Ситуация следующая. На компе eth0 смотрит в инет через PPoE, затем eth1 смотрит в локалку (а точнее на ноут с win7). Поднял DHCP в сети, чтобы в винде не прописывать ip, а чтоб ubuntu сама его выдавала. Адрес компа с ubuntu в сети 192.168.100.1, адрес ноута с win7 192.168.100.2, пинги в локалке ходят в обе стороны.На ubuntu server 9.10 поставил пакет DnsmasqВ /etc/dnsmasq.conf написал:------------------------listen-address=127.0.0.1, 192.168.100.1------------------------При загрузке выполняется скрипт:------------------------/bin/sh Включаем форвардинг пакетовecho 1 gt; /proc/sys/net/ipv4/ip_forward Разрешаем трафик на loopback-интерфейсеiptables -A INPUT -i lo -j ACCEPT Разрешаем доступ из внутренней сети наружуiptables -A FORWARD -i eth1 -o eth0 -j ACCEPT Включаем NAT iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -j MASQUERADE Запрещаем доступ снаружи во внутреннюю сетьiptables -A FORWARD -i eth0 -o eth0 -j REJECT------------------------прим. скрипт взял здесь -gt; interface31 . ru /tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.htmlЗатем в win7 поставил адрес dns 192.168.100.1В центре сетей она показала, что инет есть, но ни один сайт с win не пингуется =( В чём ошибка?
А вот это вот:это что??iptables -A FORWARD -i eth0 -o eth0 -j REJECTXD запрещаем форвард пактов с входящего интерфейса eth0 и исходящего eth0 это как это так т.е. если пакет направлен сам на себя хмм при этом это даже не локал хост О.о а просто луп какой то кароче это сокращаем)) ненужно И как это во нутреннюю сеть будут глядеть через nat) это практически невозможно)
лучше уж тогда вот так еще добавь в начало:sudo iptables -P INPUT DR?1?Psudo iptables -t nat -F (очистим таблицу)//ну и по мелочи, чтобы сканеры захлебывались)) дешевые .// sudo iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DR?1?Psudo iptables -A INPUT -p ICMP --icmp-type 8 -j DR?1?P Сбрасываем Ping, и Tracert//здесь поаккуратнее) ибо обвалится эхо-пинг)), но тоже поможет //А ну да если совсем параноя еще вот:sudo iptables -t mangle -I PREROUTING -i eth1 -j TTL --ttl-set 64//чтобы внешние адаптеры тебя не засекли // ну и далее добавляем:sudo iptables -I INPUT -i lo -j ACCEPTsudo iptables -I INPUT -i eth1 -j ACCEPT //внутренний eth* сеткиsudo iptables -t nat -F POSTROUTINGsudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE //(выходной интерфейс на inet)sudo iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j MASQUERADE //для достоверности)sudo iptables -I FORWARD -s 192.168.0.2 -j ACCEPTsudo iptables -I FORWARD -d 192.168.0.2 -j ACCEPTsudo sysctl -w net.ipv4.ip_forward=1//попробуй юзануть п.с. вот эти вот // являются комментом для баша, так что скопируй в текстовый файл, и вставляй как есть
ах епть подправь только DR?1?P все, а то у них D R ? ? PO - видимо нечитается =092;мда вредно по аське чатится вон как флуд постами пошел)) но объеденять неудобно будет тогда. т.к. предпоследний пост был сделан, чтобы выделить и вставить)
