Настраиваем политики для двух основных цепочек и создаем пару правил. Также учимся делать резервную копию конфига iptables Мануал: github.com/ksemaev/manuals
Спасибо большое. Как всегда из твоих видео что-то новое для себя узнаешь. Хотел предложить рассмотреть вариант когда имеет место быть 2 провайдера, т.е. 2 сетевых интерфейса на вход. Ну и конечно что волнует всех начальников - отчёт кто где сидел и сколько накачал.
Было бы супер если бы этот программный роутер дополнить: + настройка резервного канала в интернет, + установкой защиты от атак, + статистика(журнал) входящих, исходящих соединений, + вэб интерфейса для просмотра статистики и управления параметрами, + фильтр ulr + интеграция c LDAP(AD) - от использования прокси лучше отказаться
Кирилл, если возможно расскажите побольше о сетевой составляющей в ваших следующих выпусках. Было бы супер увидеть освященные вами темы вроде VRF, iproute2, VRRP, OSPF, BGP.
Кирилл, и все-таки не работает НАТ. А ты попробуй на винде тимвивер включить и через него подключиться. Я когда настраивал файерволл, то сразу хотел удаленно на реальную машину подключиться, чтобы отслеживать ее работу в сети. По твоей схеме и с маскарадом и с СНАТом делал - бесполезно. Пинги - да идут, а сеть ЛАН добром не функционирует.
Я немного не так делал. Я создал файл /etc/nat и в него вписал echo 1 > /proc/sys/net/ipv4/ip_forward и далее все нужные правила, а в файл /etc/network/interfaces в конце дописал post-up /etc/nat (нашёл в Интернете). Таким образом как я понял при загрузке системы включается маршрутизация и применяются правила... У меня вопрос: а почему в ubuntu нету механизма вписать эти правила раз и на всегда, чтобы не подгружать их каждый раз? Про включение ip_forward в предыдущем видео я уже понял, что можно вписать в /etc/sysctl.conf....
Вдогонку появился еще вопрос... Кирилл, расскажите пожалуйста как (если это возможно) ограничить количество запросов от компьютеров в сети. Попробую пояснить: в сети около 30 ПК. Есть ADSL модем включенный в общий неуправляемый коммутатор (switch) наступил момент жудких тормозов в работе с Интернетом. Связался с провайдером посоветовали увеличить размер таблицы nat в модеме или поставить маршрутизатор... Собрал из подручных деталей "сервер" воткнул две сетевухи настроил форвардинг затупов стало меньше... Но ПК в сети как слали туеву хучу запросов (сессий, соединений не знаю как правильно назвать) так и шлют... Вот и хотелось бы узнать как ограничить количество одновременных соединений от ПК в сети скажем тремя на один ПК (если это возможно). Спасибо. P.S. Надеюсь мне удалось подробно объяснить суть.
Вот, например: forum.nag.ru/forum/index.php?showtopic=70413 или вот unix.stackexchange.com/questions/139285/limit-max-connections-per-ip-address-and-new-connections-per-second-with-iptable
Можно ли поменять имя интерфейса на произвольное это вопрос, ведь оно помимо номера отражает технологию. А вот выставить привычные ethX можно так: blog.vpsville.ru/blog/howto/144.html
Сергей вот хорошо показывает ссылкой, и дело говорит: они такие имена придумали чтоб если вы сетевухи начнете туда-сюда дергать, то ничего не собьется. А вообще вот внизу три варианта возможных: www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNames/ , надо линк-файлы создать
+Kirill Semaev спасибо. Просмотрел видео , ситуация похожая, буду пробовать . но тогда вопрос. Вин серв автоматически проставляет метрику, и лникус тоже , так почему же интернет не работает и замечу что на винде не пингуется одна из сетевых карт (обе ходят в интернет , одна на прямую, вторая через прокси сервер(локальная серверная подсеть ) ) но как только включаешь любую сразу появляется интернет и идут пинги?
Кирил, какой же ты ТОПовый!!!! Спасибище!!!!
Спасибо))
Актуально навсегда...! спасибо тебе
Разговаривать научился понимаете разговаривать не разговорил а потом разговариваю
@@KirillSemaev Кирилл, привет. как у тебя дела?
Я уж думал все, не будет больше выпусков! С возвращением!
Спасибо за урок. Продолжение нужно как воздух.
Огромное спасибо за пояснения с iptables, очень долго не мог в них врубиться, а тут все как на ладони!
шикарные видео спасибо
Спасибо большое. Как всегда из твоих видео что-то новое для себя узнаешь. Хотел предложить рассмотреть вариант когда имеет место быть 2 провайдера, т.е. 2 сетевых интерфейса на вход. Ну и конечно что волнует всех начальников - отчёт кто где сидел и сколько накачал.
Попробуем добраться, но тут уже лучше отдельные решения использовать вроде Kerio или PFSense
тоже с удовольствием посмотрел бы 2 провайдера
Спасибо за видео. Будут ли уроки по OpenVPN? Очень бы хотелось.
