iptables
30-07-2009 09:04
к комментариям - к полной версии
- понравилось!
http://www.netpatch.ru/dhcdrop.html
http://www.hack-info.ru/showthread.php?t=51826
http://forum.oszone.net/showthread.php?t=90514&page=all
#!/bin/sh
#IP внутренней сети, передаётся первым параметром
INT_IP=$1
#IP внешней сети
EXT_IP="192.168.0.1"
INT_PORT=$2
EXT_PORT=$3
#интерфейс, который смотрит во внутреннюю подсеть
INT_IF="br0"
#Это может пригодиться потом
#EXT_IF="vlan1"
Теперь по идее, запустив этот скрипт с параметрами, скажем
./portout 192.168.1.4 80 80
iptables -t nat -A PREROUTING -p tcp -d $EXT_IP --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
iptables -A FORWARD -i $INT_IF -d $INT_IP -p tcp --dport $INT_PORT -j ACCEPT
#*****************
iptables -A PREROUTING -t nat -p tcp -d $EXT_IP --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
iptables -A FORWARD -t filter -p all -i $EXT_IF -o $INT_IF -j ext-to-int
iptables -A FORWARD -t filter -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -N ext-to-int
iptables -A ext-to-int -p tcp -m multiport -d $INT_IP --dport INT_PORT,... -j ACCEPT
iptables -A ext-to-int -p all -d $INT_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
http://forum.oszone.net/showthread.php?t=90514&page=all
#********************************
iptables -L Chain INPUT
http://www.opennet.ru/openforum/vsluhforumID10/2223.html
Есть масса простых способов. Допустим, нужно проверить порт 60179 на машине с именем вох.
Тогда с консоли на вох пишем
netstat -an -f inet | grep LISTEN
если при этом найдется строчка вида
tcp 0 0 x.x.x.x.60179 *.* LISTEN
значит, искомый сервис запущен и работает, если нет, проблема решена.
В случае работоспособного сервиса идем дальше. На удаленной машине пишем
telnet вох 60179
или лучше поюзать nmap (брать с http://www.insecure.org/).
nmap -P0 -sT -p 60179 вох
Если telnet вываливается по тайм-ауту или nmap не пишет, что порт 60179 открыт - надо смотреть логи и правила firewall.
# в винде
route add 91.205.2.173 MASK 255.255.255.255 10.168.48.12
route add 91.205.2.169 MASK 255.255.255.255 10.168.48.12
# для mail.ru
route add 94.100.177.1 MASK 255.255.255.255 10.168.48.12
route add 94.100.177.6 MASK 255.255.255.255 10.168.48.12
route add -net 0.0.0.0/0 dev eth0
http://forum.lissyara.su/viewtopic.php?f=47&t=11421
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT --to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $INET_IP -j DNAT --to-destination $HTTP_IP:80
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $LAN_IP -j DNAT --to-destination $HTTP_IP:80
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 91.205.2.173:5005-5006
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 91.205.2.173
# http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT \
--to-source $LAN_IP
http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
http://forum.lissyara.su/viewtopic.php?f=47&t=11421
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT --to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $INET_IP -j DNAT --to-destination $HTTP_IP:80
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $LAN_IP -j DNAT --to-destination $HTTP_IP:80
(здесь myrouter==$INET_IP,$LAN_IP; myserv==$HTTP_IP)
$INET_IP="91.205.2.173"
$LAN_IP="10.168.48.12"
$HTTP_IP="10.168.48.199"
iptables -t nat -nx -L PREROUTING --line-numbers
iptables -t nat -D PREROUTING XX1
iptables -t nat -nx -L POSTROUTING --line-numbers
iptables -t nat -D POSTROUTING x2
iptables -F
iptables -X
http://www.opennet.ru/docs/RUS/iptables/#PREROUTINGCHAIN
http://wl500g.info/showthread.php?t=19001
iptables -t nat -I PREROUTING -i $WAN_IF -p tcp -d $WAN_IP --dport 3389 -j DNAT --to-destination 192.168.1.10:3389
iptables -t nat -I PREROUTING -o $WAN_IF -p tcp -s 192.168.1.10 --sport 3389 -j DNAT --to-destination $WAN_IP
iptables -I FORWARD -i $WAN_IF -p tcp -m tcp -d 192.168.1.10 --dport 3389 -j ACCEPT
iptables -I FORWARD -o $WAN_IF -p tcp -m tcp -s 192.168.1.10 --sport 3389 -j ACCEPT
$WAN_IF - eioa?oaen vlan1, ppp0...
$WAN_IP - aiaoiee aa?an
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
irina090889
/etc/aliases
http://www.sql.ru/forum/actualthread.aspx?tid=42883
http://technet.microsoft.com/ru-ru/library/ms174122.aspx
http://technet.microsoft.com/ru-ru/library/cc262792.aspx
http://io.ua/s1955
tail -f /var/log/messages > /dev/tty12
CTRL-N CTRL-Q CTRL+Shg-џN CTRL+Shg-џQ Alt+PtScr+S
#****************************
hostname
ifconfig | less
^C
ifconfig eth0 up
ifconfig eth1 up
ping 91.205.2.169
ping 91.205.2.173
ping 10.168.48.12
service named status
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -s 10.168.48.199 -j ACCEPT
iptables -A FORWARD -d 10.168.48.199 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp -d 10.168.48.12 --dport 5005 -j DNAT --to-destination 10.168.48.199:5005
iptables -t nat -I PREROUTING -i eth1 -p tcp -s 10.168.48.199 --sport 5005 -j DNAT --to-destination 10.168.48.12
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 10.168.48.199 --dport 5005 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 10.168.48.199 --sport 5005 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp -d 10.168.48.12 --dport 5006 -j DNAT --to-destination 10.168.48.199:5006
iptables -t nat -I PREROUTING -i eth1 -p tcp -s 10.168.48.199 --sport 5006 -j DNAT --to-destination 10.168.48.12
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 10.168.48.199 --dport 5006 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 10.168.48.199 --sport 5006 -j ACCEPT
#****************************
hostname
ifconfig | less
^C
ifconfig eth0 up
ifconfig eth1 up
ping 91.205.2.169
ping 91.205.2.173
ping 10.168.48.10
service named status
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -s 10.168.48.5 -j ACCEPT
iptables -A FORWARD -d 10.168.48.5 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
/etc/init.d/postfix restart
/etc/init.d/dovecot restart
route add -net 10.168.32.0/24 gw 10.168.48.1
tail -f /var/log/messages
named-checkzone novuzs.ru. /var/named/chroot/var/named/novuzs.com_0.db
iptables -L --line-number
kill PID 1111111
ip route list
route add default gw 91.205.2.170
route add 91.205.2.170 dev eth1
iptables -D FORWARD 16
smbd -D
netstat -r
ps -e0 pid,user,stat,cmd | greep mbd
#****************************
http://www.inattack.ru/article/153.html
Файловая система /proc является виpтуальной и в действительности она не существует на диске. Ядpо создает
ее в памяти компьютеpа. Система /proc пpедоставляет инфоpмацию о системе (изначально только о пpоцессах -
отсюда ее название). Некотоpые наиболее важные файлы и каталоги pассмотpены ниже.
/proc/cpuinfo Инфоpмация о пpоцессоpе, такая как тип пpоцессоpа, его модель, пpоизводительность и дp.
/proc/devices Список дpайвеpов устpойств, встpоенных в действующее ядpо.
/proc/dma Задействованные в данный момент каналы DMA.
/proc/filesystems Файловые системы, встpоенные в ядpо.
/proc/interrupts Задействованные в данный момент пpеpывания.
/proc/ioports Задействованные в данный момент поpты ввода/вывода.
/proc/net Инфоpмация о сетевых пpотоколах.
/proc/stat Различная статистическая инфоpмация о pаботе системы.
/proc/version Веpсия ядpа.
http://subnets.ru/blog/?p=516 http://subnets.ru/blog/?p=516
route add 10.10.0.0/16 10.10.1.1
если после выполнения команды вам говорится, что команда не найдена, то используйте полный путь до команды route (и для других команд):
/sbin/route
так же если прочитать:
man route
то можно узнать, что статический роутинг можно добавить и так:
/sbin/route add -net 10.10.0.0 -netmask 255.255.0.0 10.10.1.1
Просмотр таблицы маршрутизации выполняется командой:
netstat -rn
с полным путем:
/usr/bin/netstat -rn
Удаление:
/sbin/route delete 10.10.0.0/16
Linux
Добавление:
route add -net 10.10.0.0/16 gw 10.10.1.1
альтернатива:
ip route add 10.10.0.0/16 via 10.10.1.1
Просмотр таблицы:
route -n
или используйте:
ip route
Удаление:
route delete -net 10.10.0.0 netmask 255.255.0.0
Windows
Откройте командную строку (cmd).
