АСТРАХАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра «СВЯЗЬ»
Маршрутизация
В операционных системах семейства
LINUX
Выполнил студент
группы ЗИССБ-41с
_______ Мочалов Д.Н.
Проверил преподаватель
_______ Сорокин А.А.
Астрахань 2015
Когда в среде Linux говорится о маршрутизации, то обычно подразумевается использование команды route для задания простейших маршрутов доставки информации. Но OS Linux способна на гораздо большее. Правильно сконфигурировав и настроив систему, можно получить стабильный и эффективный маршрутизатор.
В данной работе приведены примеры программных продуктов направленных на решение задач маршрутизации, а также рассмотрены примеры ручной настройки системы и параметров маршрутизатора.
Маршрутизатор – это устройство, управляющее трафиком. Данные. Передаваемые по IP-сетям, могут распространяться самыми разными путями. Все данные формируются в пакеты – отдельные блоки, посылаемые в сеть. В общем случае задача маршрутизатора состоит в выборе наилучшего из текущих маршрутов, следуя которому заданный пакет попадет в пункт своего назначения. Способ принятия такого решения зависит от используемого протокола маршрутизации. У каждого протокола свой алгоритм слежения за тем, какие маршруты доступны и какие из них наиболее эффективны.
RIP (Routing Information Protocol, протокол маршрутной информации) — довольно старый протокол, разработанный компанией Xerox и адаптированный для IP-сетей. Данный протокол используется демоном routed. Протокол RIP разрабатывался в те времена, когда компьютеры были размерами с холодильник и стоили сотни тысяч долларов. Понятно, что позволить себе компьютер мог не каждый пользователь, да и не было такой необходимости. А необходимость была только у крупных компаний, но, учитывая стоимость компьютеров, в большом количестве их никто все равно не покупал. Поэтому сети тех времен были небольшими. Протокол RIP считает все узлы, находящиеся на расстоянии пятнадцати и более переходов, недоступными. Следовательно, для крупных сетей, где между двумя компьютерами могут находиться 15 и более маршрутизаторов, применять RIP нельзя. Обычно RIP используется в локальных сетях, а вот для глобальной маршрутизации применяются более продвинутые протоколы. Протокол RIP поддер-живается по умолчанию операционными системами UNIX (точнее, всеми UNIX-подоб-ными системами) и Linux.
RIP-2 — это усовершенствованная версия протокола RIP. Самое важное усоршенство-вание — передача вместе с адресом следующего перехода сетевой маски. А это упрощает управление сетями, где есть подсети и используется протокол (Classless InterDomain Routing, бесклассовая адресация). Демон для протокола RIP-2 поддерживает протокол RIP. Вообще, RIP-2 предпочтительнее, чем первая версия, но в Linux по умолчанию отсутствует поддержка этого протокола.
Протокол OSPF (протокол обнаружения кратчайшего маршрута) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала. Используется для нахождения кратчайшего пути (маршрута). Протокол был разработан в 1988 году. Используется в крупных сетях со сложной топологией. По сравнению с RIP-2 имеет много преимуществ. В частности, OSPF работает быстрее, поскольку нет необходимости в выжидании многократных тайм-аутов по 30 секунд каждый, как в случае с RIP-2. Также быстро обнаруживаются отказавшие маршру-тизаторы, и протокол изменяет топологию сети так, чтобы пакеты пошли по другому маршруту — "в обход".
Кроме перечисленных протоколов, возможно, придется столкнуться еще с "пограничными протоколами":
• IGRP (Interior Gateway Routing Protocol) — протокол маршрутизации, разрабо-танный фирмой Cisco для своих многопротокольных маршрутизаторов;
кол динамической маршрутизации в Интернете. Предназначен для обмена информацией не между отдельными маршрутизаторами, а между целыми автономными системами (AS).
Маршрутизация для сети в целом представляет собой процесс перенаправления пакета от отправителя к получателю.
Маршрутизация для конечного узла представляет собой процесс перенаправления пакета с одного сетевого интерфейса на другой с использованием таблицы маршрутизации, содержащейся в ядре.
Для небольших сетей целесообразнее ограничиться ручной настройкой маршрутизации (статической). Для сложных сетей целесообразно использовать демоны маршрутизации (динамическая настройка маршрутизации).
