Титла: iptables ,TTL ,NAT ,slackware 10.2
Публикувано от: zomane в Oct 18, 2005, 22:13
Здравейте ,проблема е следния :
интеренет с PPPoE интефейс (ppp0),вкаран в eth1 ,локална мрейа на eth0 (едно PC Win XP) филтрират ме по ТТL ,дистрото е slackware 10.2
кернел-а 2.4.30 пачнат с patch-o-matic за ТТL таргет-а ,iptables 1.3.3 всички target-и и match-owe са в кода на ядрото ,не са модули
работятя си (или поне така мисля ,не ми е давал грешка iptables-а за това което ползвам ) .
Пробвах доста неща с iptables ,прерових на netfilter.org сигурно цялата документация и къде ли не другаде четох какво ли не ,но явно нещо бъркам аз като пиша правилата .
Ето последното което пробвах :
iptables -t mangle -A PREROUTING -i ppp0 -j TTL --ttl-set 64
iptables -t mangle -A POSTROUTING -o pp0 -i TTL --ttl-set 64
iptables -t mangle -A OUTPUT -o ppp0 -j TTL --ttl-set 64
iptables -t mangle -A INPUT -i ppp0 -j TTL --ttl-set 64
iptables -t mangle -A FORWARD -i -ppp0 - TTL --ttl-set 64
iptables -t mangle -A FORWARD -o -ppp0 - TTL --ttl-set 64
( направил съм го навсякъде ,просто защото реших че някъде ми умират пакетите,заради това което ми дава ISP-to (TTL=1)) .
iptables -A FORWARD -i eth0 -s 192.168.168.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 192.168.168.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -j DNAT --to 192.168.168.2
192.168.168.2 e Win-a ,нa eth0 адреса e 192.168.168.1.
Това е горе-долу ,ако не нещо не съм описал добре ще го коригирам ,вероятно аз съм сгрешил доста насериозно някъде ,но немога да си открия грешката.
И още едно допълнение с tcpdump като наблюдавам когато пусна пинг към реалния си адрес(от второто ПЦ) ми отговаря еth0 (reply),а не ppp0
Когато пинг-вам 194.145.63.12(dir.bg) пак отговаря еth0 (requets timed out).
интеренет с PPPoE интефейс (ppp0),вкаран в eth1 ,локална мрейа на eth0 (едно PC Win XP) филтрират ме по ТТL ,дистрото е slackware 10.2
кернел-а 2.4.30 пачнат с patch-o-matic за ТТL таргет-а ,iptables 1.3.3 всички target-и и match-owe са в кода на ядрото ,не са модули
работятя си (или поне така мисля ,не ми е давал грешка iptables-а за това което ползвам ) .
Пробвах доста неща с iptables ,прерових на netfilter.org сигурно цялата документация и къде ли не другаде четох какво ли не ,но явно нещо бъркам аз като пиша правилата .
Ето последното което пробвах :
iptables -t mangle -A PREROUTING -i ppp0 -j TTL --ttl-set 64
iptables -t mangle -A POSTROUTING -o pp0 -i TTL --ttl-set 64
iptables -t mangle -A OUTPUT -o ppp0 -j TTL --ttl-set 64
iptables -t mangle -A INPUT -i ppp0 -j TTL --ttl-set 64
iptables -t mangle -A FORWARD -i -ppp0 - TTL --ttl-set 64
iptables -t mangle -A FORWARD -o -ppp0 - TTL --ttl-set 64
( направил съм го навсякъде ,просто защото реших че някъде ми умират пакетите,заради това което ми дава ISP-to (TTL=1)) .
iptables -A FORWARD -i eth0 -s 192.168.168.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 192.168.168.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -j DNAT --to 192.168.168.2
192.168.168.2 e Win-a ,нa eth0 адреса e 192.168.168.1.
Това е горе-долу ,ако не нещо не съм описал добре ще го коригирам ,вероятно аз съм сгрешил доста насериозно някъде ,но немога да си открия грешката.
И още едно допълнение с tcpdump като наблюдавам когато пусна пинг към реалния си адрес(от второто ПЦ) ми отговаря еth0 (reply),а не ppp0
Когато пинг-вам 194.145.63.12(dir.bg) пак отговаря еth0 (requets timed out).
Титла: iptables ,TTL ,NAT ,slackware 10.2
Публикувано от: zomane в Oct 18, 2005, 22:24
iptables -t mangle -A FORWARD -i -ppp0 - TTL --ttl-set 64
iptables -t mangle -A FORWARD -o -ppp0 - TTL --ttl-set 64
тук бях пропуснал да напиша -j ,но иначе съм го написал когато го пробвах
iptables -t mangle -A FORWARD -o -ppp0 - TTL --ttl-set 64
тук бях пропуснал да напиша -j ,но иначе съм го написал когато го пробвах
Титла: iptables ,TTL ,NAT ,slackware 10.2
Публикувано от: VladSun в Oct 19, 2005, 18:50
Честно казано не знам кога точно се намалява ТТЛ-а с 1-ца, но пробвай POSTROUTING правилото за ТТЛ-а да ти е последно
Титла: iptables ,TTL ,NAT ,slackware 10.2
Публикувано от: zomane в Oct 19, 2005, 21:49
Pазбрах къде ми е грешката ,просто не съм написал
echo 1 > /proc/sys/net/ipv4/ip_forward ,вече всичко работи перфектно.
echo 1 > /proc/sys/net/ipv4/ip_forward ,вече всичко работи перфектно.