Добавление:
route add 10.10.0.0 mask 255.255.0.0 10.10.1.1
Просмотр:
route print
Удаление:
route delete 10.10.0.0 mask 255.255.0.0 10.10.1.1http://www.lastportal.ru/216-sp2-dlja-microsoft-windows-vista.html
https://www.nic.ru/Для получения информации введите имя домена или IP-адрес:
Информация о домене NOVUZS.RU
Домен занят.
по данным WHOIS.NIC.RU:
% By submitting a query to RU-CENTER's Whois Service
% you agree to abide by the following terms of use:
% http://www.nic.ru/about/servpol.html (in Russian)
% http://www.nic.ru/about/en/servpol.html (in English).
domain: NOVUZS.RU
type: CORPORATE
nserver: ns.novtelecom.net
nserver: ns1.novtelecom.net
state: REGISTERED, NOT DELEGATED
phone: +7 8617 676767
phone: +7 8617 670201
phone: +7 8617 670221
fax-no: +7 8617 676767
fax-no: +7 8617 676226
e-mail: jayq61@novtelecom.net
e-mail: sk@novtelecom.net
org: Joint Stock Company "Novtelecom"
registrar: RU-CENTER-REG-RIPN
created: 2009.06.16
paid-till: 2010.06.16
source: RU-CENTER
Last updated on 2009.06.18 08:01:36 MSK/MSD
Описание полей в ответах WHOIS-сервиса о доменах
по данным WHOIS.RIPN.NET:
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).
domain: NOVUZS.RU
type: CORPORATE
nserver: ns.novtelecom.net.
nserver: ns1.novtelecom.net.
state: REGISTERED, NOT DELEGATED
org: Joint Stock Company "Novtelecom"
phone: +7 8617 676767
phone: +7 8617 670201
phone: +7 8617 670221
fax-no: +7 8617 676767
fax-no: +7 8617 676226
e-mail: jayq61@novtelecom.net
e-mail: sk@novtelecom.net
registrar: RU-CENTER-REG-RIPN
created: 2009.06.16
paid-till: 2010.06.16
source: TC-RIPN
Last updated on 2009.06.18 08:01:18 MSK/MSD
Описание полей в ответах WHOIS-сервиса о доменах
http://www.iho.ru/faq/sites/domains.html
Работает.
iptables -t nat -A PREROUTING -s 192.168.11.25 -p tcp --dport 27 -j DNAT --to-destination :25
Только что проверено мной.
ip route add 0.0.0.0/0 dev eth0
iptables -t filter -A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -t filter -A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
В FILTER
Код
iptables -t filter -A FORWARD -d 192.168.8.2 -p tcp -m multiport --dport 3389,4899 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.8.2 -j ACCEPT
В NAT
Код
iptables -t nat -A PREROUTING -d 88.85.81.23 -p tcp -m multiport --dport 3389,4899 -j DNAT --to-destination 192.168.8.2
iptables -t nat -A POSTROUTING -s 192.168.8.2 -j SNAT --to-source 88.85.81.23
Ну вот вродебы и все. Ну и конечно не забываем про nmap и про http://www.opennet.ru/docs/RUS/iptables/
netstat : показывает все текущие сетевые подключения.
netstat -an : показывает подключения к серверу, с какого IP на какой порт.
netstat -rn : показывает таблицу IP маршрутизации.
http://road2web.net/knowledgebase.php?action=displayarticle&catid=6&id=15
tail : аналог команды cat, только читает файлы с конца.
tail /var/log/messages : покажет последние 20 (по умолчанию) строк файла /var/log/messages
tail -f /var/log/messages : выводит листинг файла непрерывно, по мере его обновления.
tail -200 /var/log/messages : выведет на экран последние 200 строк с указанного файла.
Заметьте, эта строка выполняет выборку пакетов согласно их метке.
# ip route add default via 19.168.1.100 dev eth0:1 table sniffing
# ip route flush cachehttp:
//forum.ru-board.com/topic.cgi?forum=8&topic=6991
iptables -L INPUT --line-numbers
iptables -D INPUT номер
iptables -t nat -L POSTROUTING --line-numbers
iptables -t nat -D POSTROUTING номер
здравствуйте!
у меня заблокировалась карта ANDREY IVANOV
5211 6673 9892 7285 874
3 дня не могу дозвониться - вообше дозвониться НЕВОЗМОЖНО!
ПОМОГИТЕ пожалуйста!
- если можно ответте по телефону +79184357220
777-6-777 (Москва)
8-800-2-000-767 8-800-2-000-767 (бесплатный номер при звонке из любого города России)
e-mail: help@finsb.ru
http://www.netup.ru/Reverse_DNS_Setup_RIPE_registration.php
http://www.linuxcenter.ru/enc/servers.phtml
http://tula.bofh.ru/articles/77
iptables -t nat -I PREROUTING -p tcp -d --dport 44151 -j DNAT --to-destination 172.16.1.151
iptables -t nat -I PREROUTING -p udp -d --dport 44151 -j DNAT --to-destination 172.16.1.151
iptables -I FORWARD -p tcp -d 172.16.1.151 --dport 44151 -j ACCEPT
iptables -I FORWARD -p udp -d 172.16.1.151 --dport 44151 -j ACCEPT
Здесь - мой внешний реальный IP-шник, а 172.16.1.151 -- статический IP-шник NAS, который и сосёт торренты в меру своих сил. Т.е. внешний порт :44151 форвардится на 172.16.1.151:44151
http://easylinux.ru/node/287
http://www.lissyara.su/?id=1167
http://easylinux.ru/node/287
http://rus-linux.net/MyLDP/kernel/kernel_config.html
http://www.rhd.ru/docs/manuals/enterprise/RHEL-AS-...ustom-guide/custom-kernel.html
http://www.realcoding.net/article/view/1677
MoLTsvJb4K andrey2nuclear
http://forum.ru-board.com/topic.cgi?forum=8&topic=6991
#включил маскарадинг щаз рутится все
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Полиси выставил в дроп. Т.е. пакеты что не удовлетворяет правилам дропаются
iptables -P FORWARD DROP
#теперь даю компу админа права играться во всякие смешные игрушки
iptables -A FORWARD -s 192.168.1.1 -j ACCEPT
iptables -A FORWARD -d 192.168.1.1 -j ACCEPT
# а теперь самый геморой - всем остальным тушкам в сети дать почту
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
по iptables -nL вижу:
[root@localhost root]# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 192.168.1.1
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
http://webmoney-relog.com/index.php.mode=5&art=9
2.3. Установка пакета
В первую очередь посмотрим как собрать (скомпилировать) пакет iptables. Сборка пакета в значительной степени зависит от конфигурации ядра и вы должны это понимать. Некоторые дистрибутивы предполагают предустановку пакета iptables, один из них -- Red Hat. Однако, в RedHat этот пакет по умолчанию выключен, поэтому ниже мы рассмотрим как его включить в данном и в других дистрибутивах.
2.3.1. Сборка пакета
Для начала пакет с исходными текстами iptables нужно распаковать. Мы будем рассматривать пакет iptables 1.2.6a и ядро серии 2.4. Распакуем как обычно, командой bzip2 -cd iptables-1.2.6a.tar.bz2 | tar -xvf - (распаковку можно выполнить такжк командой tar -xjvf iptables-1.2.6a.tar.bz2). Если распаковка прошла удачно, то пакет будет размещен в каталоге iptables-1.2.6a. За дополнительной информацией вы можете обратиться к файлу iptables-1.2.6a/INSTALL, который содержит подробную информацию по сборке и установке пакета.
Далее необходимо проверить включение в ядро дополнительных модулей и опций. Шаги, описываемые здесь, будут касаться только наложения "заплат" (patches) на ядро. На этом шаге мы установим обновления, которые, как ожидается, будут включены в ядро в будущем.
