Квартирная раздача интернета
Есть квартира, в ней имеется: три компа (Gentoo, Windows XP, Windows XP), свитч (Acorp 8 ports), модем (ZTE).
Все подсоединено следующим образом:
модем
|
Gentoo —— свитч —— WinXP
|
WinXP
Задача: дать пользователям виндовых машин интернет, причем интернет должен ходить через линукс машину.
На gentoo поднято три соединения для интернета:
eth0 - соединение к самому модему, на котором поднято pppoe на "гостевой" интернет (внутренние ресурсы провайдера)
tun0 - vpn-соединение на "пиринг" (белорусские сайты)
ppp0 - pppoe соединение на весь интернет.
Виндовые машины должны иметь доступ ко всем этим соединениям.
Решение (не рабочее):
Мне предложили поднять два eth соединения с сетями:
192.168.1.x - сеть в которой будет линукс машина и модем (eth0)
192.168.2.x - сеть в которой будут виндовые машины и линукс машина (eth1)
Сделал:
cat /etc/conf.d/net
modules=("ifconfig")
config_eth0=(
"192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255"
"192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255"
)
routes_eth0=(
"default gw 192.168.1.1"
)
dns_servers_eth0=(
"82.209.213.51"
"193.232.248.2"
)
И предложили установить прозрачный прокси squid.
cat /etc/squid/squid.conf
http_port 3128
icp_port 0
## Кеш
cache_dir ufs /opt/squid/cache 2048 64 256
maximum_object_size 10240 KB
maximum_object_size_in_memory 128 MB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
visible_hostname satsura.com
## Сети
acl all src 0.0.0.0/0.0.0.0
acl homenet src 192.168.2.0/24
acl localhost src 127.0.0.1/255.255.255.255
## Доступ для сетей
http_access allow localhost
http_access allow homenet
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on
Рестартанул eth'неты
ifconfig
eth0 Link encap:Ethernet HWaddr 00:1c:23:9c:ab:40
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::21c:23ff:fe9c:ab40/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:12901 errors:7299 dropped:3633 overruns:0 frame:1078
TX packets:10938 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:9541727 (9.0 MiB) TX bytes:1708503 (1.6 MiB)
Interrupt:17
eth0:1 Link encap:Ethernet HWaddr 00:1c:23:9c:ab:40
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:17
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:322 errors:0 dropped:0 overruns:0 frame:0
TX packets:322 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:10348 (10.1 KiB) TX bytes:10348 (10.1 KiB)
И стартанул squid:
/etc/init.d/squid start
* Starting squid ...
2009/09/14 09:50:08| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2009/09/14 09:50:08| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2009/09/14 09:50:08| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
2009/09/14 09:50:08| cache_cf.cc(346) squid.conf:26 unrecognized: 'httpd_accel_host'
2009/09/14 09:50:08| cache_cf.cc(346) squid.conf:27 unrecognized: 'httpd_accel_port'
2009/09/14 09:50:08| cache_cf.cc(346) squid.conf:28 unrecognized: 'httpd_accel_uses_host_header' [ ok ]
Виндовые машины настроил так:
Windows XP 1
IP: 192.168.2.2
Mask: 255.255.255.0
Gateway: 192.168.2.1
Windows XP
IP: 192.168.2.3
Mask: 255.255.255.0
Gateway: 192.168.2.1
Результат: на виндовых машинах нету инета.
P.S.
iptables не установлен.
Не нужно никаких мега крутых настроек безопасностей, сеть квартирная, всех знаю в лицо.
Помогите кто чем может.
- Для комментирования войдите или зарегистрируйтесь
имхо как-то логичнее было бы
имхо как-то логичнее было бы сделать все по другой схеме:
модем - Gentoo - Свитч - WinXP
надо только повозиться с iptables...
про ifconfig на ядре 2.6 вообще лучше уже забыть и использовать утилиты из iproute2...
а защищаться надо не от своих! надо защищать свои неумелые WinXP от того, что снаружи ;-)
Скорее защищать то, что
Скорее защищать то, что снаружи, от своих неумелых WinXP ;)
Не изобретай велосипед,
Не изобретай велосипед, поставь еще 1 сетевуху и прочитай вики.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Не подходит данный вариант,
Не подходит данный вариант, т.к. Gentoo стоит на ноуте, а в ноут врезать вторую сетевуху это дорого
http://www.gentoo.org/doc/en/
http://www.gentoo.org/doc/en/home-router-howto.xml
Не грусти, товарищ! Всё хорошо, beautiful good!
2009/09/14 09:50:08|
Он же вам все ясно обяъснил =). Почитайте
man squid.conf.Вы на виндах-то прокси сервер настроили?
http_proxy="localhost:3128" wget www.google.ruна роутере что говорит?А зря, намного проще (и безопастнее, и эффективнее) сделать NAT (только урезать на выход smtp порт, чтобы виндовирусы не спамили), чем мурыжить сквид
P.S. Чисто на всякий случай, сквид проксирует только http/ftp траффик, надеюсь это понятно и так и нужно?
