Выделенка и dialup. Настройка

[Voral]

Перевожу фирму на линукс. Сеть не большая: два компа. Имеется езернет подключение к интернету со статическим ip.
В качестве резерва есть модем для DialUp соединения.

Я с диалапом в линуксе не сталкивался. Iptables - пока еще "плаваю".

Необходимо, что бы, при необходимости, пользователь (максимально без рутовых прав) поднимал диалап соединение. Лучше всего по клинку на иконке на рабочем столе. (с этим я думаю разберусь, хотя буду благодарен за наводки).

Но главное как быть с iptables?

Дело осложнено тем, что я забрал комп себе для настройки (что б не мешать рабочему процессу) и пробовать не могу. Нужно настроить, чтобы (в идеале) заработало сразу все при подключении компа на месте...

При диалапе раздавать интернет не обязательно в локалку.


Debian Squeeze

[Goodvin]

debian диалап

Что из описанных решений Вы уже попробовали и что не получилось/не подошло?
Или Вы поиск игнорировали?

[Alex2ndr]

Перевожу фирму на линукс. Сеть не большая: два компа. Имеется езернет подключение к интернету со статическим ip.
В качестве резерва есть модем для DialUp соединения.

Я с диалапом в линуксе не сталкивался. Iptables - пока еще "плаваю".

Необходимо, что бы, при необходимости, пользователь (максимально без рутовых прав) поднимал диалап соединение. Лучше всего по клинку на иконке на рабочем столе. (с этим я думаю разберусь, хотя буду благодарен за наводки).

Но главное как быть с iptables?

Дело осложнено тем, что я забрал комп себе для настройки (что б не мешать рабочему процессу) и пробовать не могу. Нужно настроить, чтобы (в идеале) заработало сразу все при подключении компа на месте...

При диалапе раздавать интернет не обязательно в локалку.


Debian Squeeze

Ничего страшного нету.
1. Чтобы пользователь мог поднять диалап соединение достаточно добавить его в группу dip
2. Для кед есть отичная штука - kppp - сам ей долго пользовался
3. Можно написать нужный скрипт на iptables и засунуть его в /etc/ppp/ip-up.d/ - он выполнится в момент поднятия соединения. Хотя зависит от того что вам нужно - можно просто учитывать созданное пользователем соединение в правилах как бы заранее.
Но поиском все-таки воспользуйтесь

[Voral]

1. Чтобы пользователь мог поднять диалап соединение достаточно добавить его в группу dip
2. Для кед есть отичная штука - kppp - сам ей долго пользовался
3. Можно написать нужный скрипт на iptables и засунуть его в /etc/ppp/ip-up.d/ - он выполнится в момент поднятия соединения. Хотя зависит от того что вам нужно - можно просто учитывать созданное пользователем соединение в правилах как бы заранее.
Но поиском все-таки воспользуйтесь

спасибо особенно за 1 и 3 пункты.

Про заранее.
Я правильно понимаю:
Если забыть про раздачу инета. То я просто повторяю правила в которых фигурирует интерфейс смотрящий в интернет, но для диалапа. И все.

А если все же раздавать. То заранее не получится: на выделенке статический, т.е. маскарадинга не надо, а в случае диалапа айпи динамический и надо сделать маскарадинг. Т.е. надо перебивать. Так?

[Alex2ndr]

1. Чтобы пользователь мог поднять диалап соединение достаточно добавить его в группу dip
2. Для кед есть отичная штука - kppp - сам ей долго пользовался
3. Можно написать нужный скрипт на iptables и засунуть его в /etc/ppp/ip-up.d/ - он выполнится в момент поднятия соединения. Хотя зависит от того что вам нужно - можно просто учитывать созданное пользователем соединение в правилах как бы заранее.
Но поиском все-таки воспользуйтесь

спасибо особенно за 1 и 3 пункты.

Про заранее.
Я правильно понимаю:
Если забыть про раздачу инета. То я просто повторяю правила в которых фигурирует интерфейс смотрящий в интернет, но для диалапа. И все.

А если все же раздавать. То заранее не получится: на выделенке статический, т.е. маскарадинга не надо, а в случае диалапа айпи динамический и надо сделать маскарадинг. Т.е. надо перебивать. Так?

1. В принципе да - правильно. У меня есть правила для интерфейса который есть не всегда (ppp0 - впн между офисами) - спокойно живут пока этот впн опущен.
2. Хмм... либо вы путаете терминологию либо так выражаетесь... Для меня маскарадинг это NAT
Действие MASQUERADE может быть применено в любом случае - вне зависимости от того какой там ип - статический или динамический. Просто считается что оно дает большую нагрузку на систему - но для вашей ситуации рассуждать об этом смешно. НО - тут есть еще один момент. Обычно в правиле маскарадинга пишется выходящий интерфейс (iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE) - чтобы трафик проходил маскарад только в одну сторону. Вам это не выгодно - придется перезапускать правило чтоб сменить интерфейс. Поэтому я думаю что вам можно попробовать применить другое правило - без интерфейса - iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE, где 192.168.0.0/24 - ваша локалка. Сам такое не тестировал, скажу честно - но теоретически работать должно. Есть еще вариант применить 2 правила для двух интерфейсов - но тут я тоже плаваю - не знаю как это будет работать если оба окажутся включеными - наверно будет уходить через то что написано раньше