И так мы хотим для себя настроить интернет, можно пойти и купить обычный роутер с wi-fi стоимость от 1000 и более и не забивать себе мозг, воткнул кабель сделал пару действий и получил wi-fi и интернет. Но это подходит только для домашних пользователей, а для малых и не больших, да и больших организаций такой вариант не подходит, так как нагрузка на роутер возрастет в разы и Вы получить дохлый интернет и тумаки от руководства. А нам это нужно — нет!!! Для этих целей нужен мощный и производительный роутер стоимость от 25000 и выше.
Начальство денег может не дать, мол дорого и не нужно, а как я уже сказал, виноватыми будете ВЫ!. Наверняка у Вас есть старый завалявшийся комп с DDR, DDR2 еще лучше DDR3. Вот он как раз подойдет для организации интернет шлюза. Для этого нужно поставить две сетевые карточки (стоимость по 600р — пример ну и wi-Fi карточку стоимость примерно 1000р, согласитесь на много дешевле получается.)
Ставим ОС Ubuntu (14.04.3), на эту тему написано множество материала. Обновляем.
Исходные данные:
- Имя компьютера: ubnet
- Интернет (статичный или динамичный, Опишем статичный) Пример: 85.112.23.246 — eth0
- Локальная сеть 192.168.1.0/24 что значит эта запись смотрите здесь
- Локальный IP 192.168.1.2 — eth1
- DNS (кэширующий) IP:192.168.1.1
- DHCP IP:192.168.1.1
Настройка
Настраиваем сетевые интерфейсы
nano /etc/network/interfaces
auto eth0
iface eth0 inet static
address 85.112.23.246
netmask 255.255.255.0
gateway 85.112.23.65
dns-nameservers 192.168.1.1auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0pre-up /etc/net #Правила межсетевого экрана
Сохраняемся. Теперь создадим правила фаервола
touch /etc/net
chmod +x /etc/net
#!/bin/sh
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state —state ESTABLISHED,RELATED -j ACCEPT#Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
Все. Основные настройки произведены. Устанавливаем DNS и DHCP. Статьи описаны ранее.В будущем будет усложнять данную статью.
Дополнения:
Задача в нашей новой сети появился еще один клиент ssh(2222) пробрасываем порт наружу для соединения.
#Порт 2222
iptables -t nat -A PREROUTING —dst 85.112.23.246 -p tcp —dport 2222 -j DNAT —to-destination 192.168.1.2
iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.1.2 -p tcp -m tcp —dport 2222 -j ACCEPT
iptables -t nat -A POSTROUTING —dst 192.168.1.2 -p tcp —dport 2222 -j SNAT —to-source 192.168.1.1
iptables -t nat -A OUTPUT —dst 85.112.23.246 -p tcp —dport 2222 -j DNAT —to-destination 192.168.1.2
Протестируем из терминала
ssh -p 2222 root@85.112.23.246 — или по имени например: ubldap.domain.tld
Iptables проброс портов для tandberg
Какие порты IP используются H.323 и протоколом SIP для TANDBERG MXP оконечные точки?
Для H.323:
Обнаружение сторожевого устройства (RAS) — порт 1719 — UDP
Настройка вызова Вопрос. . 931 — порт 1720 — TCP
H.245 — диапазон портов 5555-5574 — TCP
Видео — диапазон портов 2326-2485 — UDP
Аудио — диапазон портов 2326-2485 — UDP
Data/FECC — Диапазон портов — 2326-2485 — UDP
Для SIP:
Сообщения SIP — порт 5060 — UDP/TCP
Сообщения SIP — порт 5061 — TLS (TCP)
H.245 — диапазон портов 5555-5574 — TCP
Видео — диапазон портов 2326-2485 — UDP
Аудио — диапазон портов 2326-2485 — UDP
Задача: Есть Tandberg 95 MXP со статичным IP (локальный – 192.168.1.28) и протоколом H.323. Его необходимо пробросить в nat из iptables.
Решение: Применяем следующие настройки:
В Tandberg заходим в
Настройки — Сеть — Настройки IP – H.323 – Дополнительные настройки H.323 – Включаем Nat (прописываем IP внешний) и Ставим Статичные порты.
И перезапускаем tandberg.
Далее в iptables пробрасываем порты. И обязательно Прописать переменные LAN_IP=внутренний IP адрес , а NET_IP=внешний ip адрес
#TANDBERG
#1720
iptables -t nat -A PREROUTING —dst $INET_IP -p tcp —dport 1720 -j DNAT —to-destination $LAN_IP
iptables -I FORWARD 1 -i eth2 -o eth1 -d $LAN_IP -p tcp -m tcp —dport 1720 -j ACCEPT
iptables -t nat -A POSTROUTING —dst $LAN_IP -p tcp —dport 1720 -j SNAT —to-source 192.168.0.11
iptables -t nat -A OUTPUT —dst $INET_IP -p tcp —dport 1720 -j DNAT —to-destination $LAN_IP
#————————————-#
#1719
iptables -t nat -A PREROUTING —dst $INET_IP -p udp —dport 1719 -j DNAT —to-destination $LAN_IP
iptables -I FORWARD 2 -i eth2 -o eth1 -d $LAN_IP -p udp -m udp —dport 1719 -j ACCEPT
iptables -t nat -A POSTROUTING —dst $LAN_IP -p udp —dport 1719 -j SNAT —to-source 192.168.0.11
iptables -t nat -A OUTPUT —dst $INET_IP -p udp —dport 1719 -j DNAT —to-destination $LAN_IP
#Video-audio
iptables -t nat -A PREROUTING —dst $INET_IP -p udp —dport 2326:2485 -j DNAT —to-destination $LAN_IP
iptables -I FORWARD 3 -i eth2 -o eth1 -d $LAN_IP -p udp -m udp —dport 2326:2485 -j ACCEPT
iptables -t nat -A POSTROUTING —dst $LAN_IP -p udp —dport 2326:2485 -j SNAT —to-source 192.168.0.11
iptables -t nat -A OUTPUT —dst $INET_IP -p udp —dport 2326:2485 -j DNAT —to-destination $LAN_IP
#————————————-#
iptables -t nat -A PREROUTING —dst $INET_IP -p tcp —dport 5555:5574 -j DNAT —to-destination $LAN_IP
iptables -I FORWARD 4 -i eth2 -o eth1 -d $LAN_IP -p tcp -m tcp —dport 5555:5574 -j ACCEPT
iptables -t nat -A POSTROUTING —dst $LAN_IP -p tcp —dport 5555:5574 -j SNAT —to-source 192.168.0.11
iptables -t nat -A OUTPUT —dst $INET_IP -p tcp —dport 5555:5574 -j DNAT —to-destination $LAN_IP
3. Сохраняем и применяем настройки iptables.