Динамическая маршрутизация — вид маршрутизации, при котором таблица маршрутизации редактируется программно. В случае UNIX-систем демонами маршрутизации; в других системах — служебными программами, которые называются иначе, но фактически играют ту же роль.
Демоны маршрутизации обмениваются между собой информацией, которая позволяет им заполнить таблицу маршрутизации наиболее оптимальными маршрутами.
Демоны динамической маршрутизации: Quagga, GNU Zebra, XORP, Bird.
Как правило, демоны динамической маршрутизации поддерживают множество протоколов и используют информацию, полученную по одним протоколам для работы других.
В качестве программного обеспечения для упрощения создания маршрутизатора на базе операционных систем семейства Linux обычно используют специализированные системы такие как: m0n0wall, IPCop, zeroshell, PfSense, Smoothwall Express, Clarkconnekt.
Программный маршрутизатор m0n0wall отличается от своих аналогов относительно небольшим числом функций. С одной стороны это недостаток, с другой стороны преимущество — системные требования минимальны, а стабильность работы очень высокая. Если нужен хороший роутер без лишних прибамбасов, то m0n0wall — однозначно оптимальное решение. Несет в себе следующий функционал:
• Настройка через WEB-интерфейс;
• Управление с консоли для установки IP-адреса локального интерфейса, сброса пароля, восстановления настроек по умолчанию, перезагрузки;
• Поддержка WiFi (при наличии совместимой беспроводной сетевой карты), возможна работа в режиме точки доступа;
• Captive portal;
• Поддержка VLAN’ов (стандарт 802.1q);
• Поддержка IPv6;
• Фильтрация пакетов согласно правилам, логирование;
• DHCP-клиент, PPPoE, PPTP подключение к провайдеру (сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP);
• IPSec VPN сервер (IKE; поддержка мобильных клиентов и сертификатов);
• PPTP VPN сервер (с возможностью авторизации на внешнем RADIUS-сервере);
• Статические маршруты;
• DHCP-сервер и relay;
• Кэширующий DNS-форвардинг;
• DynDNS-клиент;
• SNMP-агент;
• QoS и ограничение скорости (шейпер).
IPCop, девизом которого, в вольном переводе, является "Плохие пакетам мочим сразу". IPCop имеет встроенный сервер DHCP, поэтому клиенты LAN могут автоматически получать IP-адреса, а также адреса шлюза и сервера DNS.
Как NAT-маршрутизатор, IPCop, отклоняет все запросы, приходящие из Интернета. Такой подход защищает компьютеры сети от атак из Интернета, но, в то же время, блокирует доступ и к внутренним серверам, например, Web или FTP. Естественно, IPCop, как и другие маршрутизаторы, может перенаправлять внешние запросы на машины локальной сети на основе портов (Port Forwarding). Кроме всего перечисленного, маршрутизатор IPCop способен ещё на многое. Например, он содержит встроенную систему Snort для обнаружения вторжений, которую можно настроить на отслеживание всех интерфейсов. Управление полосой пропускания ("Traffic shaping"). Можно задать разные приоритеты (высокий, средний или низкий) для различных сервисов или портов. Присутствует встроенный сервер IPsec VPN, который позволяет объединить две сети через Интернет, (как между двумя IPCop, так и между IPCop и другим IPsec-маршрутизатором). Технология VPN позволяет также подключить удалённый узел к настраиваемой сети (любой клиент IPsec подключается к IPCop). Сервер IPsec может работать с общим ключом/паролем или с сертификатом X.509.
Более продвинутый маршрутизатор zeroshell основан на Debian linux и обладает практически самым большим перечнем возможностей среди бесплатных программных роутеров «из коробки». Здесь есть HTTP-прокси с возможностью прозрачной работы, RADIUS-сервер, LDAP-сервер, NIS-сервер, полноценный DNS-сервер с возможностью ведения зон, инструментарий для создания защищенных Wi-Fi сетей, шейпер трафика, организация VPN как Host-to-LAN так и LAN-to-LAN, работа с несколькими интернет-каналами с возможностью распределения трафика по каналам или резервированием, работа с USB-модемами сотовых операторов, syslog-сервер, довольно неплохая статистика всех основных модулей на базе MRTG, есть пакеты для организации простого файлового сервера, мониторинга предотвращения сетевых атак, фаервол с возможностью фильтрации на 7м уровне, встроенный антивирус ClamAV с фильтрацией трафика. Это полный набор готовых к применению средств, развертывание и настройка которых в обычных условиях у среднестатистического начинающего сисадмина займет не одну неделю при наличии очень прямых рук. Разработкой zeroshellзанимается один человек — Fulvio Ricciardi.
