доброе утро есть сервер дебиан на нем 2 сетевые карты одна 192.168.0.114 смотрит в интернет вторая 192.168.1.1 смотрит в сеть нужно чтобы пользователи с сети 192.168.1.0 выходили в интернет настроил dhcp
- subnet 192.168.1.0 netmask 255.255.255.0 {
- range 192.168.1.2 192.168.1.240;
- option domain-name-servers 192.168.0.114;
- option routers 192.168.1.1;
- default-lease-time 604800;
- max-lease-time 604800;
- }
и настроил iptables
- #!/bin/bash
- iptables -F
- iptables -t nat -F
- iptables -X
- iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
- iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -s 192.168.1.0/24 -j ACCEPT
- iptables -P FORWARD DROP
- iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
- iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
- iptables -A INPUT -i lo -j ACCEPT
- iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
- iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
- iptables -P INPUT DROP
- #открываем порты наружу
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp -m multiport --dports 20,21,22,110,25,993,465 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp -m multiport --dports 200,500,1194,5222,10000,3389,4444,7002,8125,8126 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp -m multiport --dports 20,21,22,110,25,993,465,5222,10000,3389,4444,7002,8125,8126,1500 -j MASQUERADE
- #ftp
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 21 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 20 -j SNAT --to-source 192.168.0.114
- #стандартный порт ssh можно и закрыть
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 221 -j SNAT --to-source 192.168.0.114
- #электронная почта
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 110 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 25 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 993 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 465 -j SNAT --to-source 192.168.0.114
- #хз че за порты и кому нужны
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 200 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 500 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 1194 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 5222 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 10000 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 4444 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 7002 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 8125 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 8126 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p tcp --dport 1500 -j SNAT --to-source 192.168.0.114
- #порты для ping
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p icmp --icmp-type 0 -j SNAT --to-source 192.168.0.114
- iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -p icmp --icmp-type 8 -j SNAT --to-source 192.168.0.114
- #ipv6
- ip6tables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
- ip6tables -A FORWARD -m conntrack --ctstate NEW -i eth0 -j ACCEPT
- ip6tables -P FORWARD DROP
- ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
- ip6tables -A INPUT -i eth0 -j ACCEPT
- ip6tables -A INPUT -i lo -j ACCEPT
- ip6tables -P INPUT DROP
- ip6tables -P OUTPUT DROP
пинг идет на 8.8.8.8 и на 8.8.4.4 и по сети, но не заходит вообще никуда