Некоторые из них находятся пока на экспериментальной стадии и наложение этих заплат может оказаться не всегда оправданной, однако среди них есть чрезвычайно интересные функции и действия.
Выполним этот шаг, набрав команду (естественно, обладая правами пользователя root)
make pending-patches KERNEL_DIR=/usr/src/linux/
Переменная KERNEL_DIR должна содержать путь к исходным текстам вашего ядра. Обычно это /usr/src/linux/. Если исходные тексты у вас расположены в другом месте, то, соответственно, вы должны указать свой путь.
Здесь предполагается выполнить несколько обновлений и дополнений, которые определенно войдут в состав ядра, но несколько позднее, сейчас же мы возьмем их отсюда выполнив команду:
make most-of-pom KERNEL_DIR=/usr/src/linux/
В процессе выполнения вышеприведенной команды у вас будет запрашиваться подтверждение на обновление каждого раздела из того, что в мире netfilter называется patch-o-matic. Чтобы установить все "заплатки" из patch-o-matic, вам нужно выполнить следующую команду:
make patch-o-matic KERNEL_DIR=/usr/src/linux/
Не забудьте внимательно и до конца прочитать справку по каждой "заплатке" до того как вы будете устанавливать что-либо, поскольку одни "заплатки" могут оказаться несовместимы с другими, а некоторые -- при совместном наложении даже разрушить ядро.
Вы можете вообще пропустить обновление ядра, другими словами особой нужды в таком обновлении нет, однако patch-o-matic содержит действительно интересные обновления, и у вас вполне может возникнуть желание посмотреть на них. Ничего страшного не случится, если вы запустите эти команды и посмотрите какие обновления имеются.
После завершения обновления, вам необходимо будет пересобрать ядро, добавив в него только что установленные обновления. Не забудьте сначала выполнить конфигурирование ядра, поскольку установленные обновления скорее всего окажутся выключенными. В принципе, можно подождать с компиляцией ядра до тех пор пока вы не закончите установку iptables.
Продолжая сборку iptables, запустите команду:
make KERNEL_DIR=/usr/src/linux/
Если в процессе сборки возникли какие либо проблемы, то можете попытаться разрешить их самостоятельно, либо обратиться на Netfilter mailing list, где вам смогут помочь. Там вы найдете пояснения, что могло быть сделано вами неправильно при установке, так что сразу не паникуйте. Если это не помогло -- постарайтесь поразмыслить логически, возможно это поможет. Или обратитесь к знакомому "гуру".
Если все прошло гладко, то следовательно вы готовы к установке исполняемых модулей (binaries), для чего запустите следующую команду:
make install KERNEL_DIR=/usr/src/linux/
Надеюсь, что здесь-то проблем не возникло! Теперь для использования пакета iptables вам определенно потребуется пересобрать и переустановить ядро, если вы до сих пор этого не сделали. Дополнительную информацию по установке пакета вы найдете в файле INSTALL.
2.3.2. Установка в Red Hat 7.1
RedHAt 7.1, с установленным ядром 2.4.x уже включает предустановленные netfilter и iptables. Однако, для сохранения обратной совместимости с предыдущими дистрибутивами, по умолчанию работает пакет ipchains. Сейчас мы коротко разберем - как удалить ipchains и запустить вместо него iptables.
Версия iptables в Red Hat 7.1 сильно устарела и, наверное неплохим решением будет установить более новую версию.
Для начала нужно отключить ipchains, чтобы предотвратить загрузку соответствующих модулей в будущем. Чтобы добиться этого, нам потребуется изменить имена некоторых файлов в дереве каталогов /etc/rc.d/. Следующая команда, выполнит требуемые действия:
chkconfig --level 0123456 ipchains off
В результате выполнения этой команды, в некоторых именах ссылок, указывающих на файлы в каталоге /etc/rc.d/init.d/ipchains, символ S (который сообщает, что данный сценарий отрабатывает на запуске системы) будет заменен символом K (от слова Kill, который указывает на то, что сценарий отрабатывает, при завершении работы системы. Таким образом мы предотвратим запуск ненужного сервиса в будущем.
Однако ipchains по-прежнему остаются в работе. Теперь надо выполнить команду, которая остановит этот сервис:
service ipchains stop
И в заключение необходимо запустить сервис iptables. Для этого, во-первых, надо определиться с уровнями запуска операционной системы, на которых нужно стартовать этот сервис. Обычно это уровни 2, 3 и 5. Об этих уровнях мы знаем:
* 2. Многопользовательский режим без поддержки NFS или то же самое, что и 3, но без сетевой поддержки.
* 3. Полнофункциональный многопользовательский режим.
* 5. X11. Данный уровень используется для автоматической загрузки Xwindows.
Чтобы запустить iptables на этих уровнях нужно выполнить команду:
chkconfig --level 235 iptables on
Хочется упомянуть об уровнях, на которых не требуется запуска iptables: Уровень 1 -- однопользовательский режим работы, как правило используется в экстренных случаях, когда мы "поднимаем" "упавшую" систему. Уровень 4 -- вообще не должен использоваться. Уровень выполнения 6 -- это уровень остановки системы при выключении или перезагрузке компьютера.
Для активации сервиса iptables подадим команду:
service iptables start
Итак, мы запустили iptables, но у нас пока еще нет ни одного правила. Чтобы добавить новые правила в Red Hat 7.1 можно пойти двумя путями, во-первых: подправить файл /etc/rc.d/init.d/iptables, но этот способ имеет одно негативное свойство -- при обновлении iptables из RPM-пакетов все ваши правила будут утеряны, а во-вторых: занести правила и сохранить их командой iptables-save, сохраненные таким образом правила будут автоматически восстанавливаться при загрузке системы.
В случае, если вы избрали первый вариант установки правил в iptables, то вам необходимо занести их в секцию start сценария /etc/rc.d/init.d/iptables (для установки правил при загрузке системы) или в функцию start(). Для выполнения действий при остановке системы -- внесите соответствующие изменения в секцию stop) или в функцию stop(). Так же не забудьте про секции restart и condrestart. Хочется еще раз напомнить, что в случае обновления iptables из RPM-пакетов или через автоматическое обновление по сети, вы можете утерять все изменения, внесенные в файл /etc/rc.d/init.d/iptables.
Второй способ загрузки правил предпочтительнее. Он предполагает следующие шаги. Для начала -- запишите правила в файл или непосредственно, через команду iptables, смотря что для вас предпочтительнее. Затем исполните команду iptables-save. Эта команда эквивалентна команде iptables-save > /etc/sysconfig/iptables. В результате, весь набор правил будет сохранен в файле /etc/sysconfig/iptables, который автоматически подгружается при запуске сервиса iptables. Другим способом сохранить набор правил будет подача команды service iptables save, которая полностью идентична вышеприведенной команде. Впоследствии, при перезагрузке компьютера, сценарий iptables из rc.d будет выполнять команду iptables-restore для загрузки набора правил из файла /etc/sysconfig/iptables.
И наконец, в завершение установки, неплохо было бы удалить старые версии ipchains и iptables. Это необходимо сделать для того, чтобы система не "перепутала" старый пакет iptables с вновь установленным. Удаление старого пакета iptables необходимо произвести только в том случае, если вы производили установку из исходных текстов. Дело в том, что RPM пакеты устанавливаются в несколько иное место нежели пакеты, собранные из исходных текстов, а поэтому новый пакет не "затирает" старый. Чтобы выполнить деинсталляцию предыдущей версии iptables выполните следующую команду:
rpm -e iptables
Аналогичным образом удалим и ipchains, поскольку оставлять этот пакет в системе более нет никакого смысла.
rpm -e ipchains
Глава 3. Порядок прохождения таблиц и цепочек
В этой главе мы рассмотрим порядок прохождения таблиц и цепочек в каждой таблице. Эта информация будет очень важна для вас позднее, когда вы начнете строить свои наборы правил, особенно когда в наборы правил будут включаться такие действия как DNAT, SNAT и конечно же TOS.
3.1. Общие положения
Когда пакет приходит на наш брандмауэр, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину. Порядок следования пакета приводится ниже:
http://webmoney-relog.com/index.php.mode=5&art=9
3.1415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170... 8214808651328230664709384460955058223172535940812848111745028410270193852110555964462294895493038... 442881097566593344612847564823378678316527120190914564856692346034861045432664821339360726024
2,718281828459045
linux-headers-2.6.26-1-all
ftp://ftp.rhd.ru/pub/redhat/linux/6.2/en/iso/i386/
292101696
20480112
Итак, простейший способ восстановления пароля суперпользователя.
