LINUX.ORG.RU
ФорумAdmin

настроить adsl nat dns


0

0

железо: dsl модем в режиме моста (192.168.1.1), linux (192.168.1.3 eth1), клиент (венда) (192.168.1.2)
на linux поднято содинение с инетом dsl0
на клиента шлюз и dns установлен в 192.168.1.3

поднимаю nat (http://pastebin.com/Uve4wHwC) (на основе http://www.revsys.com/writings/quicktips/nat.html) + дописал стороку №13 для dns

с клиента теперь могу пинговать по имени, но через браузер на заходит
что странно, на некоторые сайты клиент может зайти, например на ya.ru, полагаю, потому что и с linux я на него заходил

что я упустил ?

зы
чем будет отличаться поведение для строк 10 и 11 (на что влияет фильтр по RELATED,ESTABLISHED) ?

★★★★★

>чем будет отличаться поведение для строк 10 и 11 (на что влияет фильтр по RELATED,ESTABLISHED) ?

Ничем. Можешь выкинуть их вместе с двенадцатой. Все равно ведь -P FORWARD ACCEPT.

nnz ★★★★
()

Ну почитайте же хоть чуть-чуть http://ru.wikipedia.org/wiki/Iptables

Зачем городить всякие разрешающие правила, если -P FORWARD ACCEPT и нет запрещающего всё, что не разрешено, правила в конце.

anton_jugatsu ★★★★
()
Ответ на: комментарий от nnz

Правило должно быть именно в цепочке FORWARD таблицы mangle, встречал также варианты в цепочке FORWARD таблицы input

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Как правильней?

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

встречал также варианты в цепочке FORWARD таблицы filter

Это неправильно идеологически. filter должен фильтровать, а для нелетальных преобразований предназначена таблица mangle.

В указанной выше статье я постарался подробно разъяснить этот вопрос:

Выше были рассмотрены действия «общего назначения», то есть не привязанные по своей специфике к таблицам. Далее, при рассмотрении отдельных таблиц, будут описываться действия, специфичные для каждой таблицы. Термин «специфичные» надо понимать так: совсем не обязательно, что действие, специфичное для одной таблицы, будет в принципе недопустимо в другой, но в любом случае использование этого действия в других таблицах будет «плохим тоном» — ведь таблицы и действия четко разделены по назначению. Не стоит «забивать гвозди микроскопом».

Порой эта разница бывает довольно тонкой. Например, если действие NFQUEUE передает пакеты демону l7-filter-userspace (который занимается маркировкой пакетов на основе анализа их содержимого), то правильнее будет разместить вызов такого действия в таблице mangle. Если же оно передает пакеты демону nufw (который обеспечивает разрешение или запрещение трафика на основе авторизации пользователя), то логичнее разместить это действие в таблице filter.

nnz ★★★★
()

спасибо за ответы, попробую вечером
естественно man читал, но нет практики написание правил

x905 ★★★★★
() автор топика
Ответ на: комментарий от x905

все заработало, буду пользовать

x905 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.