Настройка прокси сервера (часть 1)

Приспичило мне настроить NAT(маскарадинг), называйте как хотите. Для чего? Есть две сетевые. Одна eth1 — интернет, вторая eth0 — внутренняя подсеть 192.168.0.0/28
Собственно, пакеты из внешней подсети должны перенаправляться во внутреннюю и наоборот.

Для начала, нужно включить ip forwarding. Проверим, не включен ли он:

$ cat /proc/sys/net/ipv4/ip_forward

Если выдаст 0 — выключен, 1 — соответственно включен.
Чтобы включить:
$ echo 1 > /proc/sys/net/ipv4/ip_forward

А чтобы включит навсегда в файл /etc/sysctl.conf добавляем следующие строчки:

net.ipv4.conf.default.forwarding=1 net.ipv4.conf.all.forwarding=1

Создаем файл в /etc/network/if-pre-up.d/NAT и делаю исполняемым chmod +x /etc/network/if-pre-up.d/NAT. Теперь, при подъёме интерфейсов в up запускается наш «NAT».

Собственно, всё делается через iptables. Содержание файла NAT:
# Первым делом очистим существующую таблицу правил: iptables -F # Добавляем первое правило которое позволит нам не потерять удаленный контроль над сервером iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT # Прописываем политики по умолчанию: # Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED. # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Запрешаем на передачу всё, что не разрешено. iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # Разрешаем хождение трафика по localhost iptables -A INPUT -i lo -j ACCEPT #Разрешаем пинг(DROP - запретить) iptables -A INPUT -i eth1 -p icmp --icmp-type 8 -j ACCEPT #NAT #Должен быть включен ip forwarding iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/28 -j ACCEPT iptables -A POSTROUTING -t nat -j MASQUERADE iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j ACCEPT

Теперь, настроем наш eth0, сделав его шлюзом
Лезим в /etc/network/interfaces

address 192.168.0.1 netmask 255.255.255.240 broadcast 192.168.0.15

Всё, готово. Но, чтобы не вбивать каждый раз адрес и dns вручную, особенно, если компов несколько, поднимем ещё и dhcp сервер.

Для начала установим его:

# apt-get install dhcp3-server

Он естественно не запустится, правим файлик конфигурации /etc/dhcp/dhcpd.conf
Конфиг приблизительно такой:
#Опция динамического обновления для dns ddns-update-style none;
#Домен и dns'ы 
option domain-name "admin-pc";
option domain-name-servers <ip dns серверов, если несколько - через запятую>;
#Время жизни адресов default-lease-time 600; 
max-lease-time 7200;
 # # Для логирования в отдельный файл 
log-facility local7;
 #Подсеть из которой выдаются ip 
#диапазон #шлюз #brodcast #интерфейс на котором работает 
subnet 192.168.0.0 netmask 255.255.255.240 { range 192.168.0.2 192.168.0.14; option routers 192.168.0.1; option broadcast-address 192.168.0.15; interface eth0; }

Запускаем демона:

# /etc/init.d/isc-dhcp-server start

Проверяем, работает, радуемся!
Но, по умолчанию, логируется всё в /var/log/syslog, что не очень удобно если вам нужно работать с логами.
Предлагаю, можно всё в отдельный файл.

Создадим файл /etc/rsyslog.d/dhcpd.conf с содержимым:
local7.* /var/log/dhcpd.log

Для ротации логов в файл /etc/logrotate.d/rsyslog вставить строку:

/var/log/dhcpd.log

Перезапускаемся:

# /etc/init.d/isc-dhcp-server restart # /etc/init.d/rsyslog restart

Теперь, смотрим лог в /var/log/dhcpd.log
Копирайт