Краткое вступление.
При загрузке ядру передается некоторое количество параметров, определяющих режимы работы и окружение ядра. Одним из ключевых параметров является init, определеющий программу (по умолчанию /sbin/init) "инициализирущую" систему и порождающую остальные процессы.
В меню загрузчика выбираем систему, в которой желаем восстановить пароль.
Если у вас grub:
Нажимаем "e"
выделяем строку "kernel /boot/vmlinuz...."
нажав дописываем в конце строки "init=/bin/sh"
продолжаем загрузку, нажав "b";
если lilo:
дописываем к параметрам "init=/bin/sh"
для продолжения загрузки.
В результате этих манипуляций получаем командный интерпретатор с правами суперпользователя. КомандойБез подсветки
1:
mount / -o remount,rw
перемонтируем корневую файловую систему в режим чтение/запись, далееБез подсветки
1:
passwd
вводим два раза новый пароль и перезагружаемся командой Без подсветки
1:
reboot
Добро пожаловать в систему.
http://forum.vingrad.ru/faq/topic-167282/kw-root-p...ery-пароль-восстановление.html
Итак, простейший способ восстановления пароля суперпользователя.
Краткое вступление.
При загрузке ядру передается некоторое количество параметров, определяющих режимы работы и окружение ядра. Одним из ключевых параметров является init, определеющий программу (по умолчанию /sbin/init) "инициализирущую" систему и порождающую остальные процессы.
В меню загрузчика выбираем систему, в которой желаем восстановить пароль.
Если у вас grub:
Нажимаем "e"
выделяем строку "kernel /boot/vmlinuz...."
нажав дописываем в конце строки "init=/bin/sh"
продолжаем загрузку, нажав "b";
если lilo:
дописываем к параметрам "init=/bin/sh"
для продолжения загрузки.
В результате этих манипуляций получаем командный интерпретатор с правами суперпользователя. КомандойБез подсветки
1:
mount / -o remount,rw
перемонтируем корневую файловую систему в режим чтение/запись, далееБез подсветки
1:
passwd
вводим два раза новый пароль и перезагружаемся командой Без подсветки
1:
reboot
Добро пожаловать в систему.
http://www.puppyrus.org/articles/Kompilirovanie-yadra-i-modulei.html
# cd/usr/src/linux-2.6.18.1
# make modules
# make modules_install
... после этого вы должны найти новые модули установленными в папке /lib/modules/2.6.18.1.
http://www.linuxgrill.com/anonymous/fire/ipchains/download/
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
http://www.allsoftlist.ru/cat_6.html
http://news.zelow.no/floppyfw
http://av5.com/journals-magazines-online/1/33/274
http://www.root.ua/materialy/stati/full/article/malenkie-linux/507.html
Russian FloppyFW Jelezka
/lib/modules/2.6.19/kernel/net...
http://www.zelow.no/floppyfw/download/floppyfw-3.0/floppyfw-3.0.5/modules/
http://www.zelow.no/floppyfw/download.html
http://www.dialektika.com/PDF/5-8459-1082-X/content.pdf
http://skif.bas-net.by/bsuir/admin/node37.html
http://skif.bas-net.by/bsuir/admin/node37.html
http://www.opennet.ru/base/sys/live_flash2.txt.html
ftp://ftp.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.tar.bz2
ftp://ftp.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.19
# mount --bind /home/knoppix/Desktop/linux-2.4.26/ /usr/src/linux-2.4.26/
# ls -l /usr/src/linux-2.4.26/
Затем вам нужна конфигурация с которой было собрано ваше ядро. Вроде бы везде ее оставляют в /boot
# ls /boot
System.map System.map-2.6.6 config-2.6.6 debianlilo.bmp sid.bmp vmlinuz-2.4.26
System.map-2.4.26 config-2.4.26 debian.bmp sarge.bmp vmlinuz vmlinuz-2.6.6
В моем случае - config-2.4.26
Далее:
# cd /usr/src/linux-2.4.26/
# cp /boot/config-2.4.26 ./.config
# make oldconfig
Теперь идем в директорию куда вы распаковали драйвера (ведь распаковали уже?) и компилируем их
# make
http://www.gs.ru/info/si/ss2lin24.html
Посмотреть свою версию ядра можно командой # cat /proc/version
unama -r
http://rpmfind.net/linux/RPM/ASP/i386/RPMS.7.3/ipchains-1.3.10-13.i386.html
/etc/init.d/ipchains start
http://osdir.com/ml/linux.asplinux.support/2002-03/msg00047.html
http://www.opennet.ru/docs/252.shtml
http://guruadmin.ru/page/kak-izmenit-yadro-ubuntu-linux
http://citforum.ru/operating_systems/articles/masquerade.shtml
http://citforum.ru/operating_systems/articles/masquerade.shtml
route add -host 192.168.100.1 eth1
--http://www.linuxcenter.ru/lib/articles/networking/nat.phtml
что означает: машина 192.168.100.1 подсоединена непосредственно к интерфейсу eth1. Далее, укажем, что все пакеты, предназначенные для интернета отсылать через машину провайдера:
route add default gw 192.168.100.1
1. Настройка iptables на компьютере, подключенном к выделенной линии:
iptables -A FORWARD -i EXTIF -o INTIF -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i INTIF -o EXTIF -j ACCEPT
iptables -t nat -A POSTROUTING -o EXTIF -j MASQUERADE
INTIF - ваш внутренний интерфейс (предположим, что это eth1), к которому подключается второй компьютер, а EXTIF - внешний (допустим, eth0), смотрящий в нет. Здесь и далее все настройки приводятся исходя из этих предположений.
2. Там же - Разрешаем форвардинг IPv4:
echo 1 > /proc/sys/net/ipv4/ip_forward
желательно это прописать, скажем, в /etc/rc.d/rc.local - для выполнения при загрузке.
3. Поднимаем внутренний сетевой интерфейс.
ifconfig INTIF 192.168.93.1 netmask 255.255.255.0 up
или же используем какую-нибудь утилиту из состава дистрибутива, вроде system-config-network.
Для автовыполнения прописываем в /etc/rc.d/rc.local или настраиваем через сервис network, прописывая в /etc/sysconfig/networking/devices/ifcfg-eth1 что-то вроде:
# Please read /usr/share/doc/initscripts-*/sysconfig.txt
# for the documentation of these parameters.
IPV6INIT=no
ONBOOT=yes
USERCTL=no
PEERDNS=no
TYPE=Ethernet
DEVICE=INTIF
HWADDR=00:0f:7g:8e:46:0d
BOOTPROTO=none
NETMASK=255.255.255.0
IPADDR=192.168.93.1
BROADCAST=192.168.93.255
NETWORK=192.168.93.0
4. Там же - в настройках DHCP (/etc/dhcpd.conf) прописываем свою локальную сеть:
ddns-update-style ad-hoc;
subnet 192.168.93.0 netmask 255.255.255.0 {
option routers 192.168.93.1;
option ntp-servers 192.168.93.1;
option domain-name-servers 81.9.4.2, 217.170.80.83;
range 192.168.93.2 192.168.93.9;
allow unknown-clients;
}
в данном примере у моей машины (машрутизатора) адрес 192.168.93.1, он не пересекается с адресами, выдаваемыми провайдером. Не забудьте указать опцию routers! Без неё dhclient на клиентской машине не пропишет дефолтный гейтвей, и фокус не получится. Адреса DNS берём из /etc/resolv.conf.
4. (пере)запускаем dhcpd и iptables. Зависит от дистрибутива, но в RedHat-ориентированных это будет
service network restart
service dhcpd restart
service iptables restart
===
http://www.proza.ru/2009/04/28/784
Чтобы удалить маршрут к конечной точке 10.41.0.0 с маской подсети 255.255.0.0, введите команду:
route delete 10.41.0.0 mask 255.255.0.0
http://www.xakep.ru/magazine/xa/104/134/1.asp
http://www.permlug.org/node/4431/
вверх^
к полной версии
понравилось!
