با سلام خدمت دوستان . ما ميخوايم يك سرور جهت دادن اينترنت به كاربران شبكه راه اندازي كنيم . IBSng و PPTP رو روي لينوكس اوبونتو نصب كرديم تا از طريق VPN يوزر هاي شبكه ي محلي به اينترنت دسترسي داشته باشند . حالا مونده دستورات مربوط به iptables. شبكه به اين شكله :
سرور لينوكس 2 تا كارت شبكه داره .
اولي (كه به اينترنت وصله) : 192.168.0.2
گيت وي : 192.168.0.1
دي ان اس ها : 217.219.84.232 و 217.219.84.227
كارت شبكه ي دوم رو چطور آي پي بديم ؟ جهت تنظيم IPTABLES از چه دستوري استفاده كنيم ؟
يعني هيچ كدوم از اساتيد نمي دونند ؟
دوست عزيز به آدرس زير مراجعه كنيد
کد:http://parspooyesh.com/wiki/index.php/Routing_IBSng
محمد کاظم خاکسار
www.bunny.ir
sms service
isp
علت اینکه اساتید به این سوال پاسخ نداده اند نحوه پرسیدن سوال توسط شماست و اسمی که برای تاپیک در نظر گرفته اید.نوشته اصلی توسط cheeta
این عملی که شما میخواهید انجام دهید تقریبا هیچ ربطی به اکانتینگ IBsng ندارد و فقط مربوط به ایجاد رول های مناسب در برنامه فایروال IPTables برای دسترسی داشتن یوزر ها به اینترنت است.
البته نظیر این اشتباه در بیان کردن به صورت زیاد در فروم و در بخش های اکانتینگو کش سرور ها ایجاد شده است پس خیالتان راحت زیاد تنها نیستید.
و اما راه حل:
شما در مورد رول هایی که برای فایروال مینویسید باید ابتدا درک درست از شرایط و تنظیمات مورد نظرتان برای اجرا داشته باشید.
به صورت مثال شما در اینجا باید فقط به یوزرهایی که توسط VPN به سرور شما وصل میشوند اجازه دسترسی به اینترنت را بدهید + عمل Nat را نیز باید فایروال برای شما انجام دهد.
در مورد کارت شبکه دوم در رنج کلاینت های شبکه محلی باید IP بگیرد تا این یوزرها بتوانند به اینترنت متصل شوند.
حال با دانستن کاری که قرار است انجام شود با سرچی ساده در این فروم و در اینترنت میتوانید نتایجی را که میخواهید به دست بیاورید.
به طور مثال دستوری که برای نت کردن به کار برده میشود همانطور که در لینک دوستمان در بالا موجود است به صورت زیر است.
ولی بای تنظیمات صحیح باید کارهای دیگری نیز انجام داد که به صورت کاملا مناسب در لینک زیر توضیح داده شده است .کد:#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
متاسفانه به علت عدم تسلط کافی بر لینوکس توضیحات را فارسی نمیکنم ولی اگر در جایی از دستورات به مشکل برخوردید بفرمایید چه من چه اساتید فروم در حد امکان به شما کمک خواهند کرد.کد:http://www.anindya.com/installing-configuring-pptp-vpn-rhel-centos/
IP تون Invalid هست ! چطور به اینترنت متصل هست ؟
سولوشن تون واضح نیست
ممنون از راهنماييت دوست عزيز ،* مسئله اي كه هست اينه كه وقتي اين دستورات رو وارد مي كنم ديگه كاربران بدون VPN به اينترنت دسترسي دارند !! اما ما ميخواهيم فقط كساني كه VPN دارند به اينترنت دسترسي داشته باشند .علت اینکه اساتید به این سوال پاسخ نداده اند نحوه پرسیدن سوال توسط شماست و اسمی که برای تاپیک در نظر گرفته اید.
این عملی که شما میخواهید انجام دهید تقریبا هیچ ربطی به اکانتینگ IBsng ندارد و فقط مربوط به ایجاد رول های مناسب در برنامه فایروال IPTables برای دسترسی داشتن یوزر ها به اینترنت است.
