Интернет шлюз на Ubuntu. Полная замена роутера

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

И так мы хотим для себя настроить интернет, можно пойти и купить обычный роутер с wi-fi стоимость от 1000 и более  и не забивать себе мозг, воткнул кабель сделал пару действий и получил wi-fi и интернет. Но это подходит только для домашних пользователей, а для малых и не больших, да и больших организаций такой вариант не подходит, так как нагрузка на роутер возрастет в разы и Вы получить дохлый интернет и тумаки от руководства. А нам это нужно - нет!!! Для этих целей нужен мощный и производительный  роутер стоимость от 25000 и выше.

Начальство денег может не дать, мол дорого и не нужно, а как я уже сказал, виноватыми будете ВЫ!. Наверняка у Вас есть старый завалявшийся ком с DDR, DDR2 еще лучше DDR3. Вот он как раз подойдет для организации интернет шлюза. Все что только нужно это поставить две сетевые карточки (стоимость по 600р - пример ну и wi-Fi карточку стоимость примерно 1000р, согласитесь на много дешевле получается.)

 Ставим ОС Ubuntu (14.04.3), на эту тему написано множество материала. Обновляем.

Исходные данные:

  • Имя компьютера: ubnet
  • Интернет (статичный или динамичный, Опишем статичный) Пример: 85.112.23.246  - eth0
  • Локальная сеть  192.168.1.0/24 что значит эта запись смотрите здесь 
  • Локальный IP 192.168.1.2  - eth1
  • DNS (кэширующий) IP:192.168.1.1
  • DHCP IP:192.168.1.1

 

Настройка

 Настраиваем сетевые интерфейсы

nano /etc/network/interfaces

auto eth0
iface eth0 inet static
address 85.112.23.246
netmask 255.255.255.0
gateway 85.112.23.65
dns-nameservers 192.168.1.1

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

pre-up /etc/net     #Правила межсетевого экрана

Сохраняемся. Теперь создадим правила фаервола

touch /etc/net
chmod +x /etc/net

#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

Все. Основные настройки произведены. Устанавливаем DNS и DHCP. Статьи описаны ранее.В будущем будет усложнять данную статью.

Дополнения:

Задача в нашей новой сети появился еще один клиент ssh(2222) пробрасываем порт наружу для соединения.

#Порт 2222

iptables -t nat -A PREROUTING --dst 85.112.23.246 -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.2
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.1.2 -p tcp -m tcp --dport 2222 -j ACCEPT
iptables -t nat -A POSTROUTING --dst 192.168.1.2 -p tcp --dport 2222 -j SNAT --to-source 192.168.1.1
iptables -t nat -A OUTPUT --dst 85.112.23.246 -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.2

Протестируем из терминала

ssh -p 2222 Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. - или по имени например: ubldap.domain.tld 

 

 

Iptables проброс портов для tandberg

Какие порты IP используются H.323 и протоколом SIP для TANDBERG MXP оконечные точки?

Для H.323:

Обнаружение сторожевого устройства (RAS) - порт 1719 - UDP

Настройка вызова Вопрос. . 931 - порт 1720 - TCP

H.245 - диапазон портов 5555-5574 - TCP

Видео - диапазон портов 2326-2485 - UDP

Аудио - диапазон портов 2326-2485 - UDP

Data/FECC - Диапазон портов - 2326-2485 - UDP

Для SIP:

Сообщения SIP - порт 5060 - UDP/TCP

Сообщения SIP - порт 5061 - TLS (TCP)

H.245 - диапазон портов 5555-5574 - TCP

Видео - диапазон портов 2326-2485 - UDP

Аудио - диапазон портов 2326-2485 — UDP

 

Задача: Есть Tandberg 95 MXP со статичным IP (локальный192.168.1.28) и протоколом H.323. Его необходимо пробросить в nat из iptables.

 

Решение: Применяем следующие настройки:

В Tandberg заходим в

Настройки — Сеть - Настройки IP – H.323 – Дополнительные настройки H.323 – Включаем Nat (прописываем IP внешний) и Ставим Статичные порты.

И перезапускаем tandberg.

Далее в iptables пробрасываем порты. И обязательно Прописать переменные LAN_IP=внутренний IP адрес , а NET_IP=внешний ip адрес

#TANDBERG

#1720

iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1720 -j DNAT --to-destination $LAN_IP

iptables -I FORWARD 1 -i eth2 -o eth1 -d $LAN_IP -p tcp -m tcp --dport 1720 -j ACCEPT

iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport 1720 -j SNAT --to-source 192.168.0.11

iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1720 -j DNAT --to-destination $LAN_IP

#-------------------------------------#

#1719

iptables -t nat -A PREROUTING --dst $INET_IP -p udp --dport 1719 -j DNAT --to-destination $LAN_IP

iptables -I FORWARD 2 -i eth2 -o eth1 -d $LAN_IP -p udp -m udp --dport 1719 -j ACCEPT

iptables -t nat -A POSTROUTING --dst $LAN_IP -p udp --dport 1719 -j SNAT --to-source 192.168.0.11

iptables -t nat -A OUTPUT --dst $INET_IP -p udp --dport 1719 -j DNAT --to-destination $LAN_IP

#Video-audio

iptables -t nat -A PREROUTING --dst $INET_IP -p udp --dport 2326:2485 -j DNAT --to-destination $LAN_IP

iptables -I FORWARD 3 -i eth2 -o eth1 -d $LAN_IP -p udp -m udp --dport 2326:2485 -j ACCEPT

iptables -t nat -A POSTROUTING --dst $LAN_IP -p udp --dport 2326:2485 -j SNAT --to-source 192.168.0.11

iptables -t nat -A OUTPUT --dst $INET_IP -p udp --dport 2326:2485 -j DNAT --to-destination $LAN_IP

#-------------------------------------#

iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 5555:5574 -j DNAT --to-destination $LAN_IP

iptables -I FORWARD 4 -i eth2 -o eth1 -d $LAN_IP -p tcp -m tcp --dport 5555:5574 -j ACCEPT

iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport 5555:5574 -j SNAT --to-source 192.168.0.11

iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 5555:5574 -j DNAT --to-destination $LAN_IP

 

3. Сохраняем и применяем настройки iptables.

лобановский александр интервью

Добавить комментарий

Защитный код
Обновить