Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: saturn_vk в Nov 07, 2003, 12:42



Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 12:42
наскоро смених isp-то от едно със кабелни модеми, към едно със лан кабели и pppoe протокола. е ама този пппое протокол ми създаде много проблеми. за да можеше дори и сървъра да има интернет, трябваще да изтрия default route пътя, който беше ето това
Примерен код

default maya.BLOKA 0.0.0.0 UG 0 0 0 eth0

и да прибавя ppp0 което беше направено от пппое, като default route. сега default route е така:
Примерен код

default * 0.0.0.0 U 0 0 0 ppp0

сега поне сървъра има интернет.
проблема обаче идва в това че нито един друг компютър няма интернет. мога да пингвам сървъра. мога да му пингвам и външния адрес, но не мога да пингвам нищо друго от интернета.
ето как изглежда rc.firewall скрипта, с който преди разпространявах интернет. (променено е само EXTIF, от eth1 към ppp0, защото предполагах че така трябва, но и със eth1 пак няма интернет)
Примерен код

#!/bin/sh
FWVER=0.73
IPTABLES=/usr/local/sbin/iptables
DEPMOD=/sbin/depmod
INSMOD=/sbin/insmod
EXTIF="ppp0"
INTIF="eth0"
echo "   External Interface:  $EXTIF"
echo "   Internal Interface:  $INTIF"
echo -en "   loading modules: "
echo "  - Verifying that all kernel modules are ok"
$DEPMOD -a
echo "----------------------------------------------------------------------"
echo -en "ip_tables, "
$INSMOD ip_tables
echo -en "ip_conntrack, "
$INSMOD ip_conntrack
echo -en "ip_conntrack_ftp, "
$INSMOD ip_conntrack_ftp
echo -en "ip_conntrack_irc, "
$INSMOD ip_conntrack_irc
echo -en "iptable_nat, "
$INSMOD iptable_nat
echo -en "ip_nat_ftp, "
$INSMOD ip_nat_ftp
#echo -e "ip_nat_irc"
#$INSMOD ip_nat_irc
echo "----------------------------------------------------------------------"
echo "   Enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "   Enabling DynamicAddr.."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
#echo "   Disabling ICMP Requests.."
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "   Clearing any existing rules and setting default policy.."
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F
echo "   Setting the default FORWARD policy to DROP"  
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
echo "   Setting the FORWARD policy to 'DROP' all incoming / unrelated traffic"
$IPTABLES -A INPUT -i $EXTIF -m state --state INVALID -j DROP                
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -s 192.168.0.2/32 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -s 192.168.0.3/32 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -s 192.168.0.4/32 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -s 192.168.0.7/32 -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -s 192.168.0.9/32 -j ACCEPT
$IPTABLES -A FORWARD -j LOG  
echo "   Enabling SNAT (IPMASQ) functionality on $EXTIF"  
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.0.2/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.0.3/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.0.4/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.0.7/32 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -s 192.168.0.9/32 -j MASQUERADE
echo "   Block certain ports"
$IPTABLES -A INPUT -p tcp -i $EXTIF --dport 111 -j DROP
$IPTABLES -A INPUT -p tcp -i $EXTIF --dport 670:680 -j DROP
$IPTABLES -A INPUT -p tcp -i $EXTIF --dport 22 -j DROP
$IPTABLES -A INPUT -p tcp -i $EXTIF --dport 901 -j DROP
$IPTABLES -A INPUT -p tcp -i $EXTIF --dport 9433 -j DROP
echo -e "\nrc.firewall-2.4 v$FWVER done.\n"

