Shorewall - чего-то я накрутил+нет инета на выходе.

0

1

Распишу чего добиться хочу.Имеется плата с двумя LAN портами.Соответственно: -порт р2р1 - внешний входящий инет -порт р3р1 - порт на локалку (подсоединён хаб)

Хочу сделать роутер на ПС,простенький такой.С серверами необходимыми:FTP,SMB,NFS (пока передумал,имеются некоторые проблемы),VPN.а также всунуть DLNA и торрент.Плюс потом добавить точку доступа (в мать WI-FI встроен). Вот что у меня в /etc/network/interfaces (если выставить статику,то инета нет,даже если shorewall не запущен,поэтому пока закоментировал)


auto lo
iface lo inet loopback
# The primary network interface
auto p2p1
iface p2p1 inet dhcp
#address 192.168.1.6
#netmask 255.255.255.0
#gateway 192.168.1.1

auto p3p1
iface p3p1 inet static
address 10.0.0.1
netmask 255.255.255.0

#auto dsl-provider
#iface dsl-provider inet ppp
#pre-up /sbin/ifconfig p2p1 up # line maintained by pppoeconf
#provider dsl-provider

Сильно дефолтные файлы не менял. Файлы shorewall:

/etc/shorewall/interfaces

#ZONE   INTERFACE         OPTIONS
net     p2p1              dhcp,tcpflags,nosmurfs,routefilter,logmartians,sourcerote=0
loc     p3p1              tcpflags,nosmurfs,routefilter,logmartians

/etc/shorewall/masq

#INTERFACE:        DEST    SOURCE    ADDRESS   PROTO   PORT(S) IPSEC   MARK    USER/   SWITCH  ORIGINAL
                                                                               GROUP           DEST

p2p1               169.254.0.0/16,\ 
                   172.16.0.0/12,\ 
                   192.168.0.0/16
p3p1               10.0.0.0/24,\

/etc/shorewall/policy


#SOURCE         DEST      POLICY      LOG    LEVEL   LIMIT:BURST
loc             net       ACCEPT
net             all       DROP        info
# THE FOLLOWING POLICY MUST BE LAST
all             all       REJECT      info

/etc/shorewall/rules

#ACTION             SOURCE        DEST     PROTO     DEST    SOURCEORIGINALRATEUSER/   MARK    CONNLIMITTIMEHEADERSSWITCHHELPER
#PORT    PORT(S)DESTLIMITGROUP
#SECTION ALL
#SECTION ESTABLISHED
#SECTION RELATED
#SECTION INVALID
#SECTION UNTRACKED
SECTION NEW 

#Don't allow connection pickup from the net
#
Invalid(DROP)       net            all      tcp
#
#Accept DNS connections from the firewall to the network
#
DNS(ACCEPT)         $FW            net
#      
DNS(ACCEPT)         $FW            loc
#
#Доступ к почте
#
IMAP(ACCEPT)        loc            all
POP3(ACCEPT)        loc            all
SMTP(ACCEPT)        loc            all
# 
#Accept SSH connections from the local network for administration
#
SSH(ACCEPT)         loc            $FW
SSH(ACCEPT)         net            $FW
#
#Allow Ping from the local network
#    
Ping(ACCEPT)        loc            $FW
#
#Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#
Ping(ACCEPT)        net             $FW
ACCEPT              $FW             loc     icmp
ACCEPT              $FW             net     icmp

/etc/shorewall/zones


#ZONE     TYPE    OPTIONS      IN        OUT
#                              OPTIONS   OPTIONS
fwfirew   all
net       ipv4
loc       ipv4

Ещё имеется dnsmasq в котором изменено только две строки. Добавлено:

listen-address=127.0.0.1,10.0.0.1,192.168.1.1

Изменено:

dhcp-range=10.0.0.100,10.0.0.150,255.255.255.0,12h

По хорошему видимо все это нужно через iptables делать,но пока решил так.

Ссылка

Похожие темы