[Guest 80 247 100]

route add -net 192.168.0.13 -netmask 255.255.255.0 dev eth0
route add default gw 192.168.1.1 dev eth1

ipchains -P forward DENY
ipchains -A forward -i eth1 -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward


[s]Исправлено: Guest 80 247 100, 11:45 23-05-2003[/s]

[Patrick]

ИМХО, не так:

Цитата:

route add -net 192.168.0.13 -netmask 255.255.255.0 dev eth0

а вот так:
route add -net 192.168.0.0 netmask 255.255.255.0 eth0

А еще вместо

Цитата:

ipchains -A forward -i eth1 -j MASQ

у меня правило такого типа:

ipchains -A forward -s 192.168.0.13/255.255.255.0 -j MASQ

но это, по моему все равно.

А вообще маршруты

route add -net 192.168.0.0 netmask 255.255.255.0 eth0
route add -net 192.168.1.0 netmask 255.255.255.0 eth1

скорее всего у тебя уже есть в таблице маршрутизации
(не знаю как в Ред Хат, а *Слакваре мне добавил в таблицу маршрут типа:

route add -net 192.168.1.0 netmask 255.255.255.0 eth1

при поднятии eth1.

А маршрут
route add default gw 192.168.1.1 netmask 0.0.0.0 eth1
у тебя добавлен коль скоро ты при инсталляции указал default gateway

Короче, надо сделать route и посмотреть.
Если все маршруты в таблице есть, *остается сделать только:

Цитата:

ipchains -P forward DENY ipchains -A forward -i eth1 -j MASQ echo 1 > /proc/sys/net/ipv4/ip_forward

но у меня в таком порядке:

echo "1">/proc/sys/ipv4/ip_forward
ipchains -P forward DENY
ipchains -A forward -s 192.168.0.13/255.255.255.0 -j MASQ

хотя разницы, по-моему, нет.

Ну и еще, конечно, на компах в локалке default gateway должен быть указан 192.168.0.13

[s]Исправлено: Patrick, 13:58 23-05-2003[/s]

[Serg56]

Спасибо, буду разбираться.

Добавлено:

Что-то у меня ipchains не работает (протокол, мол недоступный)
Вообще наличие ipchains обязательно??

[Patrick]

ipchains позволяет маскировать ip локальных компов под реальный ip интерфейса, который смотрит в инет. Хост в инете, получивший пакет от компа в твоей локале, может отправить ответ только на реальный ip, который видно из инета. А уже шлюз разберет полученный пакет и найдет замаскированный айпишник локального компа, который отправил запрос. Эта процедура называется маскарадинг.
Его кроме ipchains могут делать ipfwadm (используется чаще во FreeBSD) и iptables (должен быть в RH8). Но с ними я не работал, точно не знаю какой там синтаксис, но принцип такой же - все пакеты, перенаправляемые (forward) из сети, куда сморит, например eth0, маскируются под ip 2-го интерфейса, в нашем случае, eth1. Короче, почитай мануал, там все написано. Вообще сделай
man ipchains
man iptables
man ipfwadm
и проверь есть ли эти утилиты.
Бывает правда, что ядро скомпилировано без поддержки маскарадинга, тогда надо собрать новое ядро и включить эту поддержку. Хотя в RH8, я думаю, по умалчанию маскарадинг должен поддерживаться.

Вообще можно и без маскарадинга, но тогда у тебя в таблице маршрутизации должны быть прописаны ВСЕ маршруты к тем хостам в инете, с которыми ты хочешь коннектиться, кроме того, на тех хостах тоже должен быть прописан маршрут к твоей локалке
Удачи

[Barracuda]

Patrick
Шляп 8.0 - тама iptables.
Serg56
Вместо echo "1">/proc/sys/ipv4/ip_forward можно подправить файлик /etc/sysctl.cfg или передать параметр через тот же самый sysctl(8)

[Dzenik]

А вот если хочеш ссылка на Easy Firewall Generator for IPTables
http://morizot.net/firewall/gen/index.php

P.S. Red Hat 9 - лутше (глюков меньше чем 8.0)

Всем привет.
1. Я долго думал как же тогда разоблачить такую сеть я имею ввиду вычислить внутренность, неподскажите?
2. Так получаеться что при маскарадинге никто не сможет со мной связаться из вне, я прав?
Поправте если я не так говорю

[Guest 80 247 100]

%о)

[biodos]

2glassMonk:Не сможешь ты связаться, и инета не будет .... будет глобальный апокалипсис .... )) Жизнь на этом закончится ....
Кстати народ, приольная была фишка, когда диалапный пров нас маскарадил ... причем маскарадил за goblin.elektrostal.ru прикольный домен ....
ps. связаться можно если есть связь .... было бы желание ....