P.S.S. "Прозрачность" сквида тоже делается ипстолами, сам притягивать пакеты к себе он не умеет.
P.S.S.S. На роутере-то инет есть?
2009/09/14 09:50:08|
Пофиксил.
1) httpd_accel_host - это для
1) httpd_accel_host - это для сквида 2.x, я очень рекомендую ставить 3(в нем это делается по-другому) и настраивать его.
2) без iptables прозрачное проксирование ИМХО невозможно, ибо надо делать REDIRECT
простейший конфиг squid 3 на прозрачное проксирование могу щаз подкинуть.
Нейтральность - высшее достижение сознания!
А в iptables что тогда
А в iptables что тогда прописать?
По правде говоря,
По правде говоря, накрасноглазили мы тут прилично
Купите себе простейший рутер ( или модем в режим рутера) и не парьте себе и другим моск
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
А давайте не будем искать
А давайте не будем искать легких путей и смотреть на других с высока.
Я попросил помощи, если не знаете как помочь, то не будем с жесткой самоуверенностью давать советы, которые никак не могут помочь в данной ситуации в текущий момент.
Сорри, за стиль моего поста,
Сорри, за стиль моего поста, но суть остается прежней:
Варианты:
1)Перевести модем в режим рутера.
2) если вар.1 не подходит,то заменить свитч на рутер ( можно и с ви-фи) :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
можно купить/достать с полки
можно купить/достать с полки старый комп который будет стоить как новый роутер, вкатить туда gentoo и всё сделать там. в любом случае держать ноут в качестве роутера несколько странно.
Модем и работает в режиме
Модем и работает в режиме роутера
satsura
что значит "нету интернета" ? и какой нужен?
на "гентовой" машине с инет всё в порядке?
на Xp-машинах прокси прописан?
а в принципе алгоритм действий такой (сугубо IMHO)
1) в ядре включили все опции касательно "роутинга" и "фильтеринга"
2) настроили сеть наружу и внутри
3) проверили инет на машине "Gentoo"
4) /etc/sysctl.conf
net.ipv4.ip_forward = 1
5) проверяем с машины "Xp" доступность "Gentoo" и инета в целом
6) если проблема безопасности "не колышит" - на этом успокаиваемся
7) /etc/sysctl.conf
net.ipv4.ip_forward = 0
8) подняли squid v3 в режиме transparent
8-а) на маишине "Gentoo" броузер настроили через прокси и проверили, что сквид работает
9) настроили прокси на машинах Xp и снова проверили инет
10) подняли кэширующий DNS
11) проверили с xp-машин что в инет не просунуться мимо сквида, но для пущей надежности можно правилами iptables закрыть всё отовсюду
12) если Xp-машинам нужен инет по определеным портам, а читать доки iptables влом - тунелим нужные порты
13) всё равно man iptables и тюнингуемся до полного щастья
то, что вы не делали emerge iptables не факт того, что он не установлен
что-то добрый я сегодня ....
>что значит "нету интернета"
>что значит "нету интернета" ? и какой нужен?
Вообще нету никакого, нужно все (eth0, ppp0, tun0)
>на "гентовой" машине с инет всё в порядке?
Да, инет есть.
>на Xp-машинах прокси прописан?
Зачем если мы поднимаем прозрачный прокси squid?
>1) в ядре включили все опции касательно "роутинга" и "фильтеринга"
Ок.
>2) настроили сеть наружу и внутри
? можно подробностей?
>3) проверили инет на машине "Gentoo"
Да. Есть.
>4) /etc/sysctl.conf
>net.ipv4.ip_forward = 1
Было сделано.
>5) проверяем с машины "Xp" доступность "Gentoo" и инета в целом
Gentoo доступна из XP. Инета нету.
>6) если проблема безопасности "не колышит" - на этом успокаиваемся
>7) /etc/sysctl.conf
>net.ipv4.ip_forward = 0
>8) подняли squid v3 в режиме transparent
>8-а) на маишине "Gentoo" броузер настроили через прокси и проверили, что сквид работает
Проверил. Работает.
>9) настроили прокси на машинах Xp и снова проверили инет
Проверил. Не работает.
>10) подняли кэширующий DNS
>11) проверили с xp-машин что в инет не просунуться мимо сквида, но для пущей надежности можно правилами iptables закрыть всё отовсюду
>12) если Xp-машинам нужен инет по определеным портам, а читать доки iptables влом - тунелим нужные порты
>13) всё равно man iptables и тюнингуемся до полного щастья
Эх...
