URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73639
[ Назад ]

Содержание

Сообщения в этом обсуждении
"Хитрый сцуконат"
Отправлено exn , 21-Апр-07 08:53 
ЗЫ петя - невздумай каментить, прибью нафик.

забыл

freebsd все через divert сделано, тоесть демон natd висит
пров, это такой hdsl с мостом, настроеным на половину криворуким дядькой, на половину мной
.. пароля нет, к прову обращацо не буду, сам хочу разобраться
локалко 192(ну как у всех белых людей)
*надо поспать :P


"Хитрый сцуконат"
Отправлено PixeL , 21-Апр-07 12:39 

Для маскарадинга, удобно когда ИП внешнего интерфейса выдаётся динамически,
указывается исходящий интерфейс, например:
/sbin/iptables -t nat -A POSTROPUTING -o ppp0 -j MASQUERADE

для ната так:
/sbin/iptables -t nat -A POSTROPUTING -o eth1 -j SNAT --to-source 192.168.0.1

интерфейсы и ИП ставишь свои :)


"Хитрый сцуконат"
Отправлено exn , 21-Апр-07 19:56 
>
>Для маскарадинга, удобно когда ИП внешнего интерфейса выдаётся динамически,
>указывается исходящий интерфейс, например:
>/sbin/iptables -t nat -A POSTROPUTING -o ppp0 -j MASQUERADE
>
>для ната так:
>/sbin/iptables -t nat -A POSTROPUTING -o eth1 -j SNAT --to-source 192.168.0.1
>
>интерфейсы и ИП ставишь свои :)


улыбнуло.. спасибо конечно, ип настоящий, все дела.. ни нат ни маскарад не работают
как еще можно попробовать ?


"Хитрый сцуконат"
Отправлено Вовка , 21-Апр-07 20:32 
>>
>>Для маскарадинга, удобно когда ИП внешнего интерфейса выдаётся динамически,
>>указывается исходящий интерфейс, например:
>>/sbin/iptables -t nat -A POSTROPUTING -o ppp0 -j MASQUERADE
>>
>>для ната так:
>>/sbin/iptables -t nat -A POSTROPUTING -o eth1 -j SNAT --to-source 192.168.0.1
>>
>>интерфейсы и ИП ставишь свои :)
>
>
>улыбнуло.. спасибо конечно, ип настоящий, все дела.. ни нат ни маскарад не
>работают
>как еще можно попробовать ?
удедица что ip forwarding включенб в  iptables коректно задано правило с трансляциев и по данной цепочки есть движение   вот и все/

а вообще вас вашей фрей в больницу надо поскольку уже 20 раз было сказано что фря ета не полноценная и тупая ОС



"Хитрый сцуконат"
Отправлено exn , 21-Апр-07 20:44 
Петя твою мать, ударься головой ап стену, только сильно

Еще идеи !!??


"Хитрый сцуконат"
Отправлено Вовка , 21-Апр-07 20:57 
>Петя твою мать, ударься головой ап стену, только сильно
>
>Еще идеи !!??


Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
баклан


"Хитрый сцуконат"
Отправлено exn , 21-Апр-07 21:01 
>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>баклан

Давно бычки в глазах шипели?! Гореть тебе в аду !!!


"Хитрый сцуконат"
Отправлено bill , 21-Апр-07 21:17 
>>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>>баклан
>
>Давно бычки в глазах шипели?! Гореть тебе в аду !!!


Опиши поподробнее сети и интерфесы свои, что , куда, а то так трудно.
И покажи таблицы iptables.


"Хитрый сцуконат"
Отправлено Вовка , 21-Апр-07 21:19 
>>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>>баклан
>
>Давно бычки в глазах шипели?! Гореть тебе в аду !!!