в evernote
http://www.netpatch.ru/dhcdrop.html
http://www.hack-info.ru/showthread.php?t=51826
http://forum.oszone.net/showthread.php?t=90514&page=all
#!/bin/sh
#IP внутренней сети, передаётся первым параметром
INT_IP=$1
#IP внешней сети
EXT_IP="192.168.0.1"
INT_PORT=$2
EXT_PORT=$3
#интерфейс, который смотрит во внутреннюю подсеть
INT_IF="br0"
#Это может пригодиться потом
#EXT_IF="vlan1"
Теперь по идее, запустив этот скрипт с параметрами, скажем
./portout 192.168.1.4 80 80
iptables -t nat -A PREROUTING -p tcp -d $EXT_IP --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
iptables -A FORWARD -i $INT_IF -d $INT_IP -p tcp --dport $INT_PORT -j ACCEPT
#*****************
iptables -A PREROUTING -t nat -p tcp -d $EXT_IP --dport $EXT_PORT -j DNAT --to-destination $INT_IP:$INT_PORT
iptables -A FORWARD -t filter -p all -i $EXT_IF -o $INT_IF -j ext-to-int
iptables -A FORWARD -t filter -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -N ext-to-int
iptables -A ext-to-int -p tcp -m multiport -d $INT_IP --dport INT_PORT,... -j ACCEPT
iptables -A ext-to-int -p all -d $INT_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
http://forum.oszone.net/showthread.php?t=90514&page=all
#********************************
iptables -L Chain INPUT
http://www.opennet.ru/openforum/vsluhforumID10/2223.html
Есть масса простых способов. Допустим, нужно проверить порт 60179 на машине с именем вох.
Тогда с консоли на вох пишем
netstat -an -f inet | grep LISTEN
если при этом найдется строчка вида
tcp 0 0 x.x.x.x.60179 *.* LISTEN
значит, искомый сервис запущен и работает, если нет, проблема решена.
В случае работоспособного сервиса идем дальше. На удаленной машине пишем
telnet вох 60179
или лучше поюзать nmap (брать с http://www.insecure.org/).
nmap -P0 -sT -p 60179 вох
Если telnet вываливается по тайм-ауту или nmap не пишет, что порт 60179 открыт - надо смотреть логи и правила firewall.
# в винде
route add 91.205.2.173 MASK 255.255.255.255 10.168.48.12
route add 91.205.2.169 MASK 255.255.255.255 10.168.48.12
# для mail.ru
route add 94.100.177.1 MASK 255.255.255.255 10.168.48.12
route add 94.100.177.6 MASK 255.255.255.255 10.168.48.12
route add -net 0.0.0.0/0 dev eth0
http://forum.lissyara.su/viewtopic.php?f=47&t=11421
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT --to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $INET_IP -j DNAT --to-destination $HTTP_IP:80
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $LAN_IP -j DNAT --to-destination $HTTP_IP:80
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 91.205.2.173:5005-5006
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 91.205.2.173
# http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT \
--to-source $LAN_IP
http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
http://forum.lissyara.su/viewtopic.php?f=47&t=11421
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT --to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $INET_IP -j DNAT --to-destination $HTTP_IP:80
iptables -t nat -A PREROUTING -p TCP --dport 81 -i $LAN_IP -j DNAT --to-destination $HTTP_IP:80
(здесь myrouter==$INET_IP,$LAN_IP; myserv==$HTTP_IP)
$INET_IP="91.205.2.173"
$LAN_IP="10.168.48.12"
$HTTP_IP="10.168.48.199"
iptables -t nat -nx -L PREROUTING --line-numbers
iptables -t nat -D PREROUTING XX1
iptables -t nat -nx -L POSTROUTING --line-numbers
iptables -t nat -D POSTROUTING x2
iptables -F
iptables -X
http://www.opennet.ru/docs/RUS/iptables/#PREROUTINGCHAIN
http://wl500g.info/showthread.php?t=19001
iptables -t nat -I PREROUTING -i $WAN_IF -p tcp -d $WAN_IP --dport 3389 -j DNAT --to-destination 192.168.1.10:3389
iptables -t nat -I PREROUTING -o $WAN_IF -p tcp -s 192.168.1.10 --sport 3389 -j DNAT --to-destination $WAN_IP
iptables -I FORWARD -i $WAN_IF -p tcp -m tcp -d 192.168.1.10 --dport 3389 -j ACCEPT
iptables -I FORWARD -o $WAN_IF -p tcp -m tcp -s 192.168.1.10 --sport 3389 -j ACCEPT
$WAN_IF - eioa?oaen vlan1, ppp0...
$WAN_IP - aiaoiee aa?an
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
irina090889
/etc/aliases
http://www.sql.ru/forum/actualthread.aspx?tid=42883
http://technet.microsoft.com/ru-ru/library/ms174122.aspx
http://technet.microsoft.com/ru-ru/library/cc262792.aspx
http://io.ua/s1955
tail -f /var/log/messages > /dev/tty12
CTRL-N CTRL-Q CTRL+Shg-џN CTRL+Shg-џQ Alt+PtScr+S
#****************************
hostname
ifconfig | less
^C
ifconfig eth0 up
ifconfig eth1 up
ping 91.205.2.169
ping 91.205.2.173
ping 10.168.48.12
service named status
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -s 10.168.48.199 -j ACCEPT
iptables -A FORWARD -d 10.168.48.199 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp -d 10.168.48.12 --dport 5005 -j DNAT --to-destination 10.168.48.199:5005
iptables -t nat -I PREROUTING -i eth1 -p tcp -s 10.168.48.199 --sport 5005 -j DNAT --to-destination 10.168.48.12
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 10.168.48.199 --dport 5005 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 10.168.48.199 --sport 5005 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp -d 10.168.48.12 --dport 5006 -j DNAT --to-destination 10.168.48.199:5006
iptables -t nat -I PREROUTING -i eth1 -p tcp -s 10.168.48.199 --sport 5006 -j DNAT --to-destination 10.168.48.12
iptables -I FORWARD -i eth1 -p tcp -m tcp -d 10.168.48.199 --dport 5006 -j ACCEPT
iptables -I FORWARD -o eth1 -p tcp -m tcp -s 10.168.48.199 --sport 5006 -j ACCEPT
#****************************
hostname
ifconfig | less
^C
ifconfig eth0 up
ifconfig eth1 up
ping 91.205.2.169
ping 91.205.2.173
ping 10.168.48.10
service named status
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -s 10.168.48.5 -j ACCEPT
iptables -A FORWARD -d 10.168.48.5 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
/etc/init.d/postfix restart
/etc/init.d/dovecot restart
route add -net 10.168.32.0/24 gw 10.168.48.1
tail -f /var/log/messages
named-checkzone novuzs.ru. /var/named/chroot/var/named/novuzs.com_0.db
iptables -L --line-number
kill PID 1111111
ip route list
route add default gw 91.205.2.170
route add 91.205.2.170 dev eth1
iptables -D FORWARD 16
smbd -D
netstat -r
ps -e0 pid,user,stat,cmd | greep mbd
#****************************
http://www.inattack.ru/article/153.html
Файловая система /proc является виpтуальной и в действительности она не существует на диске. Ядpо создает
ее в памяти компьютеpа. Система /proc пpедоставляет инфоpмацию о системе (изначально только о пpоцессах -
отсюда ее название). Некотоpые наиболее важные файлы и каталоги pассмотpены ниже.
/proc/cpuinfo Инфоpмация о пpоцессоpе, такая как тип пpоцессоpа, его модель, пpоизводительность и дp.
/proc/devices Список дpайвеpов устpойств, встpоенных в действующее ядpо.
/proc/dma Задействованные в данный момент каналы DMA.
/proc/filesystems Файловые системы, встpоенные в ядpо.
/proc/interrupts Задействованные в данный момент пpеpывания.
/proc/ioports Задействованные в данный момент поpты ввода/вывода.
/proc/net Инфоpмация о сетевых пpотоколах.
/proc/stat Различная статистическая инфоpмация о pаботе системы.