Маршрутизатор pfSense - это роутер основанный на FreeBSD, а появился он как ответвление от проекта m0n0wall в 2006-м году. Если m0n0wall представляет собой простой программный маршрутизатор с базовым набором функций, то pfSense вобрал в себя почти весь функционал обычного BSD или linux дистрибутива, заточенного под сетевые нужды. Пожалуй, такого широкого функционала нет ни у одного программного роутера. Основные функции:
• Фаервол;
• Правила для ограничения количества подключений;
• Фильтрация трафика на основе данных об ОС пользователя;
• Возможность логирования событий, когда трафик удовлетворяет каким-либо прави-лам фаервола;
• Гибкая политика роутинга в случае использования нескольких каналов: балансиров-ка нагрузки, основной-резервный и пр;
• Любым IP-адресам и диапазонам можно назначать имена для более удобного состав-ления правил;
• Аппаратное резервирование. Две или более машины, с установленным pfSense, поз-воляют создать отказоустойчивый кластер;
• VPN: IPSec, PPTP, OpenVPN, PPPoE;
• Мониторинг всех параметров роутера;
• Динамический DNS. Поддерживается 13 сервисов;
• Captive Portal;
• DHCP-сервер;
PfSense можно запустить как LiveCD с возможностью хранить конфиг на сменном носителе, а можно честно установить на хард. В последнем случае функционал роутера можно расширять, доустанавливая нужные компоненты: веб-сервер, samba, radius-сервер, ftp-сервер и пр (более 50 различных дополнений). Минимальные системные требования выглядят следующим образом: Процессор: 100MHz Pentium 1; Оперативная память: 128 Mb.
SmoothWall Express - бесплатный маршрутизатор, firewall, proxy-сервер и др., основанный на собственной безопасности операционной системы Linux и имеет простой в использовании веб-интерфейс. Smoothwall - это полноценный межсетевой экран, по возможностям и производительности не уступающий многим аппаратным версиям. Устанавливается и работает на любом компьютерном железе, старом и новым. Распространяется под лицензией GPL и основывается на Linux с версией ядра 2.6 и в отличие от множества других решений на базе Linux, Smoothwall может похвастаться удобным графическим интерфейсом настройки программы. Используя любой браузер можно настроить даже самые продвинутые функции абсолютно без каких-либо проблем. Smoothwall предназначен для безопасной организации локальной сети предприятия с выходом в интернет.
Не секрет, что большинство пользователей привыкло к знакомому интерфейсу Windows, поэтому командная строка Linux их отнюдь не радует. Компания Point Clark Networks попыталась решить эту проблему, представив дистрибутив Linux ClarkConnect, в котором всё управление осуществляется через графический web-интерфейс. В целом, ClarkConnect подойдёт тем, кто желает получить все преимущества Linux, но не хочет разбираться с загадочными командами и десятками параметров различного программного обеспечения типа Apache.
Всего существует три версии ClarkConnect. Версия Professional включает межсетевой экран, VPN и шлюз; версия Office - всё то же самое, плюс web-сервер, файловый сервер и сервер печати. Цены Professional и Office достаточно обоснованы и демократичны ($55 и $65), причём доступны различные варианты поддержки и различные web-службы, например регистрация доменов и DNS.
Версия Home, является полностью бесплатной для некоммерческого использования. Однако для получения обновлений системы непосредственно от ClarkConnect необходимо зарегистрироваться. Бесплатные обновления будут доступны лишь ограниченный период времени, после чего придётся купить абонемент. Но так как система ClarkConnect выполнена на основе ядра RedHat Linux, получение обновлений и/или расширение функциональности системы можно легко выполнять и вручную.
Особого внимания заслуживает web-интерфейс администрирования ClarkConnect. Сразу после установки достаточно запустить браузер на любом компьютере в локальной сети и указать адрес сервера ClarkConnect. Система сразу же содержит ряд полезных служб, например, файловый сервер Samba, web-сервер Apache, а также приложение для просмотра изображений Photo Gallery. В то же время, ClarkConnect отличается от других дистрибутивов Linux простотой установки и настройки не только упомянутых, но и других приложений.