закрой рот
если тебя злит правда то попытайся успокоится и пересмотреть некоторые вещи

я уверен, что у тебя проблема в чем-то простом

а почему я сказал чтоб ты выбросил сваю фрю потому, что например мне чтоб тот же нат с боевой машины перенести на новую машину уйдет 30 минут с учетом инсталяции ОС я использую линукс для таких вот целей зделал кучу скриптов с настройками ната, фаервола и тд

завтро тебе скажут нужно запустить 3 самбы ты будет неделю башкой бится и писать тупые топики "скуцаСАМБА скучкабинд" и тд это просто от того что вы как инвалиды в били в голову одно и тоже и не слушаете ни кого


"Хитрый сцуконат"
Отправлено exn , 21-Апр-07 21:54 
Ненадо было уж настолько сильно биццо.


"Хитрый сцуконат"
Отправлено hate , 22-Апр-07 12:49 
>>>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>>>баклан
>>
>>Давно бычки в глазах шипели?! Гореть тебе в аду !!!
>
>
>закрой рот
>если тебя злит правда то попытайся успокоится и пересмотреть некоторые вещи
>
>я уверен, что у тебя проблема в чем-то простом
>
>а почему я сказал чтоб ты выбросил сваю фрю потому, что например
>мне чтоб тот же нат с боевой машины перенести на новую
>машину уйдет 30 минут с учетом инсталяции ОС я использую линукс
>для таких вот целей зделал кучу скриптов с настройками ната, фаервола
>и тд
>
>завтро тебе скажут нужно запустить 3 самбы ты будет неделю башкой бится
>и писать тупые топики "скуцаСАМБА скучкабинд" и тд это просто от
>того что вы как инвалиды в били в голову одно и
>тоже и не слушаете ни кого

Твое место тут - http://lleo.aha.ru/na/


"Хитрый сцуконат"
Отправлено hate , 22-Апр-07 12:49 
>>Петя твою мать, ударься головой ап стену, только сильно
>>
>>Еще идеи !!??
>
>
>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь
>день сидеть и тыкать
>баклан


Твое место тут - http://lleo.aha.ru/na/


"Хитрый сцуконат"
Отправлено hate , 22-Апр-07 12:48 
>а вообще вас вашей фрей в больницу надо поскольку уже 20 раз
>было сказано что фря ета не полноценная и тупая ОС


Твое место тут - http://lleo.aha.ru/na/


"Хитрый сцуконат"
Отправлено exn , 21-Апр-07 21:53 
2 bill

Все очень банально:
eth0 192.168.1.100 192.168.1.0/24
eth1 207.68.160.190 gw 207.68.160.1 (/24)

Не буду расфусоливать про фаервол, считайте что он весть в ACCEPT
net.ipv4.ip_forward = 1
-t *nat
Пробовал по всякому, ничего не выходит.
тоесть например есть машина 192.168.1.1 у нее gw 192.168.1.100
пробовал
-s 192.168.1.0/24 -j SNAT --to(--source) 207.68.160.190
и -o eth1 -j MASQUERADE
и в разный вариациях, ничего не работает.
route -n
обычный
metric 1 добавлял, не помогает. Пакеты ходят - счетчики в iptables показывают.
Запускал tcpdump, iptraf чесно говоря не понял, пакеты уходят и возвращаються, какбудто все ок.. но это не так, на днях еще раз попробую, есть мысль одна.
а делаю -A PREROUTING -i eth0 -j DNAT --to 207.68.160.190 пинги ходить начинают, но все остальное естно не работает.. я запутался уже.


"Хитрый сцуконат"
Отправлено PixeL , 21-Апр-07 23:30 
>2 bill
>
>Все очень банально:
>eth0 192.168.1.100 192.168.1.0/24
>eth1 207.68.160.190 gw 207.68.160.1 (/24)
>
>Не буду расфусоливать про фаервол, считайте что он весть в ACCEPT
>net.ipv4.ip_forward = 1
>-t *nat
>Пробовал по всякому, ничего не выходит.
>тоесть например есть машина 192.168.1.1 у нее gw 192.168.1.100
>пробовал
>-s 192.168.1.0/24 -j SNAT --to(--source) 207.68.160.190
>и -o eth1 -j MASQUERADE
>и в разный вариациях, ничего не работает.
>route -n
>обычный
>metric 1 добавлял, не помогает. Пакеты ходят - счетчики в iptables показывают.
>
>Запускал tcpdump, iptraf чесно говоря не понял, пакеты уходят и возвращаються, какбудто
>все ок.. но это не так, на днях еще раз попробую,
>есть мысль одна.
>а делаю -A PREROUTING -i eth0 -j DNAT --to 207.68.160.190 пинги ходить
>начинают, но все остальное естно не работает.. я запутался уже.

