1
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / Iptables ttl=0 packet_ttl=64 range_port=1024 32768
|
-: Mar 12, 2006, 16:02
|
Изглежда ми странен начинът, по който го правиш. Ето аз как успях да го напрaвя, две правила са нужни, третото е за да не изтече информация на доставчика за деянието '>. Подразбирам, че eth0 е външната карта и вътрешните компютри ползват адреси за частно ползване 172.16.0.0/12 от RFC 1918 : iptables -t nat -A POSTROUTING -s 172.16.0.0/12 -o eth0 -j MASQUERADE iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1 iptables -t mangle -A POSTROUTING -s 172.16.0.0/12 -o eth0 -j TTL --ttl-set 64Разбира се, трябва да имаш компилиран модула ipt_TTL.ko. Fedora Core 4 с приложени актуализации го има включен този модул. И не забравяй в /etc/sysctl.conf: net.ipv4.ip_forward = 1, след което #sysctl -p.
|
|
|
2
|
Linux секция за начинаещи / Настройка на програми / Игра с IPTABLES
|
-: Aug 14, 2005, 16:27
|
По въпроса относно разликата между политиката SNAT и MASQUERADE. По принцип няма проблем да се използва винаги MASQUERADE, но ако имаш статичен IP адрес е по-добре да се ползва SNAT --to-source 1.2.3.4, където 1.2.3.4 е примерният статичен IP адрес. При динамичен обаче използвай MASQUERADE. А иначе машина с такива параметри е достатъчно квалифицирана за рутер. '> Вероятно и Х ще работи, но не особено задоволително.
|
|
|
7
|
Linux секция за начинаещи / Настройка на програми / SQUID ПОМОЩ
|
-: Jun 08, 2005, 14:46
|
Без да звуча укорително, само ти напомням: нали си наясно, че доставчиците никак не биха били доволни, ако разберат, че се изнася локалното съдържание навън. '> Знам за подобни случаи тук, в Люлин, където потребители бяха отворили проксита, в услуга на приятелите си в чужбина, след което са били засечени от доставчика и са били изключени. Не, че е проблем, пълно е с доставчици, но все пак едва ли е приятно. Тъй че, умната. '>
|
|
|
9
|
Linux секция за начинаещи / Настройка на програми / iptables питанка
|
-: May 23, 2005, 15:16
|
Хубаво е сам да погледнеш ръководствата, но мисля, че би трябвало да стане по следния начин (ако картата с 213.91.214.35 е eth1): iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 80 -o eth1 -j SNAT --to-source 213.91.214.35 iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 25 -o eth1 -j SNAT --to-source 213.91.214.35 iptables -t nat -A POSTROUTING -p tcp -d 0/0 --dport 110 -o eth1 -j SNAT --to-source 213.91.214.35Аз бих ти препоръчал да оставиш и това: iptables -t nat -A POSTROUTING -p udp -d 0/0 --dport 53 -o eth1 -j SNAT --to-source 213.91.214.35, за да могат да се изпращат DNS заявките (освен ако на рутера не работи DNS). А иначе добро ръководство за iptables може да се намери на този адрес.Вместо SNAT --to-source 213.91.214.35 може да използваш MASQUERADE, обаче ако този IP адрес е статичен е по-добре SNAT, защото ползва по-малко ресурси на машината.
|
|
|
12
|
Linux секция за начинаещи / Настройка на програми / 192.168.0.1 се вижда отвън
|
-: Feb 18, 2005, 22:04
|
Дава следното: [root@nat-router ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 84.238.133.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 0.0.0.0 84.238.133.1 0.0.0.0 UG 0 0 0 eth1 Това е, когато рутерът е свързан с интернет, вътрешната карта съм я забранил за момента. След като вдигна интерфейс eth0 и рутерът започва да маршрутизира (има достъп от вътрешната мрежа), изходът от route -n е следният: [root@nat-router etc]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 84.238.133.0 * 255.255.255.0 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth0 0.0.0.0 84.238.133.1 0.0.0.0 UG 0 0 0 eth1 Между другото проблемите, които това създавало на администратора били свързани с arping-a. При всички случаи не е нормално тази карта да се вижда отвън.
|
|
|
13
|
Linux секция за начинаещи / Настройка на програми / 192.168.0.1 се вижда отвън
|
-: Feb 18, 2005, 19:20
|
Здравейте. Инсталирах един Линукс маршрутизатор под Fedora Core 3, като използвах TTL пача от Patch-o-matic кък ядрото и всичко си заработи както трябва. Но след това администраторът на мрежата се обади и каза, че виждал вътрешната карта 192.168.0.1 и това му правело проблеми. Това беше много изненадващо за мен и сега се чудя къде е причината, поради която този адрес се вижда отвън. Ето конфигурацията: eth1 - външен интерфейс, получава реален статичен ИП адрес EXT_IP по DHCP eth0 - вътрешен интерфейс, статичен ИП адрес 192.168.0.1 Използвам три правила, едното от които незадължително: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j MASQUERADE iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-set 64 iptables -t nat -A PREROUTING -p tcp -d EXT_IP --dport 6112 -j DNAT --to-destination INT_IP:6112
Къде греша? '> Предварително благодаря.
|
|
|
15
|
Linux секция за начинаещи / Настройка на програми / Patch-o-matic TTL Patch
|
-: Feb 08, 2005, 15:37
|
Здрасти, мерси за напътствията. Аз ползвам следното кратко обяснение (на немски е, но и да не разбираш се виждат какви команди се изпълняват), там човекът е инсталирал някакъв друг пач от Patch-o-matic, но би трябвало нещата да стават по същия начин. Чудех се просто дали е възможно когато поддръжката на ТТЛ промяна в хедъра на пакета се постави като модул, а не директно в ядрото, то само да компилирам модулите, е не цялото ядро наново. Човекът в горното ръководство е изпълнил: tux@erde:# make dep tux@erde:# make tux@erde:# make modules bzImage modules_install Трябва ли същото да направя и аз? Това, от което се притеснявам е да не трябва после при make menuconfig да избирам от абсолютно всички секции нещата, които ще трябват, проблемът е, че не знам кои трябват. Искам само да избера от "Networking Options" --> "IP Netfilter Configuration"--> TTL... и това е. Един приятел ме помоли за помощ като каза, че доставчикът му е сложил TTL=1, аз знам, че се лъже с този пач, тъй като в iptables по подразбиране го няма. Отново благодаря предварително за евентуална помощ. '>
|
|
|
|