Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » internet sharing проблем
Тема: internet sharing проблем
Мнение #1 Skip to the next post in this topic.
Написано на: Февруари 16 2006, 22:33
mexus

Avatar




Група: Li fans
Мнения: 163
Регистриран: Октомври 2005

Оценка: няма

Offline
Ситуацията е следната, нямах интернет 2 дена - доставчика имаше проблеми....

Имам вътрешна мрежа, пуснал съм нет на няколко съседи. Проблема е че те не могат да пингнат външни ip-та, днс-а на доставчика  следователно нямат нет. До преди спирането за 2 дена всичко работише. Всичко изглежда наред.

Ето срипта с който им пускам интернет.
Код: 
#!/bin/sh
IPTABLES=/usr/sbin/iptables
LAN=192.168.0.1/29
LAN_ETH=eth1
INET_IP=83.148.109.208
INET_ETH=eth0
#allowIP forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
#временно забряняваме всякакъв трафик и изтриваме всички стари правила на файъруола
$IPTABLES -P OUTPUT DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
#allow access to loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
#Deny all, allow LAN
$IPTABLES -A FORWARD -i $LAN_ETH -s $LAN -p tcp --sport 137:139 -d ! $LAN -j DROP
$IPTABLES -A FORWARD -i $LAN_ETH -s $LAN -p udp --sport 135:139 -d ! $LAN -j DROP
$IPTABLES -A FORWARD -i $LAN_ETH -s $LAN -p tcp --sport 445 -d ! $LAN -j DROP
$IPTABLES -A FORWARD -i $LAN_ETH -s $LAN -p udp --sport 445 -d ! $LAN -j DROP
#Allow LAN ping
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s $LAN -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 83.148.109.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 83.148.103.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s 85.187.13.0/24 -j ACCEPT
#Allow LAN access
$IPTABLES -A INPUT -i $LAN_ETH -s $LAN -j ACCEPT
#Allow only in to out connections
$IPTABLES -A OUTPUT -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#All connections are mask, so that they come form this PC
$IPTABLES -t nat -A POSTROUTING -o $INET_ETH -s 192.168.0.2 -d ! 192.168.0.2 -j SNAT --to 83.148.103.208

#Ivan ReD
$IPTABLES -t nat -A POSTROUTING -o $INET_ETH -s 192.168.0.3 -d ! 192.168.0.3 -j SNAT --to 83.148.103.208

#Niki
$IPTABLES -t nat -A POSTROUTING -o $INET_ETH -s 192.168.0.4 -d ! 192.168.0.4 -j SNAT --to 83.148.103.208

#Ivan otsre6ta
$IPTABLES -t nat -A POSTROUTING -o $INET_ETH -s 192.168.0.5 -d ! 192.168.0.5 -j SNAT --to 83.148.103.208

#Ivan ot gore
$IPTABLES -t nat -A POSTROUTING -o $INET_ETH -s 192.168.0.6 -d ! 192.168.0.6 -j SNAT --to 83.148.103.208