2 exn
твои слова:
>в глубине души я чуствую что гдето очень сильно тупанул, но вот где ...
помоги другим найти это место и если просят что-то показать просто покажи, что-б тебя не посылали в маны или ещё куда.

правило писать надо не повсякому а как положено, указание исходящего интерфейса обязательно правило с DNAT в твоей редакции не уместно и вредно.
если необходимо ограничить пользователей на NAT можешь указывать диапозон адресов
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to-source 207.68.160.190

а лучше засунуть в /etc/sysconfig/iptables
------------------------------------
*nat
:PREROUTING ACCEPT [0:65535]
:POSTROUTING ACCEPT [0:65535]
:OUTPUT ACCEPT [0:65535]
-A POSTROUTING -o eth1 -j SNAT --to-source 207.68.160.190
COMMIT
*filter
:INPUT ACCEPT [19:65535]
:FORWARD ACCEPT [9:65535]
:OUTPUT ACCEPT [1:65500]
COMMIT
-------------------------------------
ну это если всё в ACCEPT
выполнить
# /etc/rc.d/init.d/iptables start (или restart)

ну и на всякий случай вывод
cat /proc/sys/net/ipv4/ip_forward

убедись, что загружены следующие модули


# lsmod |grep ip
iptable_filter          3137  1
ipt_MASQUERADE          3777  1
iptable_nat             7749  1
ip_nat                 18901  2 ipt_MASQUERADE,iptable_nat
ip_conntrack           52113  4 ipt_state,ipt_MASQUERADE,iptable_nat,ip_nat
nfnetlink               6617  2 ip_nat,ip_conntrack
ip_tables              20033  6 ipt_mac,ipt_state,ipt_multiport,iptable_filter,ipt_MASQUERADE,iptable_nat

"Хитрый сцуконат"
Отправлено exn , 21-Апр-07 23:50 
гхм.. извените.. я писал что пробовал всякое, а все привести не могу, непомню точно просто.  

>iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to-source 207.68.160.190
пробовал, не катит
>-A POSTROUTING -o eth1 -j SNAT --to-source 207.68.160.190
тоже

ядро как я писал было и из коробки, и модулями собирал, и немодулями, в логах про это
ничего нет.
Я вот думаю, если я могу с этой машины в нет, а те что за натяться не могут.. это могут быть козни провайдера ? с ttl уже плясал, не помогло

еще идеи ?!


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:08 
Вы извените меня пожалуста, просто я хотел както объяснить что это глюк, самый что ни наесть...
Хочу перефразировать вопрос, как отследить где именно происходит глюк, потомучто я вижу перед собой 100% рабочую и логичную конфу, а оно не работает, ядро отпадает, пробовал разные, iptables попробую переставить - вдруг поможет. Ни каких ошибок и явных прям сбоев в системе не наблюдаю.. странно както


"Хитрый сцуконат"
Отправлено PixeL , 22-Апр-07 00:11 
На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?



"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:14 
>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?

нет конечно


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:16 
>>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?

тоесть только с клиентов, на внешнем они уходят !! и возвращаються !! но назад через внутренний не идут



"Хитрый сцуконат"
Отправлено PixeL , 22-Апр-07 00:27 
>>>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?
>
>тоесть только с клиентов, на внешнем они уходят !! и возвращаються !!
>но назад через внутренний не идут

тогда в студию выводы комманд
iptables -L -v -n
и
iptables -t nat -L -v -n
если что-то делал в МАНГЛЕ и её сюда


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:31 
>если что-то делал в МАНГЛЕ и её сюда
В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное

#iptables -t mangle --list -n -v

FATAL: Module ip_tables not found.
iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

я уверен, бок гдето рядом


"Хитрый сцуконат"
Отправлено bill , 22-Апр-07 00:36 
>>если что-то делал в МАНГЛЕ и её сюда
>В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное
>
>
>#iptables -t mangle --list -n -v
>
>FATAL: Module ip_tables not found.
>iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do
>you need to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.
>
>я уверен, бок гдето рядом


В дефолтной слаке нет модуля iptable_mangle ?