Было бы супер если бы этот программный роутер дополнить:
+ настройка резервного канала в интернет,
+ установкой защиты от атак,
+ статистика(журнал) входящих, исходящих соединений,
+ вэб интерфейса для просмотра статистики и управления параметрами,
+ фильтр ulr
+ интеграция c LDAP(AD)
- от использования прокси лучше отказаться
Ну это уже должен какой-нибудь сетевик рассказывать, я в этом не оч искушен
Рахмат
хорошего как обычно всегда мало)
Кирилл, если возможно расскажите побольше о сетевой составляющей в ваших следующих выпусках. Было бы супер увидеть освященные вами темы вроде VRF, iproute2, VRRP, OSPF, BGP.
Я в сетях, к сожалению, только базовыми знаниями обладаю, по ним ничего не расскажу толком(
Как оцениваете серию статей и видео "Сети для самых маленьких"? Вроде очень даже кошерно.
Не знаю такой. Вполне возможно что очень хорошая серия. Мне самому сети не очень интересны)
учитывая популярный сейчас вопрос обхода блокировок, может расскажите о установки и настройке ovpn сервера?
По плану следующая практика как раз - впн
очень жду. Сам по разным мануалам пробовал - так и не получилось сделать не на убунте, не на центОС
Кирилл, и все-таки не работает НАТ. А ты попробуй на винде тимвивер включить и через него подключиться. Я когда настраивал файерволл, то сразу хотел удаленно на реальную машину подключиться, чтобы отслеживать ее работу в сети. По твоей схеме и с маскарадом и с СНАТом делал - бесполезно. Пинги - да идут, а сеть ЛАН добром не функционирует.
Я немного не так делал. Я создал файл /etc/nat и в него вписал echo 1 > /proc/sys/net/ipv4/ip_forward и далее все нужные правила, а в файл /etc/network/interfaces в конце дописал post-up /etc/nat (нашёл в Интернете). Таким образом как я понял при загрузке системы включается маршрутизация и применяются правила... У меня вопрос: а почему в ubuntu нету механизма вписать эти правила раз и на всегда, чтобы не подгружать их каждый раз? Про включение ip_forward в предыдущем видео я уже понял, что можно вписать в /etc/sysctl.conf....
Доберусь, скажу как в автозапуск. Ваш вариант тоже вполне себе работоспособен
Вдогонку появился еще вопрос... Кирилл, расскажите пожалуйста как (если это возможно) ограничить количество запросов от компьютеров в сети. Попробую пояснить: в сети около 30 ПК. Есть ADSL модем включенный в общий неуправляемый коммутатор (switch) наступил момент жудких тормозов в работе с Интернетом. Связался с провайдером посоветовали увеличить размер таблицы nat в модеме или поставить маршрутизатор... Собрал из подручных деталей "сервер" воткнул две сетевухи настроил форвардинг затупов стало меньше... Но ПК в сети как слали туеву хучу запросов (сессий, соединений не знаю как правильно назвать) так и шлют... Вот и хотелось бы узнать как ограничить количество одновременных соединений от ПК в сети скажем тремя на один ПК (если это возможно). Спасибо. P.S. Надеюсь мне удалось подробно объяснить суть.
Вот, например: forum.nag.ru/forum/index.php?showtopic=70413 или вот unix.stackexchange.com/questions/139285/limit-max-connections-per-ip-address-and-new-connections-per-second-with-iptable
Меня прорвало ))) Как сменить имя сетевых интерфейсов с enp2s4 на скажем my_lan? А то приходится записывать на бумажку, чтобы не запутаться...
Можно ли поменять имя интерфейса на произвольное это вопрос, ведь оно помимо номера отражает технологию. А вот выставить привычные ethX можно так: blog.vpsville.ru/blog/howto/144.html
Сергей вот хорошо показывает ссылкой, и дело говорит: они такие имена придумали чтоб если вы сетевухи начнете туда-сюда дергать, то ничего не собьется. А вообще вот внизу три варианта возможных: www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNames/ , надо линк-файлы создать
Ты заметил в прошлом видео "Для двух шлюзов нужно выставлять метрику" Можешь разъяснить этот момент ?
Вот тут мы делали похожее: ruclips.net/video/7Bcae6Kh5Bg/видео.html
+Kirill Semaev спасибо. Просмотрел видео , ситуация похожая, буду пробовать . но тогда вопрос. Вин серв автоматически проставляет метрику, и лникус тоже , так почему же интернет не работает и замечу что на винде не пингуется одна из сетевых карт (обе ходят в интернет , одна на прямую, вторая через прокси сервер(локальная серверная подсеть ) ) но как только включаешь любую сразу появляется интернет и идут пинги?
Надо смотреть таблицу маршрутизации, и вообще конкретный случай. В винде много подводных камней.
а вот бы L2tp server организовать. чтобы с внешки можно было подключаться!?
Доберемся
а как же service iptables save. на мой взгляд это куда удобнее
Так service iptables save делает то же самое что и iptables-save только больше слов)
ну он сам сохраняет в свой файл и сам после перезагрузки его смотрит. по крайней мере на центосе
актуально ли делать такие правила на домашнем роутере?
На домашнем роутере, как правило, есть готовый набор включенных политик удобный.
прописал дропы инпут, форвард и создал одно правило для ssh, захожу на Win10, пингую внутреннюю сеть линукса и он пингуется. В чём прикол?