Шлюз на slackware между двумя локальными сетями. Сети географически далеко друг от друга (примерно 100 км.) Канал 2мб/с. На компьютере два сетевых интерфейса.

eth0 - 172.16.0.XX головной офис, с него приходит интернет. eth1 - 172.16.3.XX производственная база.

Конфиг iptables:

iptables -A FORWARD -i eth0 -s 172.16.0.0/23 -o eth1 -d 172.16.3.0/24 -j ACCEPT

iptables -A FORWARD -i eth1 -s 172.16.3.0/24 -o eth0 -d 172.16.0.0/23 -j ACCEPT

Ну и соответственно прямой интернет кому надо.

iptables -t nat -A POSTROUTING -s 172.16.3.30 -j SNAT --to-source 172.16.0.XX

iptables -A FORWARD -s 172.16.3.30 -j ACCEPT

Появились арендаторы, поставили им роутер tp-link, настроили. Интернет у них работает и все как бы замечательно. Но есть одно НО.......

Они со стороны своего роутера видят всю нашу сеть. Срабатывают вышеперечисленные правила iptables.

Подскажите пожалуйста господа Админы как разрешить им только инет трафик? И возможно ли это? Чтобы они не видели нашу локальную сеть вообще.

Столкнулся с такой вот ситуевиной. Есть удаленный объект который находиться за 35-40 километров от центрального офиса. Связь с ним осуществляеться через радио-релейку, поток 2 мб/сек.Все это дело крутиться в одной общей локальной сети. На объекте порядком 70-ти компов. Трафик со стороны промбазы приличный. Соответственно поток в 2 мегабита не справляеться. Хочу снизить нагрузку между офисами. Тем более что на промбазе есть свой файл-сервак. Собрал комп с двумя сетевыми платами, надо сделать роутер как я понимаю. В головном офисе адресация 172.16.0.0 на промбазе 172.16.3.0. На офисном шлюзе маскарадинг между интерфейсами(жуть какая). Хочу убрать этот самый маскарадинг. Для пользователей промбазы требуеться всего два сервиса. POP и SMTP. Подскажите пожалуйста как настроить правила через iptables для проброса 110-го и 25-го портов. Перерыл кучу документации. Попробовал, ничего не получаеться. Только не пинайте пожалуйста по менам. На изучение iptables уйдет много времени. Просто подскажите что и как нужно делать пожалуйста.

Один сервак контроллер домена под управлением openldap. Другой сервак хранилище почта, профайлы, домашние каталоги. На нем samba. Настраивали все до меня. И видать не донастроили. Завожу новый ресурс на самбе. Все получается. Теперь когда хочу выставить права кому что можно а кому нет. В списке доступов видны только некоторые пользователи с контроллера домена. Тоесть не все.

Подскажите в какую сторону копать то. И как происходит синхронизация списков пользователей и групп между серверами. До этого не сталкивался с ldap-ом.

>>>

На тачках у всех пользователей ubuntu 8.04 Пока все работают локально. Есть сервер на котором open-ldap в качестве основного контроллера домена. Начинаю потихонечку переводить всех в домен. Все вроде как нормально получается. Решил сразу отучить пользователей от одной плохой привычки. Незагромождать рабочий стол. Они падонки там десятками гигов инфу свою хранят. Есть даже такие у которых размер рабочего стола 100 гигов превышает. Тормоза сами себе представляете какие. Самое простое и первое что пришло на ум поставить папке права типа read only. Выставляю значит, проверяю. Пытаюсь создать папку или файл или копирнуть что-то на рабочий стол. Говорит что типа нельзя и все такое. Радует картина до безумия. Ну вроде все сделано и никто не может записывать ничего. Потом пару дней спустя чисто случайно обнаруживаю что несмотря на все выше изложеное, все равно у них опять все на рабочем столе. Ладненько, ставлю удаленку вроде vnc и начинаю наблюдать. Самый простой способ, открывают nautilus дальше лезут в home своего профайла правой кнопкой по папке рабочий стол, вкладка права и выставляют снова на полный доступ. Некоторые особо умные которые лезут в консоль и используют chmod. При этом рассказывают всем остальным как это сделать. И снова бардак с рабочими столами.

Может кто уже сталкивался с такими задачами? Подскажите как быть в такой ситуации. Хотябы в сторону чего копать?

>>>

Трафик по браузерам у меня через сквид завернут, считает все это дело лайтсквид. Отчетики вполне приличные, нравятся. Теперь вот беда чем оставшийся трафик посчитать, который по мимо сквида проходит. Почта у хостеров находится, пару банк клиентов и скайп. Все это через iptables на соответствующие порты прописано. Настроил nitraf, есть такая считалка. Да вот не впечатляет. Как-то скудненько у нее с отчетами. Пошарился в инете, а там только платные. Да и в основном для провайдеров.

Посоветуйте люди добрые какуюнидь грамотную считалку плиз. Нужно чтоб детализированно все считалось. Типа кто куда зачем по какому порту и во сколько.

ну а сменя пиво разумеется.

>>>

Приветствую всех! Есть банк клиент который использует для соединения 21-й порт, его я разрешил строчкой типа (iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 21 -j SNAT --to-source мой.внешний.ip) А вот для дальнейшего обмена данными при каждом подключении соединяется обсолютно на разные порты. Звонил банкирам конечно же, они говорят что типа все работает строго через 21-й порт(думаю что лажа какая-то типа сами незнают какие порты использует ихний банк клиент). Другого банк клиента отловил по портам, работает все прекрасно. Возможно ли через iptables задать правило чтобы конект проходил по всем существующим портам, но только для определенного внешнего ip-шника? тоесть адреса который использует банк клиент. Посоветуете как разобраться с этим вопросом пожалуйста. Раньше все в инет напрямую ходили, работало отлично пока прокси не появился.

Научить бы эту птичку через прокси ходить. В настройках соединения прописываю адрес прокси и порт. Из инета она подгружает только картинки всякие если они есть в письме. А вот на почтовик ходить отказывается. Причем наглым образом. Почтовик находится у хостеров. Да еще и трафик считать нужно. Кто куда и зачем выходил в инет. Так конечно же не делается знаю. Почтовые протоколы это одно, а прокси то является http бадягой. Тоесть получается что почтовые протоколы не базируются на http вот. Обычно почтовик находится в локалке и все такое, в настройках эккаунта прописываешь и радуешься жизни. Но в моей ситуации совсем все по другому. Раньше у себя почтовик держали. Потом у хостеров арендовать начали, так как свет постоянно отрубают в офисе. Да и офис только строится. В новом офисе конечно будет все. Типа упсы мощные, генератор обещают тоже. Пробовал в конфиге сквида method CONNECT указывать с нужными портами в списках доступа, но все равно ходить не хочет. Потом в сторону rinetd копал перенаправление портов. Тоже не хочет работать. Может занимался кто уже таким вопрос? Подскажите пожалуйста люди добрые. Как до ума довести всю эту ситуацию?