LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
楼主: jerboa

RH8.0下让小局网内的同事上网

[复制链接]
发表于 2003-5-2 21:24:30 | 显示全部楼层
如果要邮件或者游戏,不需要wingate那样设置?直接拨号一样?
发表于 2003-5-31 00:49:01 | 显示全部楼层

请jerboa兄指点一下

jerboa兄,我看了你的贴子,用的56K猫,拨号用Kppp,怎样设置让其它的机器可以共享上网,我看了好多贴子,也照着做了,可就是不行呀,我想问一下你是怎样设置的,请指点一下,配置如下:
WINDOWS XP两台,集线器8口
Linux RH9.0做服务器,有一个56K猫
发表于 2003-6-2 05:45:11 | 显示全部楼层
请jerboa兄指点一下

jerboa兄,我看了你的贴子,用的56K猫,拨号用Kppp,怎样设置让其它的机器可以共享上网,我看了好多贴子,也照着做了,可就是不行呀,我想问一下你是怎样设置的,请指点一下,配置如下:
WINDOWS XP两台,集线器8口
Linux RH9.0做服务器,有一个56K猫


可能是防火墙太高吧。。
把防火墙关了试一下?
发表于 2003-8-6 14:44:51 | 显示全部楼层
我有两台机,一台是linux(rh9),一台是windowsXP,
我的ADSL是动态IP,没有指定的DNS和网关。

用linux做服务器,如何设置????
发表于 2003-9-2 13:54:31 | 显示全部楼层
利用iptables有状态能力,增加ESTABLISHED,RELATED 允许,但是,TCP发第一个包的时候状态是SYN,所以应答包受到时,应该通不过呀,我错在那里,请解释详细些!

最初由 jerboa 发表

2. iptables 是有状态的(stateful)。

有状态的意思是指如果一个包是对从防火墙原先发出去的包的回复,则自动不用检查任何规则就立即允许回复包进入并返回给请求者,这样我们不用设置许多规则定义就可实现应有的功能,在新的内核中使用这种有状态的能力是强烈地被推荐的,那么如何打开并使用这种功能呢? 见下图。 (图二)

1 modprobe ip_tables
2 echo 1 > /proc/sys/net/ipv4/ip_forward
3 iptables -F INPUT
4 iptables -F FORWARD
5 iptables -F POSTROUTING -t nat

6 iptables -P FORWARD DROP
7 iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
8 iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT
9 iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

10 iptables -A INPUT -p tcp -i eth0 --syn --dport 80 -j ACCEPT
11 iptables -A INPUT -p tcp -i eth0 --syn -j DROP

注:
1. 当使用redhat 的模块化内核时,装入ip_tables模块后,以后的命令将根据需要自行装入需要的模块。
另外注意,如果你装入了ipchains或者ipfwadm模块,则不能再装入iptables模块,可用rmmod命令移走它 们再装入iptables模块。在redhat下,可用ntsysv移走ipchains和iptables标记重启后运行上面的命令。
或者放入/etc/rc.d/rc.local中自动运行。
2. 第二行打开IP转发功能。
3. 第三四五行清除INPUT,FORWARD和POSTROUTING键规则
4. 第六行设置默认转发策略是DROP,当一个包被转发转则应用但不能应用到任何一条转发规则上则应用默认 规则。
5. 第七行转发本网段的机器到任何地方去的包。
6. 第八行利用了有状态的能力,只要是对先前从防火墙外部接口出去的请求包的回复,允许。
ESTABLISHED是指TCP连接,RELATED是指象主动FTP,ICMP ping请求等,当回复包到达时,实际上是检查文 件 /proc/net/ip_conntrack看是否在里面,如果在表中,则不检查任何链,包允许通过。
7. 第九行打开IP伪装能力,从eth0出去的包被重写源地址后伪装出去,是源地址SNAT的特例。这里要注意的是 -o eth0, 而不是 -i eth0,在iptables中,从一个接口出去的包用 -o,进来的包用 -i
8. 第十行说明如果这台防火墙也是WEB服务器,则允许外部的新建立的请求且目标端口为80的包可以进入
9. 第十一行对不是目标端口是80的所求TCP新的连接请求包,拒绝进入。

发表于 2003-10-29 22:25:10 | 显示全部楼层

感谢jerboa!!!!!

看到这个贴子,我已经解决了问题。
发表于 2003-11-20 12:02:59 | 显示全部楼层
Please tell me what's  mean about "24"  in the "iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MSQUERADE"
发表于 2003-11-21 10:26:40 | 显示全部楼层
不明白,是路由猫为什么还要用linux做NAT
发表于 2003-11-23 15:29:02 | 显示全部楼层
加上这段可能更安全点。
echo 1  > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
发表于 2003-11-26 13:19:24 | 显示全部楼层
呜呜,我的也出现如下错误:
iptables v1.2.8: Couldn't load target `MSQUERADE':/lib/iptables/libipt_MSQUERADE.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information
我的系统是Fedora Core,双网卡,一个连局域网,另一个连校园网,盼望哪位大侠救救我呀。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表