и за да няма объркване, настроил съм също и dns сървърите както трябва, на както казах и преди, и ip-тата не мога да пингвам.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 14:42
Domurzq me da go cheta celiq script, i ne znam kvo pishe v nego, ama kato iskash masquerading, derzai s iptables (dano da si s nqkoi nov kernel che da gi nqma bezumnite module za conntrack). probvai taka da vidish kakvo shte stane, iptables -t nat -A POSTROUTING -o ppp0 -j MASQUARADE, tva e qsna komanda nasochva ti vsichkiq trafik da minava prez ppp0 (-o output). predpolagam che si vkluchil ip forwarding-a ama to do sega ako e rabotilo znachi e bilo vklucheno, vij eventualno ako se nalaga modprobe-ni nujnite conntrack moduli, ako gi ima, zashtoto v novite versii na iptables, mai ne ostanaha, ili sa samo za ftp. probvai ako trugne taka, posle si muchi scripta dokato go nakarash da trugne s nego.

pozdravi
ILF
ako neshto sum se orentiral iz vuprosa formulirai go kato za murzelivi :), ta da go procheta v kratce.


p.s. nqkoi da me spasi ot tiq windows-i, tursq da pomagam na nkqoi kato admin na nqkakva mreja, ei taka bez pari, iskam si linuxite, che ot tiq windowsi shte poludeq, pochnah da zabravqm koi fileove kude sa veche v /etc. pomosht lude pomognete


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 14:52
човече, моля те, ако не четеш темите, не си играй да отговаряш. защото ако я беще прочел, щеше да видиш че аз използвам точно iptables.

а за тези които са чели, ето и малко по-подробо route пътищата
[code]
remote_server *               255.255.255.255 UH    0      0        0 ppp0
localnet        *               255.255.255.0   U     0      0        0 eth0
10.0.0.0        *               255.255.0.0     U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         remote_server 0.0.0.0         UG    0      0        0 ppp0


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 15:09
prochetoh q be spokoino,

probvai samo s -o , bez da slagash -s i vij dali raboti, i puskai route -n.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 15:14
mahni localnet putq prez eth0
ne znam kak ti e dobaven i default putq, shtoto s tiq imena ne moga da se orentiram mahni go i nego i napishi add default gw ppp0 da vidim dali shte trugne, napravo mi pusni msg na icq-to ako imash


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 15:16
ako iskash da dadesh pulno info dai si i ifconfig-a predi da pusnesh pppoe-to i sled kato go pusnesh, a da i kakuv pppoe klient polzvash roaringpenguin-a li?


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 15:26
не мисля че трябва да махам localnet-а, това ми е вътрешната мрежа все пак
ето го route -n
Примерен код

195.149.248.35  0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.0.0.0        0.0.0.0         255.255.0.0     U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         195.149.248.35  0.0.0.0         UG    0      0        0 ppp0


може би вместо "add default gw ppp0" имаш предвид "add default dev ppp0", защото иначе ще си мисли че ppp0 e някакъв адрес.

ето и ifconfig след връзка
Примерен код

eth0      Link encap:Ethernet  HWaddr 00:05:5D:09:94:68  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:196616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:251076 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:88030437 (83.9 Mb)  TX bytes:200708372 (191.4 Mb)
          Interrupt:11 Base address:0xe800

eth1      Link encap:Ethernet  HWaddr 00:00:E9:F9:07:74  
          inet addr:10.0.7.235  Bcast:10.0.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7231 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6480 errors:0 dropped:0 overruns:0 carrier:0
          collisions:5 txqueuelen:100
          RX bytes:6405487 (6.1 Mb)  TX bytes:1223985 (1.1 Mb)
          Interrupt:10 Base address:0x300

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:58 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4060 (3.9 Kb)  TX bytes:4060 (3.9 Kb)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:195.149.253.203  P-t-P:195.149.248.35  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1480  Metric:1
          RX packets:6661 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6363 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:6193914 (5.9 Mb)  TX bytes:1076919 (1.0 Mb)

