:45 | |
| Прочее - Настройка шлюза в Widows 7 | Romeyk | Сетевое оборудование | 1 | 04-11-2009 23:42 | |
| Redhat/Fedora - настройка локали Centos 5.3 | dihlof0s | Общий по Linux | 0 | 06-10-2009 10:02 | |
| FreeBSD - Настройка сетевого шлюза | DrewBlin | Общий по FreeBSD | 17 | 07-11-2008 14:45 | |
| Проблемы с сетью и интернетом в CentOS 5 | sfap | Программное обеспечение Linux и FreeBSD | 0 | 04-10-2007 11:32 | |
|
|
Время: 03:25. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