/proc/version Веpсия ядpа.
http://subnets.ru/blog/?p=516 http://subnets.ru/blog/?p=516
route add 10.10.0.0/16 10.10.1.1
если после выполнения команды вам говорится, что команда не найдена, то используйте полный путь до команды route (и для других команд):
/sbin/route
так же если прочитать:
man route
то можно узнать, что статический роутинг можно добавить и так:
/sbin/route add -net 10.10.0.0 -netmask 255.255.0.0 10.10.1.1
Просмотр таблицы маршрутизации выполняется командой:
netstat -rn
с полным путем:
/usr/bin/netstat -rn
Удаление:
/sbin/route delete 10.10.0.0/16
Linux
Добавление:
route add -net 10.10.0.0/16 gw 10.10.1.1
альтернатива:
ip route add 10.10.0.0/16 via 10.10.1.1
Просмотр таблицы:
route -n
или используйте:
ip route
Удаление:
route delete -net 10.10.0.0 netmask 255.255.0.0
Windows
Откройте командную строку (cmd).
Добавление:
route add 10.10.0.0 mask 255.255.0.0 10.10.1.1
Просмотр:
route print
Удаление:
route delete 10.10.0.0 mask 255.255.0.0 10.10.1.1http://www.lastportal.ru/216-sp2-dlja-microsoft-windows-vista.html
https://www.nic.ru/Для получения информации введите имя домена или IP-адрес:
Информация о домене NOVUZS.RU
Домен занят.
по данным WHOIS.NIC.RU:
% By submitting a query to RU-CENTER's Whois Service
% you agree to abide by the following terms of use:
% http://www.nic.ru/about/servpol.html (in Russian)
% http://www.nic.ru/about/en/servpol.html (in English).
domain: NOVUZS.RU
type: CORPORATE
nserver: ns.novtelecom.net
nserver: ns1.novtelecom.net
state: REGISTERED, NOT DELEGATED
phone: +7 8617 676767
phone: +7 8617 670201
phone: +7 8617 670221
fax-no: +7 8617 676767
fax-no: +7 8617 676226
e-mail: jayq61@novtelecom.net
e-mail: sk@novtelecom.net
org: Joint Stock Company "Novtelecom"
registrar: RU-CENTER-REG-RIPN
created: 2009.06.16
paid-till: 2010.06.16
source: RU-CENTER
Last updated on 2009.06.18 08:01:36 MSK/MSD
Описание полей в ответах WHOIS-сервиса о доменах
по данным WHOIS.RIPN.NET:
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).
domain: NOVUZS.RU
type: CORPORATE
nserver: ns.novtelecom.net.
nserver: ns1.novtelecom.net.
state: REGISTERED, NOT DELEGATED
org: Joint Stock Company "Novtelecom"
phone: +7 8617 676767
phone: +7 8617 670201
phone: +7 8617 670221
fax-no: +7 8617 676767
fax-no: +7 8617 676226
e-mail: jayq61@novtelecom.net
e-mail: sk@novtelecom.net
registrar: RU-CENTER-REG-RIPN
created: 2009.06.16
paid-till: 2010.06.16
source: TC-RIPN
Last updated on 2009.06.18 08:01:18 MSK/MSD
Описание полей в ответах WHOIS-сервиса о доменах
http://www.iho.ru/faq/sites/domains.html
Работает.
iptables -t nat -A PREROUTING -s 192.168.11.25 -p tcp --dport 27 -j DNAT --to-destination :25
Только что проверено мной.
ip route add 0.0.0.0/0 dev eth0
iptables -t filter -A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -t filter -A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
В FILTER
Код
iptables -t filter -A FORWARD -d 192.168.8.2 -p tcp -m multiport --dport 3389,4899 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.8.2 -j ACCEPT
В NAT
Код
iptables -t nat -A PREROUTING -d 88.85.81.23 -p tcp -m multiport --dport 3389,4899 -j DNAT --to-destination 192.168.8.2
iptables -t nat -A POSTROUTING -s 192.168.8.2 -j SNAT --to-source 88.85.81.23
Ну вот вродебы и все. Ну и конечно не забываем про nmap и про http://www.opennet.ru/docs/RUS/iptables/
netstat : показывает все текущие сетевые подключения.
netstat -an : показывает подключения к серверу, с какого IP на какой порт.
netstat -rn : показывает таблицу IP маршрутизации.
http://road2web.net/knowledgebase.php?action=displayarticle&catid=6&id=15
tail : аналог команды cat, только читает файлы с конца.
tail /var/log/messages : покажет последние 20 (по умолчанию) строк файла /var/log/messages
tail -f /var/log/messages : выводит листинг файла непрерывно, по мере его обновления.
tail -200 /var/log/messages : выведет на экран последние 200 строк с указанного файла.
Заметьте, эта строка выполняет выборку пакетов согласно их метке.
# ip route add default via 19.168.1.100 dev eth0:1 table sniffing
# ip route flush cachehttp:
//forum.ru-board.com/topic.cgi?forum=8&topic=6991
iptables -L INPUT --line-numbers
iptables -D INPUT номер
iptables -t nat -L POSTROUTING --line-numbers
iptables -t nat -D POSTROUTING номер
здравствуйте!
у меня заблокировалась карта ANDREY IVANOV
5211 6673 9892 7285 874
3 дня не могу дозвониться - вообше дозвониться НЕВОЗМОЖНО!
ПОМОГИТЕ пожалуйста!
- если можно ответте по телефону +79184357220
777-6-777 (Москва)
8-800-2-000-767 8-800-2-000-767 (бесплатный номер при звонке из любого города России)
e-mail: help@finsb.ru
http://www.netup.ru/Reverse_DNS_Setup_RIPE_registration.php
http://www.linuxcenter.ru/enc/servers.phtml
http://tula.bofh.ru/articles/77
iptables -t nat -I PREROUTING -p tcp -d --dport 44151 -j DNAT --to-destination 172.16.1.151
iptables -t nat -I PREROUTING -p udp -d --dport 44151 -j DNAT --to-destination 172.16.1.151
iptables -I FORWARD -p tcp -d 172.16.1.151 --dport 44151 -j ACCEPT
iptables -I FORWARD -p udp -d 172.16.1.151 --dport 44151 -j ACCEPT
Здесь - мой внешний реальный IP-шник, а 172.16.1.151 -- статический IP-шник NAS, который и сосёт торренты в меру своих сил. Т.е. внешний порт :44151 форвардится на 172.16.1.151:44151
http://easylinux.ru/node/287
http://www.lissyara.su/?id=1167
http://easylinux.ru/node/287
http://rus-linux.net/MyLDP/kernel/kernel_config.html
http://www.rhd.ru/docs/manuals/enterprise/RHEL-AS-...ustom-guide/custom-kernel.html
http://www.realcoding.net/article/view/1677
MoLTsvJb4K andrey2nuclear
http://forum.ru-board.com/topic.cgi?forum=8&topic=6991
#включил маскарадинг щаз рутится все
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Полиси выставил в дроп. Т.е. пакеты что не удовлетворяет правилам дропаются
iptables -P FORWARD DROP
#теперь даю компу админа права играться во всякие смешные игрушки
iptables -A FORWARD -s 192.168.1.1 -j ACCEPT
iptables -A FORWARD -d 192.168.1.1 -j ACCEPT
# а теперь самый геморой - всем остальным тушкам в сети дать почту
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
по iptables -nL вижу:
[root@localhost root]# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 192.168.1.1
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
http://webmoney-relog.com/index.php.mode=5&art=9
2.3. Установка пакета
В первую очередь посмотрим как собрать (скомпилировать) пакет iptables. Сборка пакета в значительной степени зависит от конфигурации ядра и вы должны это понимать. Некоторые дистрибутивы предполагают предустановку пакета iptables, один из них -- Red Hat. Однако, в RedHat этот пакет по умолчанию выключен, поэтому ниже мы рассмотрим как его включить в данном и в других дистрибутивах.
2.3.1. Сборка пакета
Для начала пакет с исходными текстами iptables нужно распаковать. Мы будем рассматривать пакет iptables 1.2.6a и ядро серии 2.4. Распакуем как обычно, командой bzip2 -cd iptables-1.2.6a.tar.bz2 | tar -xvf - (распаковку можно выполнить такжк командой tar -xjvf iptables-1.2.6a.tar.bz2). Если распаковка прошла удачно, то пакет будет размещен в каталоге iptables-1.2.6a. За дополнительной информацией вы можете обратиться к файлу iptables-1.2.6a/INSTALL, который содержит подробную информацию по сборке и установке пакета.
Далее необходимо проверить включение в ядро дополнительных модулей и опций. Шаги, описываемые здесь, будут касаться только наложения "заплат" (patches) на ядро. На этом шаге мы установим обновления, которые, как ожидается, будут включены в ядро в будущем.