както се вижда, eth1 си е настроен към мрежата на isp-to, а eth0 към моята вътрешна мрежа. ppp0 е направен он rp-pppoe (на roaringpenguin)

a ето и като се disconnect-на :
Примерен код

eth0      Link encap:Ethernet  HWaddr 00:05:5D:09:94:68  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:201019 errors:0 dropped:0 overruns:0 frame:0
          TX packets:257446 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:89573180 (85.4 Mb)  TX bytes:205586636 (196.0 Mb)
          Interrupt:11 Base address:0xe800

eth1      Link encap:Ethernet  HWaddr 00:00:E9:F9:07:74  
          inet addr:10.0.7.235  Bcast:10.0.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7255 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6506 errors:0 dropped:0 overruns:0 carrier:0
          collisions:5 txqueuelen:100
          RX bytes:6407753 (6.1 Mb)  TX bytes:1226341 (1.1 Mb)
          Interrupt:10 Base address:0x300

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:58 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4060 (3.9 Kb)  TX bytes:4060 (3.9 Kb)


сега все пак ще пробвам да махна localnet и да да пусна iptables без -s
нямам icq на gw за съжаление.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 15:33
пусках скрипта без -s, но пак нищо.

колкото до localnet, със route del -net 192.168.0.0 не мога да го изтрия.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 15:38
znachi sorry, ne localnet-a, prosto sum sviknal na mene eth0 da mi e izhodniq kum internet, znachi mahni ot route tablicata putq za eth1 a ne za eth0. osven tova napravi i oshte neshto, mahni ip-tata na eth1 taka che kato napishesh ifconfig da ti q pokazva kato device, no da nqma slojeni ip-ta na neq (to tuk pak zavisi ot tova kak e napravena mrejata na isp-to, no probvai zashtoto do kolkoto si spomnqm, nqkude iz manualite za pppoe pisheshe che interface-a na koito puskash pppoe ne trqbva da ima adres). taka osven tova da, add default ppp0, daje ne e nujno da pishesh dev. sorry prosto po navik sum sviknal da pisha gw, shtoto i az sum na kabelen ta taka. probvai i da ne icializirash celia script koito polzvash, prosto v nego ima adski mnogo neshta koito ne sa vredni ama prechat za normalna diagnostika, kolkoto po prosto tolkova po dobre, puk posle si go nagodi. izkluchi go na gate-a si toq script i polzvai samo taq komanda za nai prost masquerading. probvai da ping-nesh primerno mail.bg i vij dali shte ti go resolve-ne. ako go resolve-ne, ama ne ot localniq dns cache, znachi probvai s adres koito ne si otvarql skoro. primerno nasa.gov, ili playboy.com, neshto koeto da ne  eostanalo v cache-a ta ako go resolvene s nai prostite nastroiki, pochvash edno po edno da vkluchvash, no mi se struva che problema e che eth1 ti ima configuriran ip adres(osven ako ot dostavchika ti ne go demandvat da e taka) i nai veche ot toq put za eth1, mahni go prosto.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 15:59
няколко въпроса.
как точно да направя така че eth1 да съществува, но без ip адрес. със Ifconfig eth1 down се маха тотално, пък и няма интернет така. Пък и те като инсталираха сичко (за виндовса), само сложиха това ип (то е за тяхната си мрежа)
още нещо, как да махна route пътя за eth1? със "route del -net 10.0.0.0" не става, а не съм много запознат със "route" командата.
при "route add default ppp0" получавам:
Примерен код

0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

gw пак има интернет, ама другите компютри пак нямат.
след малко ще му тегля един рестарт и ще пробвам без rc.firewall скрипт.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:07
dobavi route-a kakto se e poluchil t.e. tova koeto se vijda. route add default ppp0, i katomahash s route pishi route del -net tuka_slagash_ipto posle pishesh i netmask i_slagash_net_maskata, trqbva da gi izpishesh sus vsichkite opcii. az sega razbiram, kvo ti pravi dostavchika, kato nqmash net imash samo lokalna mreja puk kato ti potrqbva net, se vruzvash prez pppoe-to, hitro ama mai shte pravi mizeriq taka. a inache restarta e hubav, shtoto shte ti se izchisti mashinata, kvo distro e tova, btw. prosto ne mu zadavai v nastroikite na mrejovite karti ip adres za eth1. a da i kato probvash bez rc scripta za firewall, kato izpulnish samo komadata koqto ti kazah ne zabravai i da pusnesh edno echo "1" na ipforwarding-a v /proc


