maskarada

Oto mały poradnik na temat maskarady po FC5(Fedora Core 5 i 6)

Witam wszystkich
w tym temacie opisze jak uruchomić proste udostępnianie internetu

podane komendy są przewidziane dla udostępniania przez karte sieciową
i podane medoty są do udostępniania przez komputery połączone na sztywno tzn. bez żadnych swith’y i router’ów
więc tak:
1.Trzeba połączyć komputery za pomocą „skrosowanego” kabla. tzn.:
Kod:
W kablu skrosowanym ( który stosujemy wyłącznie w wypadki bezpośredniego połączenia dwóch komputerów ) obie końcówki zaciskamy według różnych schematów:

Wtyczka 1:
1. biało-zielony
2. zielony
3. biało-pomarańczowy
4. niebieski
5. biało-niebieski
6. pomarańczowy
7. biało-brązowy
8. brązowy

Wtyczka 2:
1. biało-pomarańczowy
2. pomarańczowy
3. biało-zielony
4. niebieski
5. biało-niebieski
6. zielony
7. biało-brązowy
8. brązowy

2.W komputerze który będzie otrzymywał internet ustaw statyczne ip,maske i brame(ręcznie)
ip= 192.168.1.200
maska=255.255.255.0
brama=ip naszej karty sieciowej która łączy sie z komputerem udostępniającym(w naszym przypadku brama=192.168.1.1)

3. Ustaw w komputerze który udostępnia neta na karcie sieciowej za pomocą której łączysz się z drugim komputerem następujące paramerty
ip=192.168.1.1
maska=255.255.255.0
brama domyślna=nie wpisuj żadnej bramy!!

4.Teraz sprawdź czy komputery się widzą:
Kod:
ping 192.168.1.200
-to z komputera udostępniającego
Kod:
ping 192.168.1.1
– to z komputera otrzymującego internet
jeżeli komputery się pingują to idziemy dalej

5.Teraz włączamy przekazywanie pakietów
Kod:
echo „1” > /proc/sys/net/ipv4/ip_forward

-tą komende wpisujemy do /etc/rc.d/rc.local za pomocą jakiegoś edytora np. mc lub nano

a nasze iptables powinno wyglądać następująco(/etc/sysconfig/iptables)

Kod:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT – [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT #gdzie eth0 to nasze połączenie z drugim komputerem
-A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp –dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp –dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 5900 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT –reject-with icmp-host-prohibited
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -j MARK –set-mark 0x9 #gdzie eth0 to nasze połączenie z drugim komputerem
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -m mark –mark 0x9 -s 192.168.1.200 -j MASQUERADE #gdzie 192.168.1.200 to ip komputera otrzymującego neta
COMMIT

podane howto dotyczy systemu fedora core 5 i 6 ! Podane iptables musi być zastąpione ponieważ standardowe reguły blokują połączenie internetowe

można udostępnić internet za pomocą następującego skryptu:
Kod:
#!/bin/sh

echo ‚::: Uruchamianie maskarady’

# Odpalenie przekazywania pakietow IP
echo „1” > /proc/sys/net/ipv4/ip_forward

# Czyszczenie tablic NAT-a i filtrowania
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

# Brak pozwolenia na forward pakietow
iptables -t filter -P FORWARD DROP

# Przepuszczanie pakietow z sieci i do sieci
iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT #ip i maska komputera udostępniającego
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT #ip i maska komputera otrzymującego internet

# Udostepnienie netu przez maskarade
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 0/0 -j MASQUERADE  #ip komputera otrzymującego

# przepuszczanie duzych pakietow
iptables -I FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

jednak ta metoda jest niebezpieczna z tego powodu że wymazuje wszystkie regułki bezpieczeństwa standardowo zachowane w systemie..podany skrypt wystarczy wkleić do /etc/rc.d/rc.local lub w *buntu jest to /etc/rc.local

po pominięciu
# Czyszczenie tablic NAT-a i filtrowania
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
udostępnianie nadal działa i można cieszyć się bezpiecznym systemem:)

mam nadzieje że podany sposób pomoże wam w udostępnianiu internetu!