Некоторые из них находятся пока на экспериментальной стадии и наложение этих заплат может оказаться не всегда оправданной, однако среди них есть чрезвычайно интересные функции и действия.
Выполним этот шаг, набрав команду (естественно, обладая правами пользователя root)
make pending-patches KERNEL_DIR=/usr/src/linux/
Переменная KERNEL_DIR должна содержать путь к исходным текстам вашего ядра. Обычно это /usr/src/linux/. Если исходные тексты у вас расположены в другом месте, то, соответственно, вы должны указать свой путь.
Здесь предполагается выполнить несколько обновлений и дополнений, которые определенно войдут в состав ядра, но несколько позднее, сейчас же мы возьмем их отсюда выполнив команду:
make most-of-pom KERNEL_DIR=/usr/src/linux/
В процессе выполнения вышеприведенной команды у вас будет запрашиваться подтверждение на обновление каждого раздела из того, что в мире netfilter называется patch-o-matic. Чтобы установить все "заплатки" из patch-o-matic, вам нужно выполнить следующую команду:
make patch-o-matic KERNEL_DIR=/usr/src/linux/
Не забудьте внимательно и до конца прочитать справку по каждой "заплатке" до того как вы будете устанавливать что-либо, поскольку одни "заплатки" могут оказаться несовместимы с другими, а некоторые -- при совместном наложении даже разрушить ядро.
Вы можете вообще пропустить обновление ядра, другими словами особой нужды в таком обновлении нет, однако patch-o-matic содержит действительно интересные обновления, и у вас вполне может возникнуть желание посмотреть на них. Ничего страшного не случится, если вы запустите эти команды и посмотрите какие обновления имеются.
После завершения обновления, вам необходимо будет пересобрать ядро, добавив в него только что установленные обновления. Не забудьте сначала выполнить конфигурирование ядра, поскольку установленные обновления скорее всего окажутся выключенными. В принципе, можно подождать с компиляцией ядра до тех пор пока вы не закончите установку iptables.
Продолжая сборку iptables, запустите команду:
make KERNEL_DIR=/usr/src/linux/
Если в процессе сборки возникли какие либо проблемы, то можете попытаться разрешить их самостоятельно, либо обратиться на Netfilter mailing list, где вам смогут помочь. Там вы найдете пояснения, что могло быть сделано вами неправильно при установке, так что сразу не паникуйте. Если это не помогло -- постарайтесь поразмыслить логически, возможно это поможет. Или обратитесь к знакомому "гуру".
Если все прошло гладко, то следовательно вы готовы к установке исполняемых модулей (binaries), для чего запустите следующую команду:
make install KERNEL_DIR=/usr/src/linux/
Надеюсь, что здесь-то проблем не возникло! Теперь для использования пакета iptables вам определенно потребуется пересобрать и переустановить ядро, если вы до сих пор этого не сделали. Дополнительную информацию по установке пакета вы найдете в файле INSTALL.
2.3.2. Установка в Red Hat 7.1
RedHAt 7.1, с установленным ядром 2.4.x уже включает предустановленные netfilter и iptables. Однако, для сохранения обратной совместимости с предыдущими дистрибутивами, по умолчанию работает пакет ipchains. Сейчас мы коротко разберем - как удалить ipchains и запустить вместо него iptables.
Версия iptables в Red Hat 7.1 сильно устарела и, наверное неплохим решением будет установить более новую версию.
Для начала нужно отключить ipchains, чтобы предотвратить загрузку соответствующих модулей в будущем. Чтобы добиться этого, нам потребуется изменить имена некоторых файлов в дереве каталогов /etc/rc.d/. Следующая команда, выполнит требуемые действия:
chkconfig --level 0123456 ipchains off
В результате выполнения этой команды, в некоторых именах ссылок, указывающих на файлы в каталоге /etc/rc.d/init.d/ipchains, символ S (который сообщает, что данный сценарий отрабатывает на запуске системы) будет заменен символом K (от слова Kill, который указывает на то, что сценарий отрабатывает, при завершении работы системы. Таким образом мы предотвратим запуск ненужного сервиса в будущем.
Однако ipchains по-прежнему остаются в работе. Теперь надо выполнить команду, которая остановит этот сервис:
service ipchains stop
И в заключение необходимо запустить сервис iptables. Для этого, во-первых, надо определиться с уровнями запуска операционной системы, на которых нужно стартовать этот сервис. Обычно это уровни 2, 3 и 5. Об этих уровнях мы знаем:
* 2. Многопользовательский режим без поддержки NFS или то же самое, что и 3, но без сетевой поддержки.
* 3. Полнофункциональный многопользовательский режим.
* 5. X11. Данный уровень используется для автоматической загрузки Xwindows.
Чтобы запустить iptables на этих уровнях нужно выполнить команду:
chkconfig --level 235 iptables on
Хочется упомянуть об уровнях, на которых не требуется запуска iptables: Уровень 1 -- однопользовательский режим работы, как правило используется в экстренных случаях, когда мы "поднимаем" "упавшую" систему. Уровень 4 -- вообще не должен использоваться. Уровень выполнения 6 -- это уровень остановки системы при выключении или перезагрузке компьютера.
Для активации сервиса iptables подадим команду:
service iptables start
Итак, мы запустили iptables, но у нас пока еще нет ни одного правила. Чтобы добавить новые правила в Red Hat 7.1 можно пойти двумя путями, во-первых: подправить файл /etc/rc.d/init.d/iptables, но этот способ имеет одно негативное свойство -- при обновлении iptables из RPM-пакетов все ваши правила будут утеряны, а во-вторых: занести правила и сохранить их командой iptables-save, сохраненные таким образом правила будут автоматически восстанавливаться при загрузке системы.
В случае, если вы избрали первый вариант установки правил в iptables, то вам необходимо занести их в секцию start сценария /etc/rc.d/init.d/iptables (для установки правил при загрузке системы) или в функцию start(). Для выполнения действий при остановке системы -- внесите соответствующие изменения в секцию stop) или в функцию stop(). Так же не забудьте про секции restart и condrestart. Хочется еще раз напомнить, что в случае обновления iptables из RPM-пакетов или через автоматическое обновление по сети, вы можете утерять все изменения, внесенные в файл /etc/rc.d/init.d/iptables.
Второй способ загрузки правил предпочтительнее. Он предполагает следующие шаги. Для начала -- запишите правила в файл или непосредственно, через команду iptables, смотря что для вас предпочтительнее. Затем исполните команду iptables-save. Эта команда эквивалентна команде iptables-save > /etc/sysconfig/iptables. В результате, весь набор правил будет сохранен в файле /etc/sysconfig/iptables, который автоматически подгружается при запуске сервиса iptables. Другим способом сохранить набор правил будет подача команды service iptables save, которая полностью идентична вышеприведенной команде. Впоследствии, при перезагрузке компьютера, сценарий iptables из rc.d будет выполнять команду iptables-restore для загрузки набора правил из файла /etc/sysconfig/iptables.
И наконец, в завершение установки, неплохо было бы удалить старые версии ipchains и iptables. Это необходимо сделать для того, чтобы система не "перепутала" старый пакет iptables с вновь установленным. Удаление старого пакета iptables необходимо произвести только в том случае, если вы производили установку из исходных текстов. Дело в том, что RPM пакеты устанавливаются в несколько иное место нежели пакеты, собранные из исходных текстов, а поэтому новый пакет не "затирает" старый. Чтобы выполнить деинсталляцию предыдущей версии iptables выполните следующую команду:
rpm -e iptables
Аналогичным образом удалим и ipchains, поскольку оставлять этот пакет в системе более нет никакого смысла.
rpm -e ipchains
Глава 3. Порядок прохождения таблиц и цепочек
В этой главе мы рассмотрим порядок прохождения таблиц и цепочек в каждой таблице. Эта информация будет очень важна для вас позднее, когда вы начнете строить свои наборы правил, особенно когда в наборы правил будут включаться такие действия как DNAT, SNAT и конечно же TOS.