البته نظیر این اشتباه در بیان کردن به صورت زیاد در فروم و در بخش های اکانتینگو کش سرور ها ایجاد شده است پس خیالتان راحت زیاد تنها نیستید.
و اما راه حل:
شما در مورد رول هایی که برای فایروال مینویسید باید ابتدا درک درست از شرایط و تنظیمات مورد نظرتان برای اجرا داشته باشید.
به صورت مثال شما در اینجا باید فقط به یوزرهایی که توسط VPN به سرور شما وصل میشوند اجازه دسترسی به اینترنت را بدهید + عمل Nat را نیز باید فایروال برای شما انجام دهد.
در مورد کارت شبکه دوم در رنج کلاینت های شبکه محلی باید IP بگیرد تا این یوزرها بتوانند به اینترنت متصل شوند.
حال با دانستن کاری که قرار است انجام شود با سرچی ساده در این فروم و در اینترنت میتوانید نتایجی را که میخواهید به دست بیاورید.
به طور مثال دستوری که برای نت کردن به کار برده میشود همانطور که در لینک دوستمان در بالا موجود است به صورت زیر است.
ولی بای تنظیمات صحیح باید کارهای دیگری نیز انجام داد که به صورت کاملا مناسب در لینک زیر توضیح داده شده است .کد:#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
متاسفانه به علت عدم تسلط کافی بر لینوکس توضیحات را فارسی نمیکنم ولی اگر در جایی از دستورات به مشکل برخوردید بفرمایید چه من چه اساتید فروم در حد امکان به شما کمک خواهند کرد.کد:http://www.anindya.com/installing-configuring-pptp-vpn-rhel-centos/
IP ما از طريق wireless از ISP مياد (Invalid) و ما توسط يك سيستم XP كانكشن VPN رو شير كرديم روي سرور لينوكس . (به اين دليل كه ما نتونستيم مستقيم از طريق لينوكس به ISP كانكت بشيم)
شما آدرس هایی که به کاربرای VPN میدین رو NAT کنید . آدرس های قبل از اتصال ایشان به سرور (Local Client IP Address) رو NAT نکنید .
جواب را داده اند ولی برای تکمیل باید بگم .
راه حل های مختلفی دارید یکی در مورد نت کردن که فرمودند .
یکی استفاده از فایروال .
در مورد شر نمودن اینترنت نیز نمیدانم شما به چه شکل آن را برای لینوکس در XP شر نموده اید و امیدوارم از ICS استفاده ننموده باشد که در این صورت چند بار نت کردن در شبکه میشود که زیاد حالب نیست.
استفاده از فایروال برای چه منظوری ؟
می تونید پکت هایی رو که از رنج VPN نیست و قراره Forward بشن رو Drop کنید.
****** M///-
دقیقا با همین منظوری که فرمودید پکتهای Forward از اینترفیس ورودی طرف یوزر دا دراپ بشود.
1 سپاسNaderpour (2009-07-14)
بزارید دقیق تر بگم .
