Вихід локальної мережі в інтернет

[gagarin]

Не виходить налаштувати вихід локальної мережі в інтернет.

Моя локальна мережа(10.0.0.x)

Комп'ютер, що має вихід в інтернет(eth0 172.16.120.131 - до провайдера; eth1 10.0.0.10 - в середині моєї мережі)
Для комп'ютера 10.0.0.1:
шлюз 10.0.0.10
dns ті ж що і в 172.16.120.131

Пишу в консолі на 172.16.120.131:

Код: [Вибрати]

ip rule add from 10.0.0.1 nat 172.16.120.131
ip route add nat 172.16.120.131 via 10.0.0.1
після другої команди відповідь така:

Код: [Вибрати]

RTNETLINK answers: File exists
І 10.0.0.1 так і не отримує доступ в інтернет.  
Як мені можна налаштувти доступ мережі?
Чи можливо зробити так, щоб в кожного на комп'ютері могла прцювати icq?

[gagarin]

P.S. Система - РедХет Лінукс 7,3
Ядро - 2.4

[VojToshik]

Зайди почитай http://linux.org.ua/cgi-bin/yabb/YaBB.pl?board=tech-admin;action=display;num=1108384158. Я думаю, що там ти найдеш все, що тобі потрібно .

[gagarin]

Зайди почитай http://linux.org.ua/cgi-bin/yabb/YaBB.pl?board=tech-admin;action=display;num=1108384158. Я думаю, що там ти найдеш все, що тобі потрібно .

Я це читав.
Я не побачив нічого схожого...
Поясніть будь ласка...

[gagarin]

Питання вирішив наступним чином:

Код: [Вибрати]

route add default gw 172.16.120.129
ipchains -A forward -s 10.0.0.1 -j MASQ
але тепер не можу зайти ні на один ftp сервер мережи 172.16.x.x
http без проблем...

Може хтось вже із чимось подібним стикався... Допможіть, будь ласка...

[Stas]

Я так гадаю, що використовується активний ftp - перевірити можна за допомогою wget:
wget --passive-ftp ftp://172.16....
Якщо так працює, а бажано, щоб і active ftp працював, тоді треба перейти на iptables і завантажити ipconntrack-ftp звідти - не впевнений, чи є в ipchains цей модуль.

для iptables nat увімкнути так само легко   :
iptables -t nat -A POSTROUTING -s \! 172.16.120.131 -j SNAT --to-source 172.16.120.131

з цього приводу рекомендую переглянути http://linux.org.ua/cgi-bin/yabb/YaBB.pl?board=tech-admin;action=display;num=1108384158

[gagarin]

Я так гадаю, що використовується активний ftp - перевірити можна за допомогою wget:
wget --passive-ftp ftp://172.16....
Якщо так працює, а бажано, щоб і active ftp працював, тоді треба перейти на iptables і завантажити ipconntrack-ftp звідти - не впевнений, чи є в ipchains цей модуль.

для iptables nat увімкнути так само легко   :
iptables -t nat -A POSTROUTING -s \! 172.16.120.131 -j SNAT --to-source 172.16.120.131

з цього приводу рекомендую переглянути http://linux.org.ua/cgi-bin/yabb/YaBB.pl?board=tech-admin;action=display;num=1108384158

Просто вирішив ще раз перевірити, чи справді на фтп не заходить...
Зайшло...
Але заходить не на всі...
Не розумію!

[Sergiy Kudryk]

Доброго дня

Які у Вас активні правила фільтрації пакетів для ядра?

/sbin/iptables --list

Перевірте що правила фільтрації задаються лише через iptables
а не через ipchains + iptables.

[gagarin]

Питання вирішилося доволі швидко.
У мене встановлено ipchains, iptables у мене нема.
Отже, як все працює(споіб простий, але сердитий:)):
Мережа(два компа - мій і мого брата) мають адреси 10.0.0.1 та 10.0.0.2. Сервер(стаенький Compaq Prolinea 120MHz 40Mb Ram 6Gb HDD) має 2 мережеві карточки. Одна(10.0.0.10) -  до неї через свіч підходять 10.0.0.1 і 10.0.0.2.
У другу(172.16.120.131) встромлено шнурок, який мені дав провайдер.
Мережа виходить в інтернет так:

Код: [Вибрати]

route add default gw 172.16.120.129 -додаємо шлюз по замовченню
ipchains -A forward -s 10.0.0.1 -d 0/0 -p all -j MASQ -дозволяємо клієнтові з ip 10.0.0.1 вихід в інтернет і маскарадимо його пакети
ipchains -A forward -s 10.0.0.2 -d 0/0 -p all -j MASQ -те ж саме для другого клієнта
ipchains -A forward -j REJECT -забороняємо всім іншим