SOCKS eller?

Du kan bruge de programmer de bruger på netcaféer jeg skal lige finde navnet på en god en.. øjeblik.. :)

sorry jeg misforstod lige

Det går nok.. *S*

gad hvide hvad det er du ønsker at gøre? huh?

Tjaa, det er jo det jeg spørger om.. =)

For at uddybe lidt..

Jeg har en adsl forb. og et netværk hvor der også er andre beboere på. Her er det meningen at det kun er nogle af dem som skal have mulighed for at komme på internettet. Derfor skal jeg bruge et program som kan lukke computere ude. Enten med brugernavn/pass eller via mac spærring.

Hvis du bruger iptables er det vist relativt simpelt at gøre, både med ip og/eller MAC adresser.

Men... Du skriver intet om routere o.s.v.. Der er ikke 2 netv. der er ens.

ok. Hvordan sætter jeg iptables op til det?

Jeg skriver intet om router da jeg ikke var klar over at det var det jeg havde brug for.

Din server skal fungere som router - altså have 2 netkort - og så skal du (som dank skriver) bruge iptables.

Du kan lave et basalt ip-tables script vha. http://iptables.1go.dk - så kan alle maskiner bruge din server som adgang til internet.

Efterfølgende skal du lave mac-filtrering - i forhold til det basale script laver du enkeltlinier med MASQUERADE linier for hver enkelt mac som må komme igennem:

iptables -t nat -A POSTROUTING -m mac --mac-source <mac-adresse> -o <yderside> -j MASQUERADE

Hvis du starter med at lave et script som passer til dit netværk - og lægger det her, så kan de nødvendige ændringer også laves her, således at du har et færdigt script som er klar til implementering

Hvor skal jeg ligge scriptet på serveren?

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.1.5/24'
LAN_NIC='eth1'
WAN_IP='80.199.20.92'
WAN_NIC='eth0'
FORWARD_IP='192.168.1.5'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.5:80
iptables -A FORWARD -j ACCEPT -p tcp --dport 21
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.1.5:21
iptables -A FORWARD -j ACCEPT -p tcp --dport 22
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 192.168.1.5:22
iptables -A FORWARD -j ACCEPT -p tcp --dport 25
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.1.5:25
iptables -A FORWARD -j ACCEPT -p tcp --dport 110
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 110 -j DNAT --to 192.168.1.5:110

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Selve scriptet placeres (klippes ind i) /etc/rc.local - så vil det automatisk afvikles under opstart af maskinen. Der findes også andre metoder, men det er den nemmeste.

For at lave mac-wise kontrol udskiftes følgende:
# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE

med:

# enable Masquerade and forwarding
MAC_MASQ="mac1 mac2 mac3 mac4 osv."
for address in ${MAC_MASQ} ; do
    iptables -t nat -A POSTROUTING -m mac --mac-source ${address} -o $WAN_NIC -j MASQUERADE
done

Du skriver de enkelte mac-adresser i stedet for mac1 mac2 osv., således at du kan nøjes med at skrive den alle i variablen.

iptables linien imellem "for" og "done" er en lang linie - altså skal ordet "MASQUERADE" være lige efter "-j" - altså "-j MASQUERADE"

Forresten, så er din LAN_IP_NET forkert - jeg går ud fra, at du har 192.168.1.0 som netværk på indersiden. I så fald skal den stå til 192.168.1.0/24 (ret 5-tallet) - hvorimod ip-adresse på forward server (med mail osv.) som ikke er din linux-server er 192.168.1.5.

Har på linuxen 2 netkort..

1. er mod router har adressen 192.168.1.4
2. er mod netværk, har adresse 192.168.1.5

192.168.1.2 og 192.168.1.3 er optaget af winserver

Router har en gateway adresse som er 192.168.1.1

Det du'er ikke - eftersom din server skal fungere som router, så må de 2 netkort IKKE befinde sig på samme netværk - og det gør de.

Du kan evt. tage 1 og lave om til 192.168.2.2/255.255.255.0 - og give din router en 192.168.2.1/255.255.255.0. Husk at din linux-maskine skal "være imellem internet og lokalnet", således at man ikke kan komme på nettet uden at "gå igennem" din linux-maskine.

Alternativt (hvis du ikke har styr på router-dimsen), så giv nye adresser på indersiden - du har jo kontrol over din dhcp-server - altså din "inderside".

Derudover, så kan jeg jo se, at du ikke skal "FORWARD"'e til adressen 192.168.1.5 - eftersom det er på linux-maskinen - derfor er iptables scriptet også lavet forkert.

Hvis du skal hjælpes helt på plads i denne opgave - så mangler lige lidt omkring din fysiske opkobling til internet - jeg har nu styr på hvordan nettet ser ud - nemlig helt fladt (alle maskiner sidder logisk set "ved siden af hinanden").

Det som skal etableres er følgende:

internet -> router -> kryds kabel -> linux 1 OG
linux 2 -> hub/switch -> alle andre maskiner

Hvis windows maskinerne (2 og 3) skal kunne nås fra internettet, så skal der etableres noget forward - afhængig af hvad der skal kunne nås.

Hvis du ikke etablerer det fysiske net som ovenfor, så vil man altid kunne komme udenom linux-maskinen - og på internettet, så derfor vil du ikke ha' opnået hvad du ønsker.

Da jeg har flyttet serveren ned i mit serverrum har jeg desværre ikke fået lavet det alligevel.

Men tak for hjælpen alligevel..

velbekomme :-)