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:40 
>>>если что-то делал в МАНГЛЕ и её сюда
>>В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное
>>
>>
>>#iptables -t mangle --list -n -v
>>
>>FATAL: Module ip_tables not found.
>>iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do
>>you need to insmod?)
>>Perhaps iptables or your kernel needs to be upgraded.
>>
>>я уверен, бок гдето рядом
>
>
>В дефолтной слаке нет модуля iptable_mangle ?

По идее должно быть, а вообще я рад что это не я протормозил, а линух глюканул, теперь понимаю за что любят виндовс :D


"Хитрый сцуконат"
Отправлено bill , 22-Апр-07 00:41 
>>>>если что-то делал в МАНГЛЕ и её сюда
>>>В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное
>>>
>>>
>>>#iptables -t mangle --list -n -v
>>>
>>>FATAL: Module ip_tables not found.
>>>iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do
>>>you need to insmod?)
>>>Perhaps iptables or your kernel needs to be upgraded.
>>>
>>>я уверен, бок гдето рядом
>>
>>
>>В дефолтной слаке нет модуля iptable_mangle ?
>
>По идее должно быть, а вообще я рад что это не я
>протормозил, а линух глюканул, теперь понимаю за что любят виндовс :D
>

Это типа шутка?


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:52 
>Это типа шутка?

У мну щас настроение фиговое, пытаюсь взбодриццо..

из гугла :
>.....переустановка linux не помогла....
:D

устал нафик.

ВСЕМ СПАСИБО!


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:36 
наверное я просто запутался в ядрах, одно наверное глючило, а я писал правило так, а второе например было нормальное, но я чтото сделал подругому... O.o буду пробовать дальше, теперь хоть понятно что глючит

2PixeL спасибо что наставил на путь истинный!!!

попробую отпишусь



"Хитрый сцуконат"
Отправлено bill , 22-Апр-07 00:40 
>наверное я просто запутался в ядрах, одно наверное глючило, а я писал
>правило так, а второе например было нормальное, но я чтото сделал
>подругому... O.o буду пробовать дальше, теперь хоть понятно что глючит
>
>2PixeL спасибо что наставил на путь истинный!!!
>
>попробую отпишусь
>
>


Брось пересобирать ядра, неблагодарное занятие.
Загрузи дефолтное ядро , патрик лучше тебя в ядрах сооображает, и с этим ядром работай.


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:42 

>Брось пересобирать ядра, неблагодарное занятие.
>Загрузи дефолтное ядро , патрик лучше тебя в ядрах сооображает, и с
>этим ядром работай.
немогу, vserver


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 00:43 
и к томуже эта мессага на патриковом ядре!! гыы



"Хитрый сцуконат"
Отправлено PixeL , 22-Апр-07 00:21 
>>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?
>
>нет конечно
что нет? ни с клиентов, ни на клиентов?
пожалуйста конкретней ответ
если с клиентов запросы есть, tcpdump на внешнем интерфейсе, запросы с клиентов уходят уже с твоим внешним ИП (нужно просто догадатся, что это запросы клиентов)
ответы на запросы есть?


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 01:08 
рано обрадовался..
с mangle разобрался, всеравно не работает..

всё, забейте, это день у меня такой фиговый, высплюсь и буду дальше воевать


"Хитрый сцуконат"
Отправлено PixeL , 22-Апр-07 01:48 
>рано обрадовался..
>с mangle разобрался, всеравно не работает..
>
>всё, забейте, это день у меня такой фиговый, высплюсь и буду дальше
>воевать

он для ната, в принцепе, не нужен
покажи
iptables -L -v -n
iptables -t nat -L -v -n


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 03:59 
>>рано обрадовался..
>>с mangle разобрался, всеравно не работает..
>>
>>всё, забейте, это день у меня такой фиговый, высплюсь и буду дальше
>>воевать
>
>он для ната, в принцепе, не нужен
>покажи
>iptables -L -v -n
>iptables -t nat -L -v -n

