Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Что сайт видели за самодельным "роутером"
#1
Решил сделать себе некого рода аппаратный фаервол...
откапал на балконе старый компьютер, amd 64 athlon 2 гига оперативки... и подумал что под фильтратор трафика вполне подойдет в нем как раз 2 сетевухи есть...

Вообщем поставил себе убунту 10.04 настроил соединения:

ppp0 - (eth1) - смотрит в инет(2xx.14x.1x5.14)
eth0(192.168.0.1) - смотрит в локалку, как раз подключен к вебсерверу(192.168.0.2)

порылся по форумам как инет раздать, вроде получилось..
Код:
# Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013
*nat
:PREROUTING ACCEPT [115:9233]
:POSTROUTING ACCEPT [1:819]
:OUTPUT ACCEPT [1:819]
-A POSTROUTING -s 192.168.0.2/32 -j MASQUERADE
COMMIT
# Completed on Mon Mar 18 13:47:25 2013
# Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013
*filter
:INPUT ACCEPT [1780:2190409]
:FORWARD ACCEPT [266:33880]
:OUTPUT ACCEPT [884:64151]
[COLOR="Red"]-A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT [/COLOR]
COMMIT
# Completed on Mon Mar 18 13:47:25 2013
# Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013
*mangle
:PREROUTING ACCEPT [7126:7067615]
:INPUT ACCEPT [6758:7022319]
:FORWARD ACCEPT [363:44462]
:OUTPUT ACCEPT [5312:614528]
:POSTROUTING ACCEPT [5675:658990]
-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Mar 18 13:47:25 2013
как я понял шарит инет как раз выделеное красным...

Теперь осталось чтобы мой сайт (192.168.0.2:80) был виден из интернета... тоесть подскажите как мне заставить iptables перекидывать пакеты приходящие на 2xx.14x.1x5.14:80 -> 192.168.0.2.

Добавлено через 13 минут
простите за возможные ошибки всю ночь не спал и это мне покое не дает)

Добавлено через 29 минут
[Изображение: feee9f32d078.png]

Выглядит это примерно так, и когда из инета пытаются подрубиться к сайту естественно они его не находят

Добавлено через 1 час 26 минут
что как я понимаю никто не настраивал iptables на переброску пакетов ?

Добавлено через 6 часов 17 минут
Вообщем всем спасибо за помощь :redlol::redlol:

Просидев за компом часов 10 а может и того больше, без перерыва лазая по линуксовым форумам и переберая методом тыка конфигурацию Iptables случилось чудо! и я нашел подходящую для меня

может кому-нибудь тоже будет полезна
Код:
#!/bin/sh
echo "Перенаправление трафика на DrugGame server"
sleep 1
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
sudo iptables -t nat -A PREROUTING -p tcp -d ВНЕШНИЙIP --dport 80 -j DNAT --to-destination 192.168.0.2:80
И вот еще для расшаривания
Код:
#!/bin/sh
echo "Раздача интернета локальной сети"
sleep 1
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -t nat -F POSTROUTING
sudo iptables -t nat -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
sudo iptables -A FORWARD -o ppp0 -i eth0 -s 192.168.0.2 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
sudo iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sleep 1
Ответ
#2
Наркомания.
Ответ
#3
просто не вижу смысла обращаться в анти ддос сервисы, когда можно и самому попробывать досы блочить, главное чтоб канал не закрыли а остальное можно ухитриться и дропнуть
Ответ
#4
Здравая схема, как для домашнего хостинга )
Я такой пользовался некоторое время, довольно успешно, только не на убунту, FreeBSD 7.2 крутилась на стареньком кор2дуо )
Ответ
#5
Собственно назрел вопрос, почему бы не поставить веб сервер на аля самодельный фаервол?
Ответ
#6
да можно конечно, только я то его ставил чтоб он на себе http атаку держал а на главный комп переводил проверенных "обычных" поситителей.

Один минус, не спасет от UDP ддоса, вот только что проверял... канал забивает и ничего ты не зделаешь. В таких случаях есть обращаться провайдеру или толку ноль будет

Добавлено через 33 секунды
http://hfempire.net/register вот откуда они берутся))
Ответ
#7
krisadr Написал:просто не вижу смысла обращаться в анти ддос сервисы, когда можно и самому попробывать досы блочить, главное чтоб канал не закрыли а остальное можно ухитриться и дропнуть

Мощности не хватит у писюшника, у самого раньше сайт тимы стояли на домашнем сервачке, когда кто-то пытался заложить один из наших сайтов у меня просто пк маршрутизирующий трафик загнулся от кол-ва гавна который он пытался отфильтровать.
[Изображение: 61b684.png]
Ответ
#8
мощьноости как не странно хватает, вчера от знакомого тестил, у него зомби на 3 гига есть. тупо ложиться канал (в инет не выйти и с нета не зайти) хотя иптаблес все поганые udp блочит и загрузка проца одноядерного идет процентов на 10 - 20 при ддосе 24мегабита/в сек, и интернет завален, нада с провайдером обсудить, т к тариф 100 мб\с и выделенка походу экономят где то
Ответ


Возможно похожие темы ...
Тема Автор Ответы Просмотры Последний пост
  bbs для перехода на сайт Sensation 12 3,925 01-27-2017, 06:14 PM
Последний пост: Gaikotsu
  Статистика на сайт! Royses 5 1,498 03-15-2014, 09:09 PM
Последний пост: Walker
  Сайт+Сервер Numeric 4 1,754 02-18-2014, 05:46 PM
Последний пост: Numeric
  Не работает регистрация через сайт dkova 2 1,405 03-23-2013, 09:12 PM
Последний пост: itcry
  Сайт для Interlude mexan019 14 2,850 07-16-2012, 12:58 AM
Последний пост: molodec
  Сайт lolpwnz 17 3,821 01-01-2012, 11:18 AM
Последний пост: lolpwnz
  вопрос по вкладке в комунити сайт Darvin 0 1,008 11-28-2011, 09:04 PM
Последний пост: Darvin
  скажите пожалуйсто офф сайт popopom 6 1,979 11-26-2011, 08:21 PM
Последний пост: popopom
  Сайт lolpwnz 5 2,011 08-11-2011, 03:32 PM
Последний пост: NotSpecified
  Кто сделает мне сайт Megapolis 23 5,236 05-10-2011, 04:19 PM
Последний пост: Megapolis

Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)