Титла: iptables ...
Публикувано от: nitroX в Jan 30, 2006, 21:10
някой може ли на български да ми обясни как точно се работи с това, нищо почти не свванах от " man iptables ",
и има ли някаква по-подробна литература на български относно конфигуриране на мрежи.
много благодаря за помоща предварително.
и има ли някаква по-подробна литература на български относно конфигуриране на мрежи.
много благодаря за помоща предварително.
Титла: iptables ...
Публикувано от: в Jan 30, 2006, 21:40
Титла: iptables ...
Публикувано от: metal в Jan 30, 2006, 21:49
Ето ти още едно. На руски е и е малко старичко но е много по подробно. Мен лично то ми помогна много повече. Успех!
Титла: iptables ...
Публикувано от: nitroX в Jan 31, 2006, 23:18
неуспях да схвана нищо .....
значи имам :
eth0 - ip 12.12.12.1 - тука ми е нета
eth1 - ip 5.5.5.1 - тука ми е локалната мрежа
сега как точно трябва да направя нещата, че да пусна нета на локалната мрежа ?
offtopic : баси просто се чудя в момента как сам успял да сложа Linux-а ...
значи имам :
eth0 - ip 12.12.12.1 - тука ми е нета
eth1 - ip 5.5.5.1 - тука ми е локалната мрежа
сега как точно трябва да направя нещата, че да пусна нета на локалната мрежа ?
offtopic : баси просто се чудя в момента как сам успял да сложа Linux-а ...
Титла: iptables ...
Публикувано от: drevil в Feb 01, 2006, 00:22
Пишеш в конзолата тези две команди:
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
ако преди това нещо си си играл с iptables и не си рестартирал пиши:
iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table nat --delete chain
и после горните две команди.
след това echo 1 > /proc/sys/net/ipv4/ip_forward за да пуснеш layer3 forwarda!!
След което нета ще ти работи. За съжаление ако rebootnesh тези команди не са перманентни. Зависи вече от дистрибуцията как да ги направиш да работят и след reboot без да ги въвеждаш пак. Ако е някоя базирана на Red Hat, най-лесно става като ги добавиш в /etc/rc.d/rc.local.
поздрави.
p.s. съветвам те ако имаш firewall от сорта на shoreline да го изключиш като за начало докато усвоиш по-добре iptables и си направиш свой скрипт.
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
ако преди това нещо си си играл с iptables и не си рестартирал пиши:
iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table nat --delete chain
и после горните две команди.
след това echo 1 > /proc/sys/net/ipv4/ip_forward за да пуснеш layer3 forwarda!!
След което нета ще ти работи. За съжаление ако rebootnesh тези команди не са перманентни. Зависи вече от дистрибуцията как да ги направиш да работят и след reboot без да ги въвеждаш пак. Ако е някоя базирана на Red Hat, най-лесно става като ги добавиш в /etc/rc.d/rc.local.
поздрави.
p.s. съветвам те ако имаш firewall от сорта на shoreline да го изключиш като за начало докато усвоиш по-добре iptables и си направиш свой скрипт.
Титла: iptables ...
Публикувано от: nitroX в Feb 01, 2006, 00:33
много благодаря, пробвам веднага.
а дистибуцията ми е slackware 9.1 (k. 2.4.22)
а дистибуцията ми е slackware 9.1 (k. 2.4.22)
Титла: iptables ...
Публикувано от: voyager в Feb 01, 2006, 00:59
Абе малко като след дъжд качулка, но се научи да си задаваш правилно въпросите.. Не че се заяждам нещо, но както се вижда от 1-я ти пост не си личи какво _точно_ искаш да направиш... А не винаги кристалната топка е под ръка 
Титла: iptables ...
Публикувано от: vesselinkolev в Feb 01, 2006, 13:35
| Цитат (drevil @ Фев. 01 2006,01:22) |
| след това echo 1 > /proc/sys/net/ipv4/ip_forward за да пуснеш layer3 forwarda!! |
Стига неграмотен стил на администрация. При това под формата на обяснения към начинаещ, че и той после да възпроизвежда неграмостнотта!!!
Това echo задаване на параметри на ядрото, които по замисъл трябва да са постоянни е турбо неграмотно!!! Задаване на перманентни параметри на ядрото се прави чрез описание във файла /etc/sysctl.conf и няма нужна от никакви аматьорщини като описания на echo-та в init скриптове.
Ето как се разрешава т.нар. "forward engine" в Linux ядрата:
1. Отваря се файла /etc/sysctl.conf (като потребител root или super user).
2. Прави се следното описание (на нов ред):
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
3. Затваря се файла /etc/sysctl.conf със запазване на промените в него и се изпълнява:
# sysctl -p
за да влязат направените промени в сила.