3.1. Общие положения
Когда пакет приходит на наш брандмауэр, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину. Порядок следования пакета приводится ниже:
http://webmoney-relog.com/index.php.mode=5&art=9
3.1415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170... 8214808651328230664709384460955058223172535940812848111745028410270193852110555964462294895493038... 442881097566593344612847564823378678316527120190914564856692346034861045432664821339360726024
2,718281828459045
linux-headers-2.6.26-1-all
ftp://ftp.rhd.ru/pub/redhat/linux/6.2/en/iso/i386/
292101696
20480112
Итак, простейший способ восстановления пароля суперпользователя.
Краткое вступление.
При загрузке ядру передается некоторое количество параметров, определяющих режимы работы и окружение ядра. Одним из ключевых параметров является init, определеющий программу (по умолчанию /sbin/init) "инициализирущую" систему и порождающую остальные процессы.
В меню загрузчика выбираем систему, в которой желаем восстановить пароль.
Если у вас grub:
Нажимаем "e"
выделяем строку "kernel /boot/vmlinuz...."
нажав
продолжаем загрузку, нажав "b";
если lilo:
дописываем к параметрам "init=/bin/sh"
В результате этих манипуляций получаем командный интерпретатор с правами суперпользователя. КомандойБез подсветки
1:
mount / -o remount,rw
перемонтируем корневую файловую систему в режим чтение/запись, далееБез подсветки
1:
passwd
вводим два раза новый пароль и перезагружаемся командой Без подсветки
1:
reboot
Добро пожаловать в систему.
http://forum.vingrad.ru/faq/topic-167282/kw-root-p...ery-пароль-восстановление.html
Итак, простейший способ восстановления пароля суперпользователя.
Краткое вступление.
При загрузке ядру передается некоторое количество параметров, определяющих режимы работы и окружение ядра. Одним из ключевых параметров является init, определеющий программу (по умолчанию /sbin/init) "инициализирущую" систему и порождающую остальные процессы.
В меню загрузчика выбираем систему, в которой желаем восстановить пароль.
Если у вас grub:
Нажимаем "e"
выделяем строку "kernel /boot/vmlinuz...."
нажав
продолжаем загрузку, нажав "b";
если lilo:
дописываем к параметрам "init=/bin/sh"
В результате этих манипуляций получаем командный интерпретатор с правами суперпользователя. КомандойБез подсветки
1:
mount / -o remount,rw
перемонтируем корневую файловую систему в режим чтение/запись, далееБез подсветки
1:
passwd
вводим два раза новый пароль и перезагружаемся командой Без подсветки
1:
reboot
Добро пожаловать в систему.
http://www.puppyrus.org/articles/Kompilirovanie-yadra-i-modulei.html
# cd/usr/src/linux-2.6.18.1
# make modules
# make modules_install
... после этого вы должны найти новые модули установленными в папке /lib/modules/2.6.18.1.
http://www.linuxgrill.com/anonymous/fire/ipchains/download/
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
http://www.allsoftlist.ru/cat_6.html
http://news.zelow.no/floppyfw
http://av5.com/journals-magazines-online/1/33/274
http://www.root.ua/materialy/stati/full/article/malenkie-linux/507.html
Russian FloppyFW Jelezka
/lib/modules/2.6.19/kernel/net...
http://www.zelow.no/floppyfw/download/floppyfw-3.0/floppyfw-3.0.5/modules/
http://www.zelow.no/floppyfw/download.html
http://www.dialektika.com/PDF/5-8459-1082-X/content.pdf
http://skif.bas-net.by/bsuir/admin/node37.html
http://skif.bas-net.by/bsuir/admin/node37.html
http://www.opennet.ru/base/sys/live_flash2.txt.html
ftp://ftp.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.tar.bz2
ftp://ftp.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.19
# mount --bind /home/knoppix/Desktop/linux-2.4.26/ /usr/src/linux-2.4.26/
# ls -l /usr/src/linux-2.4.26/
Затем вам нужна конфигурация с которой было собрано ваше ядро. Вроде бы везде ее оставляют в /boot
# ls /boot
System.map System.map-2.6.6 config-2.6.6 debianlilo.bmp sid.bmp vmlinuz-2.4.26
System.map-2.4.26 config-2.4.26 debian.bmp sarge.bmp vmlinuz vmlinuz-2.6.6
В моем случае - config-2.4.26
Далее:
# cd /usr/src/linux-2.4.26/
# cp /boot/config-2.4.26 ./.config
# make oldconfig
Теперь идем в директорию куда вы распаковали драйвера (ведь распаковали уже?) и компилируем их
# make
http://www.gs.ru/info/si/ss2lin24.html
Посмотреть свою версию ядра можно командой # cat /proc/version
unama -r
http://rpmfind.net/linux/RPM/ASP/i386/RPMS.7.3/ipchains-1.3.10-13.i386.html
/etc/init.d/ipchains start
http://osdir.com/ml/linux.asplinux.support/2002-03/msg00047.html
http://www.opennet.ru/docs/252.shtml
http://guruadmin.ru/page/kak-izmenit-yadro-ubuntu-linux
http://citforum.ru/operating_systems/articles/masquerade.shtml
http://citforum.ru/operating_systems/articles/masquerade.shtml
route add -host 192.168.100.1 eth1
--http://www.linuxcenter.ru/lib/articles/networking/nat.phtml
что означает: машина 192.168.100.1 подсоединена непосредственно к интерфейсу eth1. Далее, укажем, что все пакеты, предназначенные для интернета отсылать через машину провайдера:
route add default gw 192.168.100.1
1. Настройка iptables на компьютере, подключенном к выделенной линии:
iptables -A FORWARD -i EXTIF -o INTIF -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i INTIF -o EXTIF -j ACCEPT
iptables -t nat -A POSTROUTING -o EXTIF -j MASQUERADE
INTIF - ваш внутренний интерфейс (предположим, что это eth1), к которому подключается второй компьютер, а EXTIF - внешний (допустим, eth0), смотрящий в нет. Здесь и далее все настройки приводятся исходя из этих предположений.
2. Там же - Разрешаем форвардинг IPv4:
echo 1 > /proc/sys/net/ipv4/ip_forward
желательно это прописать, скажем, в /etc/rc.d/rc.local - для выполнения при загрузке.
3. Поднимаем внутренний сетевой интерфейс.
ifconfig INTIF 192.168.93.1 netmask 255.255.255.0 up
или же используем какую-нибудь утилиту из состава дистрибутива, вроде system-config-network.
Для автовыполнения прописываем в /etc/rc.d/rc.local или настраиваем через сервис network, прописывая в /etc/sysconfig/networking/devices/ifcfg-eth1 что-то вроде:
# Please read /usr/share/doc/initscripts-*/sysconfig.txt
# for the documentation of these parameters.
IPV6INIT=no
ONBOOT=yes
USERCTL=no
PEERDNS=no
TYPE=Ethernet
DEVICE=INTIF
HWADDR=00:0f:7g:8e:46:0d
BOOTPROTO=none
NETMASK=255.255.255.0
IPADDR=192.168.93.1
BROADCAST=192.168.93.255
NETWORK=192.168.93.0
4. Там же - в настройках DHCP (/etc/dhcpd.conf) прописываем свою локальную сеть:
ddns-update-style ad-hoc;
subnet 192.168.93.0 netmask 255.255.255.0 {
option routers 192.168.93.1;
option ntp-servers 192.168.93.1;
option domain-name-servers 81.9.4.2, 217.170.80.83;
range 192.168.93.2 192.168.93.9;
allow unknown-clients;
}
в данном примере у моей машины (машрутизатора) адрес 192.168.93.1, он не пересекается с адресами, выдаваемыми провайдером. Не забудьте указать опцию routers! Без неё dhclient на клиентской машине не пропишет дефолтный гейтвей, и фокус не получится. Адреса DNS берём из /etc/resolv.conf.
4. (пере)запускаем dhcpd и iptables. Зависит от дистрибутива, но в RedHat-ориентированных это будет
service network restart
service dhcpd restart
service iptables restart
===
http://www.proza.ru/2009/04/28/784
Чтобы удалить маршрут к конечной точке 10.41.0.0 с маской подсети 255.255.0.0, введите команду:
route delete 10.41.0.0 mask 255.255.0.0
http://www.xakep.ru/magazine/xa/104/134/1.asp
http://www.permlug.org/node/4431/
Комментарии (1):
Комментарии (1):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник iptables | andrey_nuclear - Дневник nuclear |
Лента друзей andrey_nuclear
/ Полная версия
Добавить в друзья
Страницы:
раньше»