#Allow package sending to other networks
$IPTABLES -A FORWARD -i $LAN_ETH -s $LAN -d ! $LAN -o $INET_ETH -j ACCEPT
#############OPENPORTS############
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 139 -j ACCEPT
#ssh za jivko  -d $INET_IP predi --dport ograni4ava samo za opisanoto ip
$IPTABLES -A INPUT -i $INET_ETH -p tcp -s 212.116.138.131 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp -s 83.148.109.181 --dport 22 -j ACCEPT
#ftp inbound
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 21 -j ACCEPT
#http inbound
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 80 -j ACCEPT
#mail inbound
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 110 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 143 -j ACCEPT
#cups inbound
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 631 -j ACCEPT
#DNS inbound
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 53 -j ACCEPT
#File share
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 50001 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 50001 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 6881 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 6881 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 441 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 441 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 9176 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 9176 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 4672 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 4662 -j ACCEPT
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 4665 -j ACCEPT
#Prot forward for Ivan ot gore
$IPTABLES -A INPUT -i $INET_ETH -p tcp --dport 6890 -j ACCEPT
$IPTABLES -A FORWARD -o $INET_ETH -s 192.168.0.4 -p tcp --sport 6890 -j ACCEPT
$IPTABLES -A FORWARD -i $INET_ETH -p tcp -d 192.168.0.4 --dport 6890 -j ACCEPT
$IPTABLES -A PREROUTING -t nat -i $INET_ETH -p tcp -d 83.148.103.208 --dport 6890 -j DNAT --to 192.168.0.4
$IPTABLES -A INPUT -i $INET_ETH -p udp --dport 6890 -j ACCEPT
$IPTABLES -A FORWARD -o $INET_ETH -s 192.168.0.4 -p udp --sport 6890 -j ACCEPT
$IPTABLES -A FORWARD -i $INET_ETH -p udp -d 192.168.0.4 --dport 6890 -j ACCEPT
$IPTABLES -A PREROUTING -t nat -i $INET_ETH -p udp -d 83.148.103.208 --dport 6890 -j DNAT --to 192.168.0.4
#shaper
tc qdisc add dev eth1 root handle 1: cbq avpkt 10000 bandwidth 100mbit
tc class add dev eth1 parent 1: classid 1:1 cbq rate 100mbps allot 1500 prio 5 isolated

tc class add dev eth1 parent 1:1 classid 1:10 cbq rate 200kbps allot 1500 prio 5 bounded
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dst 192.168.0.2 flowid 1:10

tc class add dev eth1 parent 1:1 classid 1:10 cbq rate 200kbps allot 1500 prio 5 bounded
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dst 192.168.0.3 flowid 1:10

tc class add dev eth1 parent 1:1 classid 1:10 cbq rate 200kbps allot 1500 prio 5 bounded
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dst 192.168.0.4 flowid 1:10

tc class add dev eth1 parent 1:1 classid 1:10 cbq rate 200kbps allot 1500 prio 5 bounded
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dst 192.168.0.5 flowid 1:10

tc class add dev eth1 parent 1:1 classid 1:10 cbq rate 200kbps allot 1500 prio 5 bounded
tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dst 192.168.0.6 flowid 1:10


Редактирано от mexus на Февруари 16 2006, 22:34
Контакти:  mexus

  • AOL  AOL:
  • ICQ  ICQ: 243745868
  • MSN  MSN: mexus_bg@hotmail.com
  • YIM  Yahoo IM:
WEB  
Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 17 2006, 10:30
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
защо си играеш със SNAT ползвай си обикновенно маскиране (не че има голяма разлика де)

дай да видиме моментнот състояние на веригите
Код: 

iptables -L
iptables -L -t nat
iptables -L -t mangle
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 18 2006, 22:15

No avatar chosen




Група: Li fans
Мнения: 1
Регистриран: Февруари 2006

Оценка: няма

Offline
Наистина, маскарада е специялно за това направен и е по - добре да ползваш него. И аз експериментирах с SNAT едно време, но открих, че MASQUERADE си има предимства в този случай, за тези цели.

Иначе ти препоръчвам да провериш дали не са въвели някакво ограничение доставчиците ти през даунтайма като например ограничение по TTL или нещо от сорта. Един tcpdump и т.н. всичко ще си каже.
Контакти:  0xff
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 19 2006, 11:48
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
яврни - ttl-а съвсем го забравих - пусни един пинг до някой сайт така ще видиш с каква стойност на ttl ти дава пакетите доставчикът
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #5
Skip to the previous post in this topic. Написано на: Февруари 19 2006, 14:21
mexus
Нерегистриран










TTL-a e OK.
Контакти:  mexus

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Общо 4 отговор(а) от Февруари 16 2006, 22:33 до сега
 » Начало » Li Форуми » Help & Support » Networking » internet sharing проблем

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums