Что сайт видели за самодельным "роутером"

krisadr · 18.03.2013, 14:05

Решил сделать себе некого рода аппаратный фаервол...
откапал на балконе старый компьютер, amd 64 athlon 2 гига оперативки... и подумал что под фильтратор трафика вполне подойдет в нем как раз 2 сетевухи есть...

Вообщем поставил себе убунту 10.04 настроил соединения:

ppp0 - (eth1) - смотрит в инет(2xx.14x.1x5.14)
eth0(192.168.0.1) - смотрит в локалку, как раз подключен к вебсерверу(192.168.0.2)

порылся по форумам как инет раздать, вроде получилось..

Код:

# Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013
*nat
:PREROUTING ACCEPT [115:9233]
:POSTROUTING ACCEPT [1:819]
:OUTPUT ACCEPT [1:819]
-A POSTROUTING -s 192.168.0.2/32 -j MASQUERADE 
COMMIT
# Completed on Mon Mar 18 13:47:25 2013
# Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013
*filter
:INPUT ACCEPT [1780:2190409]
:FORWARD ACCEPT [266:33880]
:OUTPUT ACCEPT [884:64151]
-A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Mon Mar 18 13:47:25 2013
# Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013
*mangle
:PREROUTING ACCEPT [7126:7067615]
:INPUT ACCEPT [6758:7022319]
:FORWARD ACCEPT [363:44462]
:OUTPUT ACCEPT [5312:614528]
:POSTROUTING ACCEPT [5675:658990]
-A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu 
COMMIT
# Completed on Mon Mar 18 13:47:25 2013

как я понял шарит инет как раз выделеное красным...

Теперь осталось чтобы мой сайт (192.168.0.2:80) был виден из интернета... тоесть подскажите как мне заставить iptables перекидывать пакеты приходящие на 2xx.14x.1x5.14:80 -> 192.168.0.2.

Добавлено через 13 минут
простите за возможные ошибки всю ночь не спал и это мне покое не дает)

Добавлено через 29 минут

Выглядит это примерно так, и когда из инета пытаются подрубиться к сайту естественно они его не находят

Добавлено через 1 час 26 минут
что как я понимаю никто не настраивал iptables на переброску пакетов ?

Добавлено через 6 часов 17 минут
Вообщем всем спасибо за помощь

Просидев за компом часов 10 а может и того больше, без перерыва лазая по линуксовым форумам и переберая методом тыка конфигурацию Iptables случилось чудо! и я нашел подходящую для меня

может кому-нибудь тоже будет полезна

Код:

#!/bin/sh
echo "Перенаправление трафика на DrugGame server"
sleep 1
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
sudo iptables -t nat -A PREROUTING -p tcp -d ВНЕШНИЙIP --dport 80 -j DNAT --to-destination 192.168.0.2:80

И вот еще для расшаривания

Код:

#!/bin/sh
echo "Раздача интернета локальной сети"
sleep 1
sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -t nat -F POSTROUTING
sudo iptables -t nat -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
sudo iptables -A FORWARD -o ppp0 -i eth0 -s 192.168.0.2 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
sudo iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sleep 1

***Zubastic*** · 18.03.2013, 22:04

Наркомания.

krisadr · 18.03.2013, 22:46

просто не вижу смысла обращаться в анти ддос сервисы, когда можно и самому попробывать досы блочить, главное чтоб канал не закрыли а остальное можно ухитриться и дропнуть

***Agares*** · 18.03.2013, 23:21

Здравая схема, как для домашнего хостинга )
Я такой пользовался некоторое время, довольно успешно, только не на убунту, FreeBSD 7.2 крутилась на стареньком кор2дуо )

***kingzor*** · 19.03.2013, 00:49

Собственно назрел вопрос, почему бы не поставить веб сервер на аля самодельный фаервол?

krisadr · 19.03.2013, 01:35

да можно конечно, только я то его ставил чтоб он на себе http атаку держал а на главный комп переводил проверенных "обычных" поситителей.

Один минус, не спасет от UDP ддоса, вот только что проверял... канал забивает и ничего ты не зделаешь. В таких случаях есть обращаться провайдеру или толку ноль будет

Добавлено через 33 секунды
http://hfempire.net/register вот откуда они берутся))

***darkevil*** · 19.03.2013, 06:31

Цитата:

Сообщение от krisadr

просто не вижу смысла обращаться в анти ддос сервисы, когда можно и самому попробывать досы блочить, главное чтоб канал не закрыли а остальное можно ухитриться и дропнуть

Мощности не хватит у писюшника, у самого раньше сайт тимы стояли на домашнем сервачке, когда кто-то пытался заложить один из наших сайтов у меня просто пк маршрутизирующий трафик загнулся от кол-ва гавна который он пытался отфильтровать.

krisadr · 19.03.2013, 10:32

мощьноости как не странно хватает, вчера от знакомого тестил, у него зомби на 3 гига есть. тупо ложиться канал (в инет не выйти и с нета не зайти) хотя иптаблес все поганые udp блочит и загрузка проца одноядерного идет процентов на 10 - 20 при ддосе 24мегабита/в сек, и интернет завален, нада с провайдером обсудить, т к тариф 100 мб\с и выделенка походу экономят где то

18.03.2013, 14:05	#1
krisadr Пользователь Регистрация: 15.01.2009 Возраст: 30 Сообщений: 832 Отблагодарили 62 раз(а) Рейтинг мнений: 46	Что сайт видели за самодельным "роутером" Решил сделать себе некого рода аппаратный фаервол... откапал на балконе старый компьютер, amd 64 athlon 2 гига оперативки... и подумал что под фильтратор трафика вполне подойдет в нем как раз 2 сетевухи есть... Вообщем поставил себе убунту 10.04 настроил соединения: ppp0 - (eth1) - смотрит в инет(2xx.14x.1x5.14) eth0(192.168.0.1) - смотрит в локалку, как раз подключен к вебсерверу(192.168.0.2) порылся по форумам как инет раздать, вроде получилось.. Код: # Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013 nat :PREROUTING ACCEPT [115:9233] :POSTROUTING ACCEPT [1:819] :OUTPUT ACCEPT [1:819] -A POSTROUTING -s 192.168.0.2/32 -j MASQUERADE COMMIT # Completed on Mon Mar 18 13:47:25 2013 # Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013 filter :INPUT ACCEPT [1780:2190409] :FORWARD ACCEPT [266:33880] :OUTPUT ACCEPT [884:64151] -A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Mon Mar 18 13:47:25 2013 # Generated by iptables-save v1.4.4 on Mon Mar 18 13:47:25 2013 mangle :PREROUTING ACCEPT [7126:7067615] :INPUT ACCEPT [6758:7022319] :FORWARD ACCEPT [363:44462] :OUTPUT ACCEPT [5312:614528] :POSTROUTING ACCEPT [5675:658990] -A FORWARD -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu COMMIT # Completed on Mon Mar 18 13:47:25 2013 как я понял шарит инет как раз выделеное красным... Теперь осталось чтобы мой сайт (192.168.0.2:80) был виден из интернета... тоесть подскажите как мне заставить iptables перекидывать пакеты приходящие на 2xx.14x.1x5.14:80 -> 192.168.0.2. Добавлено через 13 минут простите за возможные ошибки всю ночь не спал и это мне покое не дает) Добавлено через 29 минут Выглядит это примерно так, и когда из инета пытаются подрубиться к сайту естественно они его не находят Добавлено через 1 час 26 минут что как я понимаю никто не настраивал iptables на переброску пакетов ? Добавлено через 6 часов 17 минут Вообщем всем спасибо за помощь Просидев за компом часов 10 а может и того больше, без перерыва лазая по линуксовым форумам и переберая методом тыка конфигурацию Iptables случилось чудо! и я нашел подходящую для меня может кому-нибудь тоже будет полезна Код: #!/bin/sh echo "Перенаправление трафика на DrugGame server" sleep 1 sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward" sudo iptables -t nat -A PREROUTING -p tcp -d ВНЕШНИЙIP --dport 80 -j DNAT --to-destination 192.168.0.2:80 И вот еще для расшаривания Код: #!/bin/sh echo "Раздача интернета локальной сети" sleep 1 sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward" sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -t nat -F POSTROUTING sudo iptables -t nat -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE sudo iptables -A FORWARD -o ppp0 -i eth0 -s 192.168.0.2 -m conntrack --ctstate NEW -j ACCEPT sudo iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu sudo iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sleep 1 Последний раз редактировалось krisadr; 18.03.2013 в 20:23. Причина: Добавлено сообщение*

18.03.2013, 22:04	#2
*Zubastic* ZG troll squad Регистрация: 11.09.2010 Сообщений: 5,858 Отблагодарили 1,526 раз(а) Рейтинг мнений: 187	Re: Что сайт видели за самодельным "роутером" Наркомания.

18.03.2013, 22:46	#3
krisadr Пользователь Регистрация: 15.01.2009 Возраст: 30 Сообщений: 832 Отблагодарили 62 раз(а) Рейтинг мнений: 46	Re: Что сайт видели за самодельным "роутером" просто не вижу смысла обращаться в анти ддос сервисы, когда можно и самому попробывать досы блочить, главное чтоб канал не закрыли а остальное можно ухитриться и дропнуть

18.03.2013, 23:21	#4
*Agares* ПризракZG Регистрация: 26.02.2013 Адрес: Киев Возраст: 41 Сообщений: 272 Отблагодарили 21 раз(а) Рейтинг мнений: 91	Re: Что сайт видели за самодельным "роутером" Здравая схема, как для домашнего хостинга ) Я такой пользовался некоторое время, довольно успешно, только не на убунту, FreeBSD 7.2 крутилась на стареньком кор2дуо )

19.03.2013, 00:49	#5
*kingzor* Герой Регистрация: 15.05.2009 Возраст: 32 Сообщений: 631 Отблагодарили 144 раз(а) Рейтинг мнений: 13	Re: Что сайт видели за самодельным "роутером" Собственно назрел вопрос, почему бы не поставить веб сервер на аля самодельный фаервол?

19.03.2013, 01:35	#6
krisadr Пользователь Регистрация: 15.01.2009 Возраст: 30 Сообщений: 832 Отблагодарили 62 раз(а) Рейтинг мнений: 46	Re: Что сайт видели за самодельным "роутером" да можно конечно, только я то его ставил чтоб он на себе http атаку держал а на главный комп переводил проверенных "обычных" поситителей. Один минус, не спасет от UDP ддоса, вот только что проверял... канал забивает и ничего ты не зделаешь. В таких случаях есть обращаться провайдеру или толку ноль будет Добавлено через 33 секунды http://hfempire.net/register вот откуда они берутся)) Последний раз редактировалось krisadr; 19.03.2013 в 01:36. Причина: Добавлено сообщение

19.03.2013, 10:32	#8
krisadr Пользователь Регистрация: 15.01.2009 Возраст: 30 Сообщений: 832 Отблагодарили 62 раз(а) Рейтинг мнений: 46	Re: Что сайт видели за самодельным "роутером" мощьноости как не странно хватает, вчера от знакомого тестил, у него зомби на 3 гига есть. тупо ложиться канал (в инет не выйти и с нета не зайти) хотя иптаблес все поганые udp блочит и загрузка проца одноядерного идет процентов на 10 - 20 при ддосе 24мегабита/в сек, и интернет завален, нада с провайдером обсудить, т к тариф 100 мб\с и выделенка походу экономят где то

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
[Продам] Сайт тематики lineage	hose	Рынок / Marketplace	4	07.12.2012 20:28
Отдам сайт с потдаменом под аион и местом на хостинге под него.	alerion	Курилка / Yak floor	5	04.05.2010 03:16
[Продам] Домен, сайт, дизайн, форум, баннеры идею.	cityflame-ru	Рынок / Marketplace	1	04.11.2009 07:43
Как сделать чтобы мой сайт видели?	Jao	Движки сайтов (CMS)	12	14.05.2009 10:21