#iptables -L -v -n

Chain INPUT (policy ACCEPT 48 packets, 4888 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain OUTPUT (policy ACCEPT 36 packets, 5537 bytes)
pkts bytes target     prot opt in     out     source               destination        

#iptables -t nat -L -v -n (один из десятков вариантов)

Chain PREROUTING (policy ACCEPT 5 packets, 523 bytes)
pkts bytes target     prot opt in     out     source               destination        

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        
    0     0 SNAT       all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           to:207.68.160.190

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        

что еще показать ?


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 04:00 
ппц, за каковата дауна держат, балин, больше на форуме не тусуюсь

"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 04:09 
ЗЫ цепочки по нулям, это я тока что добавил правило, там где нат обычто не по нулям..
Я думаю надо поискать альтернативу iptables'y для ната, чтото с ним не то..



"Хитрый сцуконат"
Отправлено Квагга , 22-Апр-07 10:53 
> в глубине души я чуствую что гдето очень сильно тупанул, но вот где ...

Ну вот там, где полез в Линя, отказавшись от Фри :):):)


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 12:02 
>Ну вот там, где полез в Линя, отказавшись от Фри :):):)

К сожалению фри не поддержтвает тот хлам на который я хочу поменять :)


"Хитрый сцуконат"
Отправлено Oyyo , 22-Апр-07 12:16 
>Chain INPUT (policy ACCEPT 48 packets, 4888 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>
>Chain OUTPUT (policy ACCEPT 36 packets, 5537 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>
>#iptables -t nat -L -v -n (один из десятков вариантов)
>
>Chain PREROUTING (policy ACCEPT 5 packets, 523 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>
>Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>    0     0 SNAT  all  --  *  eth1    0.0.0.0/0   0.0.0.0/0  to:207.68.160.190
>
>Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target     prot opt in  
>   out     source  
>          
> destination
>

Почему не видно движения в цепочке форвард?


"Хитрый сцуконат"
Отправлено Gennadi , 22-Апр-07 16:34 
Простой скрипт, подправь под свою сеть...

http://gennadi.dyn.ee/21.html


"Хитрый сцуконат"
Отправлено exn , 22-Апр-07 21:17 
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

и это все ? я бы поверил в более изощреные методы (:



"Хитрый сцуконат"
Отправлено SubGun , 23-Апр-07 10:21 
А чем собственно фря помешала? Работает? Есть не просит? Нафиг тогда цапать?

"Хитрый сцуконат"
Отправлено exn , 24-Апр-07 13:48 
Подыму на верх..

Кто знает какиенибудь более изощренные методы организации ната для линуха ?
ЗЫ iptables не предлагайте пожалуста


"Хитрый сцуконат"
Отправлено perece , 24-Апр-07 14:23 
>Кто знает какиенибудь более изощренные методы организации ната для линуха ?
да, мсье понимает толк в извращениях...
>ЗЫ iptables не предлагайте пожалуста
на iptables можно сделать все, что угодно.
накрайняк - ipq тебе в помощь (-j OUTPUT)

к сожалению оригинального сообщения не вижу. глюк форума? что сделать-то надо?

\^P^/


"Хитрый сцуконат"
Отправлено exn , 25-Апр-07 11:45 
Гыы, паламал...

Оказалось траблы с маком на внешнем интерфейсе были.



"Хитрый сцуконат"
Отправлено KlounAda , 02-Май-07 02:02 
>Гыы, паламал...
>
>Оказалось траблы с маком на внешнем интерфейсе были.
Хе.. а я уже хотел предложить выкинуть IPFW и включить PF-Filter.

"Хитрый сцуконат"
Отправлено exn , 08-Май-07 01:47 
>Хе.. а я уже хотел предложить выкинуть IPFW и включить PF-Filter.

А это тут вообще причем.. та не, забейте уже, это долбаный sis по дефолту подымает FF:FF:FF... короче мудак он, стока раз на клавиши давил изза него. Гореть разработчикам
в аду!