>то, что вы не делали emerge iptables не факт того, что он не установлен
Не установлен был.Поставил. Правила не прописывал (т.к. не понимаю в них)
satsura написал(а): > >на
"надо, Федя, надо" (с)
в IE сервис - подключение - LAN - 192.168.2.1 : 3128
тут все должны пинговаться
Gentoo -> Xp
Xp -> Gentoo
Xp -> 192.168.1.1
я что-то не вижу роутинг из .2.1 в .1.1
посмотрите вывод route - на этом этапе XP должны "достукиваться" до модема
Причем не напрямую, а именно через 192.168.2.1 -> 192.168.1.2 -> 192.168.1.1
в пинге с Xp-машины включите опцию о хостах и посмотрите как проходят пакеты
естественно перезагружались ?
что-то добрый я сегодня ....
>Xp -> 192.168.1.1 >я что-то
>Xp -> 192.168.1.1
>я что-то не вижу роутинг из .2.1 в .1.1
>посмотрите вывод route - на этом этапе XP должны "достукиваться" до модема
>Причем не напрямую, а именно через 192.168.2.1 -> 192.168.1.2 -> 192.168.1.1
>в пинге с Xp-машины включите опцию о хостах и посмотрите как проходят пакеты
Такой опции не нашел. Но не пингуется 192.168.1.1 (может подскажете с роутом, и на какой машине его прописать надо?)
Кста теперь при переподнятии локалки пишет вот такую штуку на роуты:
* 194.158.206.240/255.255.255.255 gw 192.168.1.1 ... Usage: inet_route [-vF] del {-host|-net} Target[/prefix] [gw Gw] [metric M] [[dev] If] inet_route [-vF] add {-host|-net} Target[/prefix] [gw Gw] [metric M] [netmask N] [mss Mss] [window W] [irtt I] [mod] [dyn] [reinstate] [[dev] If] inet_route [-vF] add {-host|-net} Target[/prefix] [metric M] reject inet_route [-FC] flush NOT supportedпопробуйте сделать так route
попробуйте сделать так
ps
как вариант (может быть)
route add -net 192.168.0.0 netmask 255.255.0.0 dev eth0
что-то добрый я сегодня ....
Кажись заработало. Но на
Кажись заработало. Но на виндовых машинах что-то слишком уж медленный интернет.
теперь поднимать сквид и
теперь поднимать сквид и днс
на виндовых машинах в свойствах соединения прописать DNS 192.168.2.1
это значительно ускорит скорость поскольку сейчас основная "тупость" - это резолвинг имен
что-то добрый я сегодня ....
Обязательно днс прописывать?
Обязательно днс прописывать?
после того, как поднимите
после того, как поднимите bind (или какой другой кэш.днс)
это значительно ускорит связь
не обязательно
но в этом случае (если свой не поднимать) - тогда лучше прописать пару внешних ближайших (от провайдера)
что-то добрый я сегодня ....
Настроил и кеширующий днс. На
Настроил и кеширующий днс.
На генту машине все работает шустро, на виндовых тормоза инета просто поражают
Хочу написать книгу
> Не установлен был.Поставил. Правила не прописывал (т.к. не понимаю в них)
Бумагу и ручку купил. Буквы не учил (т.к. не понимаю в них)
Со стороны выглядит именно так.
Некоторый Offtop Вы, как
Некоторый Offtop
Вы, как понимаю, мой земляк, на byfly'е сейчас второй DNS-сервер 82.209.213.60.
Я ♥ Gentoo & Funtoo
Пасибо
Пасибо
Появилась идея. Если как
Появилась идея. Если как вариант установить openvpn ?
ндя, бывают идеи умные и нет.
ндя, бывают идеи умные и нет. Так это идея фееричная :)
__Все__ делается минут за 15 как мининум 3-мя способами.
П.С Автор ,ИМХО, почему то не слышит , что ему пишут
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
афтар жжет )))у меня дэвушка
афтар жжет ))) у вас не ПМС? ))))
хватит мучать людей и просить помочь сделать заранее бредовую реализацию! Либо напишите четко, что вы хотите и слушайте предлагаемые варианты, либо закрывайте тему!
Еще один мегакрутой советчик
Еще один мегакрутой советчик с ЭГО которое его самого скоро задавит
Заплыв виндузятников на
Заплыв виндузятников на gentoo.ru :)
Working on Gentoo Linux for Asus P535 and Qtopia :-)
Топикстартеру просьба
Топикстартеру просьба прочитать все, что тут написали, погуглить, посмотреть документацию по
iptables, и сделать новую тему с конкретной проблемой, если таковая возникнет. Если с конкретностью проблемы - создать новую тему с подробным описанием задачи.если "обсуждение" продолжится в том же стиле, то тема будет заламинированна. Давайте проявлять уважение к собеседнику
P.S. Топикстартеру относительный респект за сдержанность. Поэтому прошлая сентенция относится, по большей части к отдельным "советчикам".
P.P.S. Товарищу Theli рекомендую задуматся на тему, желает ли он продолжить свое пребывание здесь и несколько изолировать свой неуемный характер от окружающей среды.