Далее будут рассмотрены примеры настройки маршрутизаторов на базе дистрибутивов Linux Ubuntu Server и Linux Debian.
Установка операционной системы Linux Ubuntu Server и настройка её в качестве домашнего шлюза.
На ресурсе http://www.ubuntu.com/download/desktopв зависимости от конфигурации оборудования находим и скачиваем подходящую версию программы. Далее переходим к установке.
Выбираем местоположение, Настройку клавиатуры не трогаем.
Начинается первичная подготовка к установке.
Далее предлагается выбрать основной сетевой интерфейс (WAN=eth0).
Выбираем имя будущего шлюза (homegateway).
Вводим имя пользователя и пароль, они же используются при доступе по SSH.
Выбираем будет ли шифроваться домашний каталог.
Выбираем временную зону.
Для разметки диска понадобится несколько разделов.
Выбираем диск, согласно предупреждениям.
Выбираем свободное место.
Создаем новые разделы.
Всего понадобится четыре раздела:
/boot – загрузочный раздел с загрузчиком и ядрами системы;
/- основной раздел (так называемый root)
/home - домашний каталог с информацией пользователя;
/swap - раздел подкачки.
Создаем раздел /boot. Для него достаточно 100 Мб (ядра и grub). Создаем его как первичный, файловая система ext2, помещаем его в начало диска, метка загрузочный «вкл», настройка раздела закончена.
Монтируем раздел /. В нем будут лежать все файлы системы, в него же будут ложиться устанавливаемые программы. Достаточно 4 Гб. Первичный. Начало. Файловая система ext4 (журналируемая), тока монтирования - /, загрузочный «выкл».
Раздел /home. В нем будут храниться все данные пользователя. В этом же каталоге создаются общие папки, для использования шлюза в качестве файлового хранилища. Размер оставшийся минус оперативная память. Настройки идентичны разделу /.
Раздел подкачки используем как раздел подкачки.
Разметка завершена.
Записать на диск.
Следует установка системы.
Выбираем: Open SSH server и Samba file server.
Устанавливаем системный загрузчик grub в главную загрузочную запись.
Установка системы завершена.
Логинимся. Обновляем список доступных пакетов.
Включаем поддержку кириллицы в консоли. Для этого из-под учётки рута вводим команду (строка 2).
Обновляем загрузочный образ, чтобы система грузилась с русской консолью (строка 5).
Перенастраиваем консоль на русский язык (строка 7), далее по пунктам.
Обновляем список пакетов. Делаем апгрейд, чтобы установить все обновления.
После завершения обновления перезагружаемся.
Настраиваем внутренний сетевой интерфейс и раздачу интернета во внутреннюю сеть.
Виден только один основной интерфейс.
С помощью команды nano открываем файл /ets/network/interfaces/, прописываем следующие строки.
eth1 – имя интерфейса второй сетевой карты, которая смотрит в локальную сеть.
Первая строка указывает системе поднимать порт при старте службы сети.
Вторая – что интерфейс будет статичным.
В третьей задаем адрес сетевого интерфейса.
Адреса внутренним компьютерам будут раздаваться из этой же подсети.
В четвертой задаем маску подсети.
Сохраняем изменения и перезапускаем сеть.
С помощью пакета dnsmasq настраиваем dns-сервер и раздачу ip-адресов во внутреннюю сеть.
Теперь необходимо настроить dnsmasq. Командой nano открываем файл /etc/dnsmasq.conf, изменяем три параметра конфига: interface делаем равным eth1 (т.к. он смотрит во внутреннюю сеть); раскоментируем параметр bind-interfaces; прописываем диапазон выдаваемых адресов в параметр dhcp-range.
Диапазон выдаваемых адресов задаем в той же подсети, что и наш интерфейс eth1/
8h – время аренды адреса.
Выходим командой clear.
Перезапускаем dnsmasq командой service dnsmasq restart.
Настраиваем NAT путем установки и настройки arno-iptables-firewall, настройка которого сводится к ответам на несколько вопросов.
Из соображений безопасности изменяем значение SSH порта на 4444.
В открытых UDP портах указываем порт 53 (DNS).
Указываем порт интерфейса, который смотрит во внутреннюю сеть (eth1).