یه بابایی از رو دلخوشی رفته ISP زده ! سرورش هم ISA نصبه . با وایرلس به ملت اینترنت میده . (همه ی مشتری هاش هم توی یک رنج هستند !! یعنی زمانی که ما به سرور این بابا وصل میشیم همه ی مشتری هاش رو میبینیم !!) حالا ما اومدیم آنتن رو به یک سویچ دادیم و از سویچ هم به کارمندها . هر کدوم از کارمندها هم IPشون تو همون رنج باید باشه و VPN بزنن به ISP . یعنی اگه یک کارمند ما VPN بزنه به ISP میتونه IP یک مشتری دیگه ی ISP رو تو اون سر شهر PING کنه !! حالا ما میخوایم این اینترنت کنترل بشه ، پهنای باند کنترل بشه . سرور این بابا هم یه جوری کانفیگ شده که فقط باید پروتکل PAP رو فعال کنیم تو تنظیمات security وی پی ان . حالا ما دیدیم با لینوکس نمیشه مستقیم VPN زد به ISP ، چون ارور میداد . مجبور شدیم یک سیستم ویندوز سر راه بزاریم که اول اون با VPN وصل بشه و VPN رو شیر کنه روی یک کارت شبکه ی دیگه و اونم با کابل Cross وصل بشه به سیستم لینوکس (یعنی لینوکس بدون نیاز به VPN به محض این که کابل رو وصل میکنیم به اینترنت وصله)
سناریو1
نحوه تنظیم سرورها ی(linux fedora core 4) زیر برای اعمال bandwith managerو کش بر روی یوزرهای wireless در سناریوی زیر در این حالت یوزرهای wireless بوسیله connection vpn به سرور وصل می شوند و بعد از اتصال از رنج24/ 192.168.1.0 نیز ip می گیرند و عمل nating بر روی سزوز کش انجام می گیرد
تنظیمات مورد نیاز بر روی سرور IBSng&vpn
بر روی این سرور بسته هایی با source 192.168.1.0/24 را به سمت سرور 217.219.1.2 می فرستیم و routing را در فایل rc.local قرار می دهیم (با هر بار reboot سیستم اجرا شود)
# nano /etc/rc.local
#!/bin/bash
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
ip rule add from 192.168.1.0/24 table 11
ip route add default via 217.219.1.2 table 11
ip route flush cache
تنظیمات مورد نیاز بر روی سرور bandwithmanager & cache
بر روی این سرور باید مسیر بر گشت packet ها را مشخص کنیم یعنی بسته هایی که مقصد انها network 192.168.1.0/24 می باشد را به سمت سرور 217.219.1.3 نیز route میکنیم و routing را در فایل rc.local قرار می دهیم و همچنین عمل nating را باید بر روی این سرور قرار دهیم
# nano /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
route add -net 192.168.1.0/24 gw 217.219.1.3
برای جلوگیری از ایجاد loop سه خط زیر را به فایل sysctl.conf اضافه می کنیم
#nano /etc/sysctl.conf
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and
# sysctl.conf(5) for more details.
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0
# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0
# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1
#
# The following line is necessary for GFS to function properly.
kernel.panic_on_oops = 1
#
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.eth<n>.send_redirects = 0
تذکر: برای اعمال شدن routing های فوق نیاز می باشد یکبار دستی آنها را اجرا نماییم یا سرور هارا reboot کنیم
برای انجام شدن nat نیز command زیر را وارد نمایید
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
# service iptables save
تذکر:در سناریو فوق اگر یوزرها ip valid بگیرند routing سرورvpn تغییر ی نمی کند فقط رنج valid جایگزین invalid می شود و نیازی به route برگشت بر روی سرور bandwithmanager&cache نمی باشد
در این حالت باید بر روی روتر route بر گشت به سمت IBSng & cache سرور را به صورت زیر تعریف نمایید
مثال: اگر یوزر wireless بعد از vpnنیز ip 217.219.1.10 را گرفته باشد در این حالت بر روی روترroute زیر را قرار می دهیم
ip route 217.219.1.10 255.255.255.255 217.219.1.2
سناریو2
در سناریو فوق سرور vpn از طریق کابل cross به سرور IBSng&bandwithmanager&cache نیز connect می باشدویوزرهای wireless بوسیله connection vpn به سرور وصل می شوند و بعد از اتصال از رنج24/ 192.168.1.0نیز ip می گیرند و عمل nating بر روی سزوز کش انجام می گیرد
در این حالت دو ip valid برروی سرور IBSng&bandwithmanager& cache ld می گذاریم که یکی از آنها را از طریق SNAT به سرور vpnمی دهیم
وعمل natim را بر روی همین سرور تعریف نمایید
#iptables -I POSTROUTING -s 10.1.1.1 -j SNAT –to-source 217.219.1.3
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
#service iptables save
و یک route برای برگرد اندن snat به سمت سرور vpn در فایل rc.localبه صورت زیر می نویسیم و یکبار دستی اجرا می کنیم
# nano /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
#
touch /var/lock/subsys/local
route add -host 217.219.1.3 gw 10.1.1.1~
مجوز های ارسال و ویرایش 
LinkBack URL
About LinkBacks
نمایش مشخصات
مشاهده همه نوشته ها
پاسخ با نقل قول