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 16:15
значи туко що рестартирах
използвам slackware. rc.firewall не се е стартирал, също така махнах ип-то на eth1 от конфиг гайла и сега eth1 присъства във ifconfig, но без ип, и още, вече го няма този route през eth1.
сега iptables е чист по подразбиране, ето така изглежда
Примерен код

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      


а във ifconfig eth1 иглежда така
Примерен код

eth1      Link encap:Ethernet  HWaddr 00:00:E9:F9:07:74  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1092 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1073 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:689927 (673.7 Kb)  TX bytes:203873 (199.0 Kb)
          Interrupt:10 Base address:0x300

ppp0 е up (имам и интернет на gw-чето)
сега остава само да напиша онзи ред за Iptables дето ми го даде (само той ли ще ми трябва?) и ще тествам да видя дали ще ми работи интернета от клиента.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:18
da samo toi shte ti svurshi rabota za nai normalno browsvane primerno, izboshto za povecheto neshta, icq, irc, kazaa primerno, mai samo s passive ftp shte trqbva da blusnesh nqkoi modul v qdroto, az btw ne razbrah s koe qdro si, ako e nqkoi ot po novite, vsichki moduli za masquerading koito se poqvavat sa di dostatuchni za goreposochenite uslugi, ako e neshto predi 2.4.8 mai beshe shte trqbva da slagash nqkoi conntrack-ove, no v sluchaq te interesuva dali shte imash nai normalen net v smisul browsing, puk posle shte umuvame "kude e klucha za prednata vrata na barakata" :)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:19
a da i kato go napishesh reda napishi iptables -t nat -L, shtoto postoruting-a shte se poqvi v tablica nat a ne v default tablicata t.e. iptables -L nqma da ti go pokaje


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 16:19
прибавих и iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
но няма интернет на другия компютър.
Примерен код

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
MASQUERADE  all  --  anywhere             anywhere          

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      


ядрото е 2.4.20.

добре, нали така вътрешните компютри се маскират така че например вървъра да ispто да вижда само едно ip, демек все едно че само един компютър се мъчи да премине, а не 2? И самия pppoe протокол не спъва маскирането нали?


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:26
izpulni li echo "1">/proc/sys/net/ipv4/ip_forward, ako ne si izpulni go, i probvai pak, btw, da vijda se samo edin adres, rp pppoe-to ne bi trqbvalo da spira maskiraneto, to raboti po skoro na hardware-niq layer na protokola otkolkoto na software-niq kudeto iptables vurshi maskiraneto, taka che ne bi moglo da spira (abe vsushtnost moje, ama se sumnqvam :) )


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:32
mejdu drugoto, razbiram na kude biesh, ama da ti kaja se sumnqvam che isp-to ti e chak tolkova rabotlivo (nqma da kazvam kadurno, vupreki che moje i da e kadurno, ama murzelivo), che da si napishe pravila taka che da gleda primerno kak e modificiran vseki header na paket i da reje paketi koito idvat ot drugi mashini osven tazi za koqto im plashtash, toq nomer sus plashtate taksa, ama za edno pc e alabala, az do sega ne sum vijdal dostavchik koito da e napravil taka che da ne mogat moite mashini v kushti da si polzvat edna vruzka, vupreki che plashtam uj za 1 pc. puk i chestno kazano ne si spomnqm tochno kak masqueradinga modificirashe headerite na paketite, ama si mislq che stava neulovimo che idva ot mashina ot vutreshna mreja


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 16:32
ip_forward e 1 по подразбиране във slackware.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:37
napravo me sguna, pochnah da se chudq ot kvo moje da e. q vzemi mi pingni ip na nqkoi adres. primerno na mail.bg ama ip-to, ot potrebitelska mashina, da ne se okaje nqkakva oburkvaciq s dns-ite, vupreki che predpolagam si go probval tova, ako obache ne si probvai. i vij nastroikite na klientskata mashina da ne si zabravil neshto.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:48
pusni nqkoi msg da stane qsno kvo stava, az shte sum oshte 30 min na rabota, i posle koi znae koga shte moga da cheta pak foruma


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 16:49
не ще да се пингне нищо (дори саитове които разрешават пингването)
а колкото до клиента, то няма какво толкова да се настройва, пък и аз настройките не съм ги пипал от давна, а при другото isp си работеха.

