Изпечатай

[Knopper]

Здравейте. Инсталирах един Линукс маршрутизатор под Fedora Core 3, като използвах TTL пача от Patch-o-matic кък ядрото и всичко си заработи както трябва. Но след това администраторът на мрежата се обади и каза, че виждал вътрешната карта 192.168.0.1 и това му правело проблеми. Това беше много изненадващо за мен и сега се чудя къде е причината, поради която този адрес се вижда отвън. Ето конфигурацията:

eth1 - външен интерфейс, получава реален статичен ИП адрес EXT_IP по DHCP
eth0 - вътрешен интерфейс, статичен ИП адрес 192.168.0.1

Използвам три правила, едното от които незадължително:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j MASQUERADE
iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-set 64
iptables -t nat -A PREROUTING -p tcp -d EXT_IP --dport 6112 -j DNAT --to-destination INT_IP:6112


Къде греша?  '> Предварително благодаря.

[VladSun]

route -n
какво дава?

[Knopper]

Дава следното:

[root@nat-router ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
84.238.133.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         84.238.133.1    0.0.0.0         UG    0      0        0 eth1

Това е, когато рутерът е свързан с интернет, вътрешната карта съм я забранил за момента. След като вдигна интерфейс eth0 и рутерът започва да маршрутизира (има достъп от вътрешната мрежа), изходът от route -n е следният:

[root@nat-router etc]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
84.238.133.0    *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
0.0.0.0         84.238.133.1 0.0.0.0         UG    0      0        0 eth1

Между другото проблемите, които това създавало на администратора били свързани с arping-a. При всички случаи не е нормално тази карта да се вижда отвън.  

[VladSun]

DELETED

[Knopper]

На нула са. Единици са ми само forwarding, send_redirects и accept_redirects.

[VladSun]

Почвам да си мисля, че СКК наистина не са били доволни от това, че шерваш интернета ...

[Knopper]

По принцип никой не би бил доволен. Обаче фактът, че са се обадили и са казали "скрийте си картата", а не са изключили достъпа е показателен, че хората са наясно, въпросът е да не им преча на работата, общо взето такъв е принципът.

TTL-а в СКК се сетва на 1 по подразбиране за всички нови потребители не за да не шерват нета ( което според договора нямат право ) а защото всеки Win гуру който почне да разцъква по-надълбоко задължително успява да спретне loop в лан-а и да срине цялото трасе. Всеки който е поискал да работи зад рутер ( софтуерен или хардуерен ) си получава нета с TLL 2 и си работи нормално.

малко инфо  за ttl i traceroute i NAT:
http://www.tek-tips.com/faqs.cfm?fid=381

www3.sympatico.ca/howlettfamily/ linux/nat_and_ip_masquerade.pdf

действително NAT-a намалява ТТЛ-а на пакетите  излизащи от мрежата зад него с 1, но това не е проблем, а също може и да се модефицират така пакетите че да се получи Stealth NAT. А това дали TTL-a na пакетите идващи от ISP-to към NAT рутера е 1 или 2 няма никакво значение! за ISP router-a, машината на клиента е  last hop и няма значение дали тя е рутер или обикновенно PC, вече NAT-a решава какво да прави с пакета - дали да го транслира към интернал лан-а или не - т.нар. translation table и дефакто променя само IP addressa na paketa без да пипа ТTL-a