Указываем диапазон внутренней подсети.
После установки следует командой dpkg-reconfigure повторно запустить конфигуратор arno-iptables-firewall, так как не включена трансляция сетевых адресов (NAT).
На следующий вопрос отвечаем положительно, т.к. ip-адрес от провайдера получаем в автоматическом режиме.
Далее отвечаем отрицательно, чтобы интернет думал, что шлюз выключен.
Следующий вопрос отвечаем положительно, если ответить «нет», то интернета у внутренней сети не будет.
Указываем внутреннюю подсеть (192.168.20.0/24).
Командой clear выходим из конфигуратора.
Сеть успешно настроена. Теперь к внутреннему интерфейсу можно подключить свитч, а к нему подключить компьютеры внутренней сети.
Настройка Linux роутера на базе дистрибутива Debian GNU/Linux
1. Настройка PPPOE
1.1Устанавливаем необходимые пакеты: #apt-get install pppoe pppd ifupdown
1.2Настраиваем файл /etc/network/interfaces:
#The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp
#The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
#The pppoe network interface
auto nameprovider # имя вашего интернет провайдера
iface nameprovider inet ppp
provider nameprovider
1.3 Создаем в директории /etc/ppp/peers/ файл nameprovider:
user логин #вместо слова логин пишем свой который дал провайдер
pty "/usr/sbin/pppoe -I eth0 -T 80 -m 1452"
noipdefault
usepeerdns
defaultroute
replacedefaultroute
hide-password
lcp-echo-interval 20
lcp-echo-failure 3
connect /bin/true
noauth
persist
maxfail 5
mtu 1492
noaccomp
default-asyncmap
1.4 Вписываем в файл /etc/ppp/chap-secrets:
# Secrets for authentication using CHAP
# client server secret IP addresses
логин * пароль *
1.5 Поднимаем интернет: #ifup nameprovider
Проверяем соединение: #ifconfig ppp0
2. Настройка шлюза.
2.1 Устанавливаем необходимые пакеты: #apt-get install dnsmasq rinetd
Dnsmasq это DHCP и DNS сервера в одной программе. Она может быть использована для создания подключения к интернету с возможностью автоматической выдачи IP адреса и одновременным кэшированием соответствия доменов их IP адресам (DNS-кэши-рование). Это кэширование дает отличный прирост скорости работы с интернетом, т.к. не нужно постоянно обращаться за IP адресом к DNS-серверу - он держит эти параметры у себя в кэше. Dnsmasq легковесное приложение, разработанное для персонального исполь-зования, или как DHCP сервер для сети, в которой не более 50 компьютеров.
2.2 Настройка iptables.
Создаем скрипт, и сохраним его в/etc/rc.router:
#!/bin/bash
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
#Описываем переменные
IPTS="/sbin/iptables"
LAN="eth1"
WAN="ppp0"
#Чистим правила
$IPTS -F
$IPTS -t nat -F
#Политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPTS -P INPUT ACCEPT
$IPTS -P OUTPUT ACCEPT
$IPTS -P FORWARD DROP
#Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
$IPTS -I INPUT 1 -i $LAN -j ACCEPT
$IPTS -I INPUT 1 -i lo -j ACCEPT
$IPTS -A INPUT -p UDP --dport bootps -i ! $LAN -j REJECT
$IPTS -A INPUT -p UDP --dport domain -i ! $LAN -j REJECT
#Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
$IPTS -A INPUT -p TCP -i ! $LAN -d 0/0 --dport 0:1023 -j DROP
$IPTS -A INPUT -p UDP -i ! $LAN -d 0/0 --dport 0:1023 -j DROP
#Сообщаем ядру, что ip-форвардинг разрешен
echo "1" > /proc/sys/net/ipv4/ip_forward
#Добавляем правила для NAT
$IPTS -I FORWARD -i $LAN -d 192.168.0.0/255.255.255.0 -j DROP
$IPTS -A FORWARD -i $LAN -s 192.168.0.0/255.255.255.0 -j ACCEPT
$IPTS -A FORWARD -i $WAN -d 192.168.0.0/255.255.255.0 -j ACCEPT
