Dotaz: iptables a nat

Z pročítání diskusí jsem pochopil, že pro správné fungování sdílení připojení k internetu mi stačí přidat do iptables -A POSTROUTING -o eth1 -j MASQUERADE a echo "1" > /proc/sys/net/ipv4/ip_forward.

Ještě mi není jasné, kde nastavit překlad adres(máme 1 veřejnou IP adresu), jestli to může být na počítači, nebo to musí zůstat na ADSL modemu a jak zařídit, aby byly určité adresy přístupné zvenku.

zadne dalsi nastavovani nebude to je vsechno, pokud se z ostatnich pocitacu dopingas na ten pocitacna kterem je modem, tak by to melo fungovat.
Predpokladam ze poskutovatel ti sice dal verejnou adresu, ale realne to bude vypadat ze mas nejakou z jeho rozsahu (asi 10.x.x.x) a on ti jen bude routovat vsechno co jde na tu tvou verejnou adresu.
Asi jsem to nevysvetlil moc dobre, zkus jeste hledat dal ...

Na to se bez znalosti toho, co přesně ten modem dělá, nedá tak snadno odpovědět. Pod označením ADSL modem se prodávají hodně různorodé přístroje. Také záleží na tom, co přesně myslíte požadavkem "aby byly určité adresy přístupné zvenku"

.

Jinak u toho pravidla pro netfilter musíte specifikovat tabulku ('-t nat') a doporučoval bych i přidat podmínku -s, abyste překládal jen to, co se má překládat, a ušetřil si tak případná budoucí překvapení.

iptables -A POSTROUTING -o eth1 -j MASQUERADE

Asi jsi myslel :

iptbales -t nat -A POSTROUTING -o ethDoNetu -j MASQUERADE

Na té druhé síťovce, se kterou jsi spojen s jiným PC nastav třeba

ip:192.168.0.1
netmask 255.255.255.0

A na tom PC, kterýmu sdílíš net nastav :

ip:192.168.0.2
netmask 255.255.255.0
brána : 192.168.0.1
+ dnska

Zdar Max

Ještě mám jeden dotaz. Jak by se dalo zařídit, aby byly lokální PC z rozsahu 192.168.x.x z venku dostupné pod adesou pocitac.nase_domena.cz a nemuselo to být verejna.ip:port?

Nevím pro kolik počítačů chcete přes ten adsl modem používat. Než jsem zrušil ADSL tak jsem měl modem Zyxel 650R-33 který bude asi funkčně velmi podobný a používal jsem ho pro připojení dvou domácích počítačů. Stačilo ho jen zapíchnout do switche kam byly připojené i ostatní pc. Router měl dhcp server a obstaral i NAT.

Resite tu moc pekne veci ... ale co treba zakladni nastaveni firewallu? jak je defaultni politika na forwardu? pokud DROP tak to routovat/natovat nebude. co se týká nastaveni modemu zyxel da se tam dát NAT 1:1 (menuje se to tam myslim Full Feature NAT) coz znamena ze vse co prijde na verejnou toho modemu se preposle na linux ... je ale treba pak trochu poresit nastaveni iptables :D

pro inspiraci:

# Definice parametru / Defaultni nastaveni

internet="eth0"

lan="eth1"

wifi="eth2"

IPTABLES="iptables"

$IPTABLES -F

$IPTABLES -F -t nat

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -P FORWARD DROP

# Maskarada / NAT

$IPTABLES -t nat -A POSTROUTING -o $internet -j MASQUERADE

# Klient 192.168.0.50

$IPTABLES -A FORWARD -i $wifi -s 192.168.0.50 -m mac --mac-source AA:BB:CC:DD:EE:FF -j ACCEPT

$IPTABLES -A FORWARD -i $internet -d 192.168.0.50 -m state --state ESTABLISHED,RELATED -j ACCEPT

#proposilani portu na urcite PC napriklad VNC

$IPTABLES -t nat -A PREROUTING -p TCP -d {verena_IP_routeru} --dport 5900 -j DNAT --to 192.168.0.50:5900

$IPTABLES -A FORWARD -i $internet -p TCP -d 192.168.0.50 --dport 5900 -j ACCEPT

Good Luck :D