иначе си спомням навремето се мъчех да пусна един htb скрипт на една друга мрежа, но вместо да се лимитнат нещата, всичко отиде по дяволите. въпреки че не бях променял iptables скрипта, вътрешните компютри нямаха интернет, иначе всичко от tc беше изтрито за всеки случай. все едно iptables или ядрото се бяха шчупили нещо, или просто отказваха да получават настройки. накрая човека дето му беше мрежата преинсталира slackware тотално, със чист реформат и всичко си тръгна пак както трябва. той си беше и на кабелен модем.
ама на мен не ми се ще да преинсталирам всичко. прекалено много настройки са, но ако до утре не намеря нищо което да ми помогне, май ще трябва, и дано да се оправи всичко това (другия вариянт е в виндовс да препращам интернета)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 16:53
slushai sega, ako iskash da mina da pogledna, svurshvam rabota sled malko, ako ne si nqkude mnogo daleche, primerno v plovdiv, pazardjik ili lyulin, shte mina, ako iskash de. inache vij si htb scriptovete che ne razbrah polzvash li gi v momenta ili ne. ogledai si nastroikite vnimatelno nqkude da ne stoi staroto ip, ot stariq ti dostavchik, che moje taka da si blokish trafika


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 17:02
всъщност съм на най-далечното място дето изброи, .... люлин :) тъй че едва ли ти се бие път до тука.
пък и говорех за една друга мрежа. след това не съм се занимавал със htb, тъй че и сега не се използва (на мойта мрежа никога не съм го използвал). колкото до старото ми ип, никъде по /етц го няма.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 17:05
e bravo, lyulin tochno li trqbvashe da bude, vupreki che az kato se pribera sus 111 lesno moga da stigna. kakto i da e. sega razgledai vnimatelno nastroikite koito se aktivirat v /proc nai veche, q mi paste-ni sudurjanieto na /etc/sysctl.conf-a ti. da ne bi puk tam da ima nqkoq opciq koqto pravi mizeriq s ppp interface-i i ne pozvolqva masquerading-a.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 17:10
ер..... аз въобще нямам такъв файл, този сигурно е за sys v unix типовете, slackware по принцип е подобен на bsd в това отношение.
по специфично какво точно във /proc да търся. нещо във /proc/net или нещо във /proc/sys/net/ipv4 ?


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 17:16
toq file e v etc sus nego se inicializirat /proc promenlivite pri boot, tva deto mi kaza za ip_forward by default v slak e napisano imeno v toq file, vsichki linux-i go imat. az v kushti sum s neshto podobno na slack, pak e s bsd init scriptove, taka che dolu gore imam predstava kva e konstrukciqta na slack-a  :p ;).

a imah predvidtochno da si vidish vsichkite neshta koito se vkluchvat v /proc shtoto imashe edni divotii iz nego za ppp, a mejdu drugoto pochnah da se pritesnqvam dali puk i rp-to da ne e mizeriqta, ne mojesh li da probvash da se vurjesh s neshto po choveshko kato ppp daemon-a i primerno wvdial. vij v neta kak se confva wvdial za upotreba s pppoe, a da i za da go polzvash ppp daemona ti trqbva da e s poddrujka na pppoe kompiliran, che i qdroto ti trqbva da ima pppoe module-a, sorry ama tva e jestokata istina. no opredeleno sled vsichko koeto napravihme nqma nastroika koqto da prechi na masquerading-a si mislq az, i naistina shte se okaje v rp-to.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 17:18
vupreki che pak kato se zamislq se sumnqvam, shtoto to puk pravi interface ppp0 taka che ot tam natatuk kernel-a si go vijda kato device.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 17:20
q probvai da pingnesh ip-to na servera kum koito si vurzan ot klientska mashina. ne tvoito ip koeto poluchavash sled pppoe-to, ami ip-to na server-a ot drugata strana, vij go v ifconfig-a


