Хочу NAT! - Кто знает как?
Хочу NAT!
Ну так ставь с флопов или по сети. Сначала с флопов, потому что с них грузиться проще. Потом настраиваешь сеть и по сети. Например, берешь какой-нить tiny linux, поднимаешь сеть, делаешь корневой раздел, ну и туда барахло всякое из сети закачиваешь. Только /dev сделать не забудь. Или в ядре devfs по умолчанию включи. Потом chroot туда, lilo и ребут. Про Х-ы в коробке дискет - скорее всего это сказки. А если и правда - они настолько обрезаны, что с ними будет больше мучений, чем пользы. А лучше таки найти место на том 10 Гб диске (особенно если этот диск твой) и поставить нормальный дистрибут без Х-ов. На 200-250 Мб влезет Дебиан с довольно приличным количеством прог и документацией. Заодно сможешь монитор от этой машины убрать, будешь ходить туда по telnet/rsh/ssh. Еще монитор можно продать и купить на эти деньги веник.
Хочу NAT!
Нее... Мне надо с нее иногда в сеть лазить с картинками... А пока сталю qnx - она с дискетки грузится вместе с photon и браузером и работает весьма шустро.
Опыт растет прямо пропорционально выведенному из строя оборудованию
Хочу NAT!
Вобщем сделал NAT с чем себя и поздравляю... Очень просто оказалось.
Опыт растет прямо пропорционально выведенному из строя оборудованию
- Aerostar
- Неотъемлемая часть форума
- Сообщения: 447
- Зарегистрирован: 08 фев 2002, 14:47
- Откуда: Riga
- Контактная информация:
Хочу NAT!
Даже, если RaptoR пошутил, то все равно идея неплохая. Если что не так напишешь, народ поправит, глядишь - полезная вещь получится.
Если вы все такие умные - что же вы строем не ходите?
Хочу NAT!
Да написали ж уже! 2 штуки! Подробное и простое. Читать только всем лень.
Хочу NAT!
А что там писать...
ipchains -A forward -i ppp0 -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward
Если комп домашний (не сервер) - хорошо бы еще
ipchains -A input -d ! myip -i ppp0 -J DENY - нафиг нам чужые пакеты если мы не роутер
ipchains -A input -p TCP -s you.dns.ip -i ppp0 1024:65535 -J ACCEPT - пропустим пакеты с DNS-сервера, хотя обычо DNS юзает UDP но ipchains-hwoto написано, что может быть и TCP
ipchains -A input -p TCP -y -l -j DENY
А все попытки приконнектится к нашему компу похерит и занести в журнал.
У кого еще какие предло жения?
ЗЫ: А вот почему-то по модему NAT работает медленнее чем SQUID, наверно SQUID кэширует dns, а NAT делает так: client request-> server (MASQ) -> dns -> server (UNMASQ) -> client
ipchains -A forward -i ppp0 -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward
Если комп домашний (не сервер) - хорошо бы еще
ipchains -A input -d ! myip -i ppp0 -J DENY - нафиг нам чужые пакеты если мы не роутер
ipchains -A input -p TCP -s you.dns.ip -i ppp0 1024:65535 -J ACCEPT - пропустим пакеты с DNS-сервера, хотя обычо DNS юзает UDP но ipchains-hwoto написано, что может быть и TCP
ipchains -A input -p TCP -y -l -j DENY
А все попытки приконнектится к нашему компу похерит и занести в журнал.
У кого еще какие предло жения?
ЗЫ: А вот почему-то по модему NAT работает медленнее чем SQUID, наверно SQUID кэширует dns, а NAT делает так: client request-> server (MASQ) -> dns -> server (UNMASQ) -> client
Опыт растет прямо пропорционально выведенному из строя оборудованию
Хочу NAT!
Говорил я вполне серьезно, squid если я не ошибаюсь ДНС не кеширует, а кеширует всё остальное
У меня на роутере squid+NAT+sock5+DNS, инет у мя диалап и я заметил существенный прирост, после перехода с НТ
У меня на роутере squid+NAT+sock5+DNS, инет у мя диалап и я заметил существенный прирост, после перехода с НТ
Хочу NAT!
на citforum.ru есть очень подробная статья касающееся ipchains и всего с этим связаного (раздел ОС-Линух-Маскарадинг, фаервалл и т.д.) Вот хотелось бы подробную статейку (желательно на русском) по iptables
Хочу NAT!
Squid кэширует DNS. Правда, если он висиит как transparent proxy, от этого толку мало. Об этом любят забывать.
-j REJECT не юзаем из принципа? Безопасности это, конечно, добавляет, но и о проблемах никто не крикнет. А ведь, как пелось в одной песне "за тех кто первый кричит "Беда!" - спасает корабль твой". -j DENY часто добавляет проблем, причем труднонаходимых. -j REJECT во многих случаях лучше. Вот, например, в твоей конфигурации ни один TCP-сервис работать не будет, потому что твой фильтр даже соединения с localhost отрежет. Причем без всякой ответной реакции. И будешь сидеть таймаут ждать, думая, что машина "думает". А так тебе бы сказали destination host unreachable и все дела.
Еще из предложений: фильтровать не только TCP, фильтровать поддельные адреса (типа 127.0.0.1).
-j REJECT не юзаем из принципа? Безопасности это, конечно, добавляет, но и о проблемах никто не крикнет. А ведь, как пелось в одной песне "за тех кто первый кричит "Беда!" - спасает корабль твой". -j DENY часто добавляет проблем, причем труднонаходимых. -j REJECT во многих случаях лучше. Вот, например, в твоей конфигурации ни один TCP-сервис работать не будет, потому что твой фильтр даже соединения с localhost отрежет. Причем без всякой ответной реакции. И будешь сидеть таймаут ждать, думая, что машина "думает". А так тебе бы сказали destination host unreachable и все дела.
Еще из предложений: фильтровать не только TCP, фильтровать поддельные адреса (типа 127.0.0.1).
- Aerostar
- Неотъемлемая часть форума
- Сообщения: 447
- Зарегистрирован: 08 фев 2002, 14:47
- Откуда: Riga
- Контактная информация:
Хочу NAT!
2Raptor: X-Stranger уже написал статью в 3-х частях по безопасности Линукса, где очень подробно описывается iptables. На всякий случай ссылочка: http://www.linux.hitech.by/sections.php ... e&artid=61.
Если вы все такие умные - что же вы строем не ходите?
Хочу NAT!
Спасибки Я не очень тут по сайту еще полазил, тока на форум захожу!