Пълният списък на параметрите за управление на ядрото и техните моментни стойности, могат да се получат чрез изпълнение на:
# sysctl -a
Титла: iptables ...
Публикувано от: drevil в Feb 01, 2006, 23:55
Аз като пиша FORWARD_IPV4=true в /etc/sysconfig/network "турбо" греша ли? 
И какво му е лошото на echo 1...? Или според теб трябва само с sysctl, че иначе няма да работи ли с procfs хехе? Вместо да се заяждаш с мен 
да му беше написал цялото решение на човека.
A честно казано това с описанието ми е малко смешно, като в книга за dummies е:
И какво му е лошото на echo 1...? Или според теб трябва само с sysctl, че иначе няма да работи ли с procfs хехе? Вместо да се заяждаш с мен да му беше написал цялото решение на човека. A честно казано това с описанието ми е малко смешно, като в книга за dummies е:
| Цитат |
| 2. Прави се следното описание (на нов ред): # Controls IP packet forwarding |
Титла: iptables ...
Публикувано от: vesselinkolev в Feb 02, 2006, 09:03
| Цитат (drevil @ Фев. 02 2006,00:55) |
| Аз като пиша FORWARD_IPV4=true в /etc/sysconfig/network "турбо" греша ли? И какво му е лошото на echo 1...? Или според теб трябва само с sysctl, че иначе няма да работи ли с procfs хехе? Вместо да се заяждаш с мен да му беше написал цялото решение на човека. A честно казано това с описанието ми е малко смешно, като в книга за dummies е: |
sysctl ("чудото" дето чете стойностите на параметрите от /etc/sysctl.conf) е инструмент от пакета procps и е стандартния начин за управление на параметрите на ядрото във фамилията ядра 2.6 (твърдението е валидно и за други UNIX подобни ОС, например *BSD). Това го знаят дори начинаещи в системната администрация фенове от село Дивотино, Пернишко и от ЛАН доставчиците с мрежи, вързани със сезал по дърветата на крайните улици на Ръжево Конаре. Инструментът systctl се намира във всяка пълноценна Linux дистрибуция. Само пълни начинаещи не са чували за него и не работят с него.
Аман от неграмотност и опити за важнечене в IRC стил. Добрите системни администратори винаги слагат коментари в един конфигурационен файл, особено ако той може да има над 100 реда описание в себе си. За агро гурутата това не е нужно - те се отличават с хипер мощна памет, която може да запомни всичко и коментарите са просто ламерщина и ненужна екстра.
И понеже си с хипер секлски манталитет, вместо да се правиш на важен и назидателен, да се беше замислил, че решението на проблема на този, който е дошъл да го излага в този форум, се намира в документацията на проекта netfilter:
http://www.netfilter.org/documentation/index.html
и не е нужно да се обясняват неща, които вече не само са написани, ами и са доуточнявани и доредактирани с времето за да се получи пълна яснота. Тъкмо питащия щеше малко да си напъне мозъка и да научи английски. Никога не може да се преведе цялата налична на английски език документация на български. Нито има време и сили за това в толкова малко линукс общество като българското, нито има особен смисъл към този момент. Всеки средноинтелигентен човек трябва да знае поне да чете документация на английски.
Титла: iptables ...
Публикувано от: smelkomar в Feb 02, 2006, 10:56
vesselinkolev, дай някакво примерче (работещо) как да направя така че този адрес 10.10.1.3 като човек напише www.abv.bg в браузъра автоматично да го препрати на вътрешен адрес. Моля те!
Едит: Сега пробвах това с опцията в ядрото, и след това пробвах пак съвета на Dean79:
iptables -t nat -I PREROUTING -d <tvoeto.ip> -j DNAT --to <drugoto.ip>
Като пробвах и със -D за спирането на forwarding-а... НЕ РАБОТИ! Да не Ви казвам, че експериментирам директно на фирмения рутер и ако нещо се скапе (най-вече спре нета) аз го отнасям.
Едит: Сега пробвах това с опцията в ядрото, и след това пробвах пак съвета на Dean79:
iptables -t nat -I PREROUTING -d <tvoeto.ip> -j DNAT --to <drugoto.ip>
Като пробвах и със -D за спирането на forwarding-а... НЕ РАБОТИ! Да не Ви казвам, че експериментирам директно на фирмения рутер и ако нещо се скапе (най-вече спре нета) аз го отнасям.
Титла: iptables ...
Публикувано от: drevil в Feb 02, 2006, 12:50
vesselinkolеv аз пак не разбрах от многото изречения какво е "професионалното" решение за Slack 9.2? Човекът ако можеше да се рови в документация нямаше да пита във форума. От твоя пост се разбира само един начин за форвардинга и нищо повече.
А procfs го няма??! netfilter.org определено не е подходящ за начинаещи. Нещо по лесно.
router
forwarding
BTW vesselinkolеv аз такива злобни изказвания с цел FLAME много рядко съм виждъл по чуждите linux help форуми, но за съжаление се оказва, че точно тук в bg форума има такива заядливци като теб.
| Цитат |
| Инструментът systctl се намира във всяка пълноценна Linux дистрибуция. Само пълни начинаещи не са чували за него и не работят с него. |
А procfs го няма??! netfilter.org определено не е подходящ за начинаещи. Нещо по лесно.
router
forwarding
BTW vesselinkolеv аз такива злобни изказвания с цел FLAME много рядко съм виждъл по чуждите linux help форуми, но за съжаление се оказва, че точно тук в bg форума има такива заядливци като теб.
Титла: iptables ...
Публикувано от: smelkomar в Feb 03, 2006, 09:02
pico /etc/sysctl.conf:
Добавих реда
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
Записах промените и дадох # sysctl -p , за да влезнат промените в сила
iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14
РАБОТИ ХОРА!
Под Дебиан
Значи с -D се пуска нета пак, но как да спра целия понеже към 80 порт спира, но към 8080 или друг протокол си бачка?
Добавих реда
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
Записах промените и дадох # sysctl -p , за да влезнат промените в сила
iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14
РАБОТИ ХОРА!
Под Дебиан
Значи с -D се пуска нета пак, но как да спра целия понеже към 80 порт спира, но към 8080 или друг протокол си бачка?
Титла: iptables ...
Публикувано от: vesselinkolev в Feb 03, 2006, 11:20
| Цитат (drevil @ Фев. 02 2006,13:50) |
| BTW vesselinkolеv аз такива злобни изказвания с цел FLAME много рядко съм виждъл по чуждите linux help форуми, но за съжаление се оказва, че точно тук в bg форума има такива заядливци като теб. |
Ами пък по чуждите форуми рядко се четат глупости като твоите. И какво му е по особеното на Slackware? Може би там не се ползва sysctl? Може би там няма /etc/sysctl.conf? Или пък работната среда на параметрите за управление на ядрото е по-различна? Да, забравих, че в Slackware всичко става по друг, "по-умен" начин и да не забравим да кажем "по изключително друг" начин. Вече на мен Slackware ми звучи като диагноза на ползващите го, особено като чета този форум.
А и много сме тънкообидни нещо. Или като не ни стигат знанията е най-лесно да говорим за морал, кой бил злобен, кой не бил и други такива селкооп реплики и разговори отречника на средностатистическата домакиня? Аз лично пет пари не давам какво мислят другите за мен - селската швестерия леко ми е чужда, което не може да се каже за друг хора в този форум.
Титла: iptables ...
Публикувано от: smelkomar в Feb 03, 2006, 20:52
ЪЪЪЪ Ще се върнете ли към темата?
Титла: iptables ...
Публикувано от: Hapkoc в Feb 03, 2006, 22:27
smelkomar, аз така и не разбрах какво точно искаш да направиш...
Някой като напише www.abv.bg и да го препраща към web server от вътрешната мрежа или какво?
Ако е така не виждам какъв е проблема с 8080, просто добавяш още едно правило за този порт, както и за всеки друг, който искаш да филтрираш.
# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14
# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 8080 -j DNAT --to 213.145.104.14
М/у другото, не се обиждай, но, ако правилно съм разбрал въпроса ти, факта че сам не си могъл да стигнеш до този извод ми говори, че грам не си се помъчил да разбереш какво точно прави горната команда...
А, и принципно ip филтрите могат да филтрират портове, а не протоколи. Във всеки случай не и от приложно ниво.
Някой като напише www.abv.bg и да го препраща към web server от вътрешната мрежа или какво?
Ако е така не виждам какъв е проблема с 8080, просто добавяш още едно правило за този порт, както и за всеки друг, който искаш да филтрираш.
# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14
# iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 8080 -j DNAT --to 213.145.104.14
М/у другото, не се обиждай, но, ако правилно съм разбрал въпроса ти, факта че сам не си могъл да стигнеш до този извод ми говори, че грам не си се помъчил да разбереш какво точно прави горната команда...
А, и принципно ip филтрите могат да филтрират портове, а не протоколи. Във всеки случай не и от приложно ниво.
Титла: iptables ...
Публикувано от: nitroX в Feb 03, 2006, 22:47
ами да попитам още нещо.
как може, и може ли изобщо да сложа на всеки eth* различен GateWay ?
как може, и може ли изобщо да сложа на всеки eth* различен GateWay ?
Титла: iptables ...
