У меня другой дитрибутив (Debian)...
Но в общих чертах, для настройки домашней локалки, так:
1. Настроить сетевые интерфейсы сервера (в том числе VPN).
У меня это файлик /etc/network/interfaces...
...у тебя это будет другой файл, наверное, а может и принцип другой, но
общая идея будет полезна.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
auto lo # Поднимаем loopback
iface lo inet loopback # Интерфейс обратной петли
pre-up /root/sys/kernel.net.sh # Скрипт настроек ядра
pre-up /root/sys/iptables.rules.sh # Скрипт настроек фаервола
auto eth0 # Поднимаем локалку провайдера
iface eth0 inet static # Настройка сетевой карты на провайдера
address 10 . 65 . 5 . 118 # Мой IP в локалке провайдера
netmask 255 . 0 . 0 . 0
auto eth1 # Поднимаем локалку собственной локалки
iface eth1 inet static # Настройка сетевой своей локалки
address 192 . 168 . 254 . 1 # IP сервера своей локалки
netmask 255 . 255 . 255 . 0
auto ultra # Поднимаем VPN соединение
iface ultra inet ppp # Настройки VPN соединения
provider xxxprov
2. Настроить соиденение VPN
(
еще см. тут )
для этого поставить пакет linux-pptp,
создать файлик /etc/ppp/peers/xxxprov
1.
2.
3.
4.
5.
6.
7.
8.
remotename username # опционально
lock
noauth
defaultroute
nobsdcomp
nodeflate
pty "pptp 10.65.5.1 --nolaunchpppd" # тут IP сервера в локалке провайдера
name username@domain
пароль прописывается в файлик /etc/ppp/chap-secret
3. Настроить опции ядра.
Что-то вроде /root/sys/kernel.net.sh
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
#!/bin/sh
# Установка сетевых опций ядра
PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin"
# Пересылка пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Поддержка динамических адресов
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
# Вспомогательные модули
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# Маршрутизация от источника
for f in /proc/sys/net/ipv4/conf/*/accept_source_route
do
echo 0 > $f
done
# Проверка маршрутизации
for f in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $f
done
# Информирование ICMP (небезопасное перенаправление маршрутизации)
for f in /proc/sys/net/ipv4/conf/*/accept_redirects
do
echo 0 > $f
done
# Безопасное перенаправление маршрутизации
for f in /proc/sys/net/ipv4/conf/*/secure_redirects
do
echo 1 > $f
done
# Отправка перенапрвлений другим узлам
for f in /proc/sys/net/ipv4/conf/*/send_redirects
do
echo 0 > $f
done
# Запрет ICMP "пингов" широковещательной сети
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Запрет подделанных (неизвестных) сообщений об ошибках
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Протоколирование неизвестных пакетов
for f in /proc/sys/net/ipv4/conf/*/log_martians
do
# echo 1 > $f
echo 0 > $f
done
# Время эхо ответа на ICMP (мкс)
echo 200 > /proc/sys/net/ipv4/icmp_ratelimit
# Время ожидания закрытия соединения (с)
echo 20 > /proc/sys/net/ipv4/tcp_fin_timeout
# Поддержка SYN Cookies
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/tcp_syncookies
# Размер оперативной памяти для SYN Cookies (Mb)
#echo 10 > /proc/sys/net/ipv4/tcp_max_syn_backlog
exit 0
4. Настроить файервол
Ну типа /root/sys/iptables.rules.sh
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
#!/bin/sh
# Настройка сетевого экрана iptables
PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin"
# Сбрасываем все настройки
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Устанавливаем политику по умолчанию
iptables -P INPUT DROP
#iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
#iptables -P FORWARD ACCEPT
iptables -P OUTPUT DROP
#iptables -P OUTPUT ACCEPT
# Внутренний трафик
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Локальная сеть
iptables -A INPUT -i eth1 -s 192 . 168 . 254 . 0 / 24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Локальная сеть провайдера
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Интернет
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Маскарадинг пакетов
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
exit 0
Как видишь в Linux все просто. :)
Еще раз - в Suse что-то наверняка будет иначе.
Удачи!
