Всем привет!
схема такая:
Интернет у меня раздает ubuntu 9.04 (eth0 - lan, eth1 - adsl) - за ним сейчас работаю. Настроена прокся - squid3.
внутрнення сеть (192.168.0.0/24) -> eth0 (192.168.0.8:2315 - squid3) -> eth1 (192.168.1.7) -> adsl (192.168.1.1) - internet
Цель: научиться "управлять" компами в отдельности, портами (закрывать/открывать).
1. Полагаю нужно сделать forward
2. Дальше прописывать необходимые правила
Сейчас при отключенном фаерволе или включенном с разрешением вход соединений все работает (все прораммы нужные коннектятся). Попытался начать с этого http://easylinux.ru/node/190 но после отвалился инет как на моем компе, так и на клиентах. Подскажите, пожалуйста, с чего начать писать правила в моей ситуации?

взял на заметку, спасибо)
А этот мануал я знаю. ТОлько вот проблема в том, что мне интересен порядок выполнения команд. С чего начать, с какой именно команды начать, лично в моей структуре сети?

Засунул скриптик в /etc/network/if-pre-up.d

Как узнать он запускается при перезагрузке сетевого подключения или нет? Где посмотреть ошибки если вдруг чего?Владелец этого файла я, права на исполнение есть.

Спасибо, за совет, но все же:
у меня есть файлик с кодом(который мне посоветовали выше). Я его немножко под себя как понял сделал. Сунул его в соответствующую папку (также выше путь). Перезапустил подключение и ничего не происходит по крайней мере у клиентов. Знаю что можно прописать в этом файлике путь к файл-логу. Каким образом, помогите пожалуйста?

Ничего похожего на те правила, которые описаны выше, я не нашел по команде iptables -L.

че т одни проблемы какие-то:
1. в папку if-pre-up.d зайти из терминала не могу, даже под root
2. запустить не заходя в эту папку также не могу.
3. честно признаться, как новичок, я не знаю как выглядят udf скрипты. В папке if-pre-up.d есть такие файлы (dhclient3-apparmor, wireless-tools, wpasupplicant). Файла rc5.d вообще нет.

clihltА где Ваш скрипт в папке if-pre-up.d ? Всмысле если туда не получается зайти, то как тогда Вы там разместили скрипт? Что показывает ls -l /etc/sysconfig/network ?
скрипт лежит в etc/network/if-pre-up.d. Получилось его туда положить путем присвоения ему и подкаталогам владельца (меня) и прав на исполнение в Gnome Commander. В терминале почему-то не получается войти: захожу под root (sudo su) и пытаюсь войти в папку (пишет no such file...). По твоей команде (только такой: ls -l /etc/network - у тебя наверное другая ось):
drwxr-xr-x 2 artashes root 4096 2009-07-23 10:42 if-down.d
drwxr-xr-x 2 artashes root 4096 2009-04-21 21:38 if-post-down.d
drwxr-xr-x 2 artashes root 4096 2009-07-25 21:20 if-pre-up.d
drwxr-xr-x 2 artashes root 4096 2009-07-23 10:42 if-up.d
--w------- 1 artashes root 32 2009-06-17 22:10 interfaces

clihlt Запустить скрипт можно из любой папки. Создаете файл( ну допустим myscript ), пихаете в него текст, сохраняете в любую папку.
затем находясь в папке со скриптом
chmod a+x myscript
./myscript
Да, можно запустить скрипт из любой папки. Но я запускаю правила iptables, полагаю мне потом нужно перезагрузится, а после перезагрузки правила сбрасываются. Насколько я знаю, если запустить из if-pre-up.d, то достаточно только перезагрузить сетевое подключение.

clihltЗЫ. rc5.d - это папка. Эту папку нашел в /etc. Но я к сожалению не знаю, как выглядят скрипты udf.

Посмотрел папку rc5.d на наличие udf скриптов, не нашел файлов подобных.
Блин, а правила коряво написаны (мне нужно сделать в этом скрипте, чтобы 192.168.0.112 выходил в инет только по браузеру). Вот что дает после ручного запуска скрипта
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
ACCEPT tcp -- 192.168.0.112 proxy.server.local tcp dpt:2315

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- 192.168.0.112 anywhere tcp dpt:www
ACCEPT all -- anywhere anywhere state ESTABLISHED

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED,UNTRACKED

Потом в этой строчке (iptables -A FORWARD -p tcp -s 192.168.0.3 -d 0/0 --dport ! 80 -i eth1 -j ACCEPT) убрал (!), ничего не изменилось.

спасибо за совет, но я собираюсь менять файл периодически, хотел бы добавлять правила. И сохранять в файл, мне самое актуально, т.к. бекапы откатывать можно будет.

Alex_Bratsk,
спасибо)

Скажи, пожалуйста, вот ты сделал файл исполняемым, да, правил у тебя нет, все чистенько. Перезагружаешь комп, или перезапускаешь сетевое подключение (смотря где скрипт лежит), скрипт срабатывает, правила записываются. Далее же можно ввести iptables-save и посмореть текущие правила. Правильно я понимаю, что то что должно отобразится в терминале, одинаково с тем, что ты написал выше?

Alex_Bratsk,
да, мне это и нужно. Просто я как новичок это немного по-другому представлял.
А скажи, пожалуйста, по твоему коду, чтобы один пользователь сети мог работать по http достаточно убрать (!) в правиле:
iptables -A FORWARD -p tcp -s 192.168.0.3 -d 0/0 --dport ! 80 -i eth1 -j ACCEPT

Я к тому, что остальные используемые порты будут открыты?
У меня инет организован через проксю squid3.
И вообще, в отношении безопаности (если на данном этапе этом можно называть так), может проще закрывать для отдельного пользователя порты в проксе. Тогда в чем принципиальная разница между этим?
Разве что, организацию работы почтовых клиентов у пользователей не сделать средствами прокси.

Скажи, пожалуйста, а как правильно определить порядок написания правил?
Все говорят мол писать в терминал не удобно, потому что нужно добавлять правила по порядку.
Я пишу в файл не поэтому, просто у меня пока мало понимания сложилось.

Alexлыщдушд