Публикувано от: в Feb 03, 2006, 23:12
| Цитат (Hapkoc @ Фев. 03 2006,23:27) |
| smelkomar, аз така и не разбрах какво точно искаш да направиш... Някой като напише www.abv.bg и да го препраща към web server от вътрешната мрежа или какво? Ако е така не виждам какъв е проблема с 8080, просто добавяш още едно правило за този порт, както и за всеки друг, който искаш да филтрираш. # iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 80 -j DNAT --to 213.145.104.14 # iptables -t nat -A PREROUTING -s 10.10.1.3 -p tcp --dport 8080 -j DNAT --to 213.145.104.14 М/у другото, не се обиждай, но, ако правилно съм разбрал въпроса ти, факта че сам не си могъл да стигнеш до този извод ми говори, че грам не си се помъчил да разбереш какво точно прави горната команда... А, и принципно ip филтрите могат да филтрират портове, а не протоколи. Във всеки случай не и от приложно ниво. |
Прочел съм... не схванах само кое да филтрирам хттп 80 порт или 53 днс там кво беше... удп. Така май всички заявки за какъвто и да е протокол отиват към избрания вътрешен или външен адрес. КАКВА Е КОМАНДАТА, понеже в другата тема за таблиците съм казал че работи. Между другото моля да бъдат обединени... ако е възможно.
Титла: iptables ...
Публикувано от: Hapkoc в Feb 04, 2006, 01:41
Прощавай ама другата тема не знам коя е и вероятно не я следя...
Кой порт трябва да се филтрира и по какъв протокол зависи само от това какво искаш да постигнеш. Филтрирането на порт 53 ще е почти равносилно на спиране на интернета към локалната мрежа.
HTTP не може да се филтрира с IP пакетен филтър. Можеш да филтрираш порт 80, обаче това не пречи да се достъпва HTTP услуга на друг порт.
Не викай де.
Ами аз пак не разбрах какво искаш да постигнеш.
Ако правиш DNAT с трафика на порт 80 към определен адрес мисля би следвало на този адрес да има прокси - това ли е целта? В противен случай по всяка вероятност заявките няма да бъдат обслужени. Или това е целта?
Кой порт трябва да се филтрира и по какъв протокол зависи само от това какво искаш да постигнеш. Филтрирането на порт 53 ще е почти равносилно на спиране на интернета към локалната мрежа.
HTTP не може да се филтрира с IP пакетен филтър. Можеш да филтрираш порт 80, обаче това не пречи да се достъпва HTTP услуга на друг порт.
| Цитат |
| КАКВА Е КОМАНДАТА |
Не викай де.
Ами аз пак не разбрах какво искаш да постигнеш.
Ако правиш DNAT с трафика на порт 80 към определен адрес мисля би следвало на този адрес да има прокси - това ли е целта? В противен случай по всяка вероятност заявките няма да бъдат обслужени. Или това е целта?
Титла: iptables ...
Публикувано от: vesselinkolev в Feb 04, 2006, 09:37
| Цитат (nitroX @ Фев. 03 2006,23:47) |
| ами да попитам още нещо. как може, и може ли изобщо да сложа на всеки eth* различен GateWay ? |
Да, може. Разгледай в netfilter/iptables за политиката ROUTE:
http://www.netfilter.org/patch-o-matic/pom-extra.html
Пример:
iptables -A POSTROUTING -t mangle -o eth2 -j ROUTE --gw w.x.y.z --continue
Титла: iptables ...
Публикувано от: smelkomar в Feb 06, 2006, 17:54
Всъщност това е целта, да... заявките към ДНС-а преди да бъдат изпращани към външни уеб-сървъри, да бъдат филтрирани и ако са спрени, да се дропват всички пакети от всякакъв тип (това не ми стана ясно между другото), само към 80 порт или 8080 да бъдат пренасочвани към вътрешен или външен уеб-сървър. Тоест хем нямат ICQ и други екстри, хем да бъдат с права единствено да отварят еди-кой си адрес. Просто не знам как да го формулирам... сори, сега навлизам в материята. Това, което за сега работи при мен, го схванах с 300 зора 
Титла: iptables ...
Публикувано от: ktodorov в Feb 08, 2006, 16:06
А защо не пуснеш proxy примерно Squid и от него да ги правиш тези забрани за icq, и всякакви такива?
Че има и много програми за статистика на логовете примерно Sarg за Squid ...
Че има и много програми за статистика на логовете примерно Sarg за Squid ...
Титла: iptables ...
Публикувано от: в Feb 08, 2006, 19:49
Зада администрираш мрежа и интернет трафик, първо трябва да разбереш какво е мрежа, интернет и как те работят!
Титла: iptables ...
Публикувано от: smelkomar в Feb 09, 2006, 14:57
Но дори да е така, не пречи да питам... нали? 
Не се занимавам професионално с Линукс. А и като съм прекарал повече време в "прозорците"...
Не се занимавам професионално с Линукс. А и като съм прекарал повече време в "прозорците"...