$IPTS -t nat -A POSTROUTING -o $WAN -j MASQUERADE
#время жизни пакета данных в протоколе IP
$IPTS -t mangle -A OUTPUT -o $WAN -j TTL --ttl-set 64
#запрещаем пинг
$IPTS -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP
$IPTS -A INPUT -i $WAN -p icmp --icmp-type 8 -j DROP
#Пробрасываем нужные порты
# для ФТП
$IPTS -t nat -A PREROUTING -p tcp --dport ftp-data -i $WAN -j DNAT --to 192.168.0.102
$IPTS -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTS -t nat -A PREROUTING -p tcp --dport 1024 -i $WAN -j DNAT --to 192.168.0.102
$IPTS -t nat -A PREROUTING -p tcp --dport ftp -i $WAN -j DNAT --to 192.168.0.102
$IPTS -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# для Веб сервера
$IPTS -t nat -A PREROUTING -p tcp --dport 80 -i $WAN -j DNAT --to 192.168.0.101
# для игрового сервера
$IPTS -t nat -A PREROUTING -p tcp --dport 2106 -i $WAN -j DNAT --to 192.168.0.40
$IPTS -t nat -A PREROUTING -p tcp --dport 7777 -i $WAN -j DNAT --to 192.168.0.40
# для ДНС сервера
$IPTS -t nat -A PREROUTING -p tcp --dport 53 -i $WAN -j DNAT --to 192.168.0.103
$IPTS -t nat -A PREROUTING -p udp --dport 53 -i $WAN -j DNAT --to 192.168.0.103
# Почтовый сервер
$IPTS -t nat -A PREROUTING -p udp --dport 110 -i $WAN -j DNAT --to 192.168.0.10
$IPTS -t nat -A PREROUTING -p tcp --dport 25 -i $WAN -j DNAT --to 192.168.0.10
Задаем права на выполнения, #chmod +x rc.router
2.3 Теперь напишем скрипт чтобы он запускался при каждой загрузке системы и сохра-ним его в /etc/init.d/iptables.
#!/bin/bash
IPTAB="/sbin/iptables"
RUN="/bin/bash"
PATH="/sbin:/bin:/usr/sbin:/usr/bin"
NAME="$0"
N="/etc/init.d/$NAME"
if [ ! -f /etc/rc.router ]; then
echo "/etc/rc.router does not exist"
exit 0
fi
case "$1" in
start|restart)
echo -n "Starting up iptables...."
$RUN /etc/rc.router
echo "DONE."
;;
stop)
$IPTAB -t filter -F
$IPTAB -t filter -X
$IPTAB -t nat -F
$IPTAB -t nat -X
$IPTAB -t mangle -F
$IPTAB -t mangle -X
echo "DONE."
exit 0;
;;
*)
echo "Usage: $N {start|restart|stop}">&2
exit 1
;;
esac
exit 0
Задаем права на выполнения, #chmod +x iptables
2.4Теперь создадим символические ссылки для /etc/init.d/iptables
/etc/rc0.d/K20iptables # завершение скрипта при выключении
/etc/rc1.d/S20iptables# запуск при single user mode
/etc/rc2.d/S20iptables # запуск при multi user mode
/etc/rc6.d/K20iptables # завершения скрипта при перезагрузки
2.5 Настрока rinetd (port forward).
Перейдем в папку «/etc» и найдем там файл «rinetd.conf»
Отредактируем файл таким образом:
#
# this is the configuration file for rinetd, the internet redirection server
#
# you may specify global allow and deny rules here
# only ip addresses are matched, hostnames cannot be specified here
# the wildcards you may use are * and ?
#
# allow 192.168.2.*
# deny 192.168.2.1?
#
# forwarding rules come here
#
# you may specify allow and deny rules after a specific forwarding rule
# to apply to only that forwarding rule
#
# bindadress bindport connectaddress connectport
# для веб сервера
188.16.38.55 80 192.168.0.101 80
# для правильной работы ФТП
188.16.38.55 1024 192.168.0.102 1024
188.16.38.55 21 192.168.0.102 21
188.16.38.55 20 192.168.0.102 20
# для игрового сервера
188.16.38.55 7777 192.168.0.40 7777
188.16.38.55 2106 192.168.0.40 2106
# для ДНС
188.16.38.55 53 192.168.0.103 53
# logging information
# logfile /var/log/rinetd.log
# uncomment the following line if you want web-server style logfile format
# logcommon
Кафедра «СВЯЗЬ»
