?

Log in

No account? Create an account

Интернет шлюз

Как говорил ранее, ребята, я создаю конструктор, а вот как вы его используете - дело Ваше.

А сейчас у меня есть возможность показать вам пример использования.

Дело в том, что до проекта у меня дома интернет шлюзом выступал Linksys E2000(типа киска, ага, развели как лоха), похоже у него были серьезные проблемы с производительностью, особенно при мультикастингах с броадкастингами(потоковое тв).
Потом Mikrotik(c RouterOS v6.42.12, лучше бы меня еще раз развели как лоха). Взял так как оно поддерживает eap->peap->mschapv2 (у него просто проблемы, ну проблемный он. Сильно болезненного котика, одного из десяти вы будете лечить или прост утопите?)
Крупная торговая компания ими восхищается, жаль, что я не узнал этого человека в лицо, да особо то и не нужно.

Кстати, да, был очень удивлен, что админы ДВФУ знают, что такое PEAP, мне даже кажется, что дело в том, что туда не так давно пришел работать мой коллега, не знаю я, наверное просто совпадение, но он точно знает, что такое нормальный радиус и peap.

Ну а теперь, теперь меня просто выбесила 'корректная работа mikrotik os' и я решил создать свое 'поделие'(куда мне до них).

Ничего проще и дешевле - orange pi - r1 http://www.orangepi.org/OrangePiR1/

Два сетевых интерфейса, 256MB RAM, Armbian, что еще нужно? - Вперед!

Ну я и впердел:
вот мой иптаблес(сильно не пинать, пока режим бреда преследования не включил):
INET_IFACE="enxc0742bffdf1c"
LAN_IFACE="eth0"
LAN_IP_POOL="192.168.10.0/24"
WIFI_IFACE="wlan0"
LO_IFACE="lo"
LOOPBACK="127.0.0.0/8"
KILLING_FLOOR_IP="192.168.10.9"
REPOS_IP="192.168.10.8"
STORAGE_IP="192.168.10.3"

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X


echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A OUTPUT -j ACCEPT

iptables -A INPUT -i $LAN_IFACE -j ACCEPT
iptables -A INPUT -i $LO_IFACE -j ACCEPT
iptables -A INPUT -i $INET_IFACE -p udp -j ACCEPT
iptables -A INPUT -i $INET_IFACE -p icmp -j ACCEPT
iptables -A INPUT -i $INET_IFACE -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INET_IFACE -p tcp --dport 24 -j ACCEPT
iptables -A INPUT -i $INET_IFACE -j REJECT
iptables -A INPUT -j REJECT


iptables -A FORWARD -i $LAN_IFACE -j ACCEPT
iptables -A FORWARD -i $WIFI_IFACE -j ACCEPT
iptables -A FORWARD -i $LO_IFACE -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -d $KILLING_FLOOR_IP -p udp -m multiport --dports 7700:7750 -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -d $KILLING_FLOOR_IP -p udp -m multiport --dports 28852:28872 -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -d $KILLING_FLOOR_IP -p tcp -m multiport --dports 28852:28872 -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -d $KILLING_FLOOR_IP -p udp -m multiport --dports 20560:20580 -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -d $REPOS_IP -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -d $STORAGE_IP -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -d $STORAGE_IP -p tcp --dport 51413 -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -j REJECT
iptables -A FORWARD -j REJECT

#---PORT-FORWARDING---
#------MRTG--FENGO--KF-MAPS---
iptables -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 80 -j DNAT --to-destination 192.168.10.3
#------TORRENTS---
iptables -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 51413 -j DNAT --to-destination 192.168.10.3
#------Killing-floor---main---
iptables -t nat -A PREROUTING -i $INET_IFACE -p udp -m multiport --dports 7700:7750 -j DNAT --to-destination 192.168.10.9
iptables -t nat -A PREROUTING -i $INET_IFACE -p udp -m multiport --dports 28852:28872 -j DNAT --to-destination 192.168.10.9
iptables -t nat -A PREROUTING -i $INET_IFACE -p tcp -m multiport --dports 28852:28872 -j DNAT --to-destination 192.168.10.9
iptables -t nat -A PREROUTING -i $INET_IFACE -p udp -m multiport --dports 20560:20580 -j DNAT --to-destination 192.168.10.9
#------REPOS---
iptables -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 26 -j DNAT --to-destination 192.168.10.8:22

iptables -t nat -A POSTROUTING -s $LAN_IP_POOL -o $INET_IFACE -j MASQUERADE

Игрокам Killing Floor добро пожаловать, хотя, я думаю мы уже знакомы (именно из-за смены оборудования мой сервер не был доступен, это же надо допереть как нормальную конфигурацию иптаблес преобразовать в правила данной железки, особенно когда речь идет о mikrotik).

А вот мой /network/interfaces
source /etc/network/inAterfaces.d/*
# Network is managed by Network manager
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.1
netmask 255.255.255.0

auto enxc0742bffdf1c
iface enxc0742bffdf1c inet dhcp

post-up /etc/iptables.sh


Ага, NM не успел удалить, это пусть новое поколение пользуется вместе с iproute2.


Ну и конечно DHCPD, но там нет ничего интересного, поэтому приводить его не буду, он прост осообщает NTP сервер в локальной сети и раздает статические IP


А еще я поставил darkstat(стоящая вещь, собирает инфу по интерфейсу).
И еще Pi hole, явно писанная современными специалистами, ведь только они могут создать веб интерфейс не несущий никакой полезной информации, тем более мешающий работе ADB(в общем под наблюдением, скорее всего скоро снесу)

Ну и в будущем - squid, c5277 контроллер и все вроде. потом дополню.

Comments