Титла: IP-Masquerade отказа да работи :(
Публикувано от: ILF в Nov 07, 2003, 17:24
az shte si hodq, shtqh da ti dam telephona mi v kushti, ama ne raboti za sujalenie. obache po kusno shte vlqza da vidq kakvo e stanalo. ostavi nqkakuv msg. az kum 9 shte sum online primerno. taka che ako si online i ti, moje pak da go mislim.


ciao i uspeh.

p.s. ako preinstalirash si backupni /etc dir-a i eventualno mysql tablici, ako imash takiva :)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 17:39
за backup аз винаги го правя.

колкото до slacka, наистина няма такъв файл. това за Ip_forward е сложено във rc.inet2 файла, който пуска всички неща свързани със мрежата, без самите карти. а със ppp и wvdial въобще не знам как се работи, пък и доколкото знам, трябва да си дръгна cvs версия на pppd, иначе във сегашната няма поддръжка за pppoe.

а между другото, добре че ме подсети. намерих това за странно, но със вътрешните компютри наистина мога да пингвам gatewayа на isp-то, не само моето лично външно ip. не знам това какво ще рече. а аз ще съм онлине до доста късно, и утре ако не стане нищо, май ще преинсталирвам.

пък и както ти сам каза, едва ли е от самата програма rp-pppoe, защото добре си го прави ppp0. но дано и ти да си прав и да не е от самото isp, да не блокира някак си вътрешните ми компютри, защото тогава ще стане лошо.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: Lubo в Nov 07, 2003, 17:40
Ако направиш така че ethX да работи без IP адрес аз ще кацна на Луната. Хайде прочети нещо и питай пак


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 17:43
къде точно искаш да кацнеш?

както виждаш в момента имам интернет, но самото eth1 няма ip.

та заговорихме за луната ...


Титла: IP-Masquerade отказа да работи :(
Публикувано от: в Nov 07, 2003, 20:00
rp-pppoe syshto si ima config failowe, moje li da dadesh i tiah. Po princip sa w /etc/ppp
Triabwa da ima pppoe.conf
Ako w tazi direktoria ima fail options, komentirai go celia ili go iztrii (promeni mu imeto)
W pppoe.conf ima red koito e neshto kato:
FIREWALL=NONE
Naprawi go
FIREWALL=MASQUERADE
I si prehwyrli celia script za masquerade-inga wyw faila firewall-masq koito triabwa da e w syshtata direktoria
Az syshto sym sys pppoe i masquerade i raboti


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 20:40
мерси за идеите, не знаех че options файла не ми триябва, ще го преименувам
ето и съдържанието на pppoe.conf (не знам защо го забравих това)
Примерен код

# When you configure a variable, DO NOT leave spaces around the "=" sign.

# Ethernet card connected to ADSL modem
ETH='eth1'

# ADSL user name. You may have to supply "@provider.com" Sympatico
# users in Canada do need to include "@sympatico.ca"
# Sympatico uses PAP authentication. Make sure /etc/ppp/pap-secrets
# contains the right username/password combination.
# For Magma, use [EMAIL=xxyyzz@magma.ca]xxyyzz@magma.ca[/EMAIL]
USER='user'

# Bring link up on demand? Default is to leave link up all the time.
# If you want the link to come up on demand, set DEMAND to a number indicating
# the idle time after which the link is brought down.
DEMAND=no
#DEMAND=300

# DNS type: SERVER=obtain from server; SPECIFY=use DNS1 and DNS2;
# NOCHANGE=do not adjust.
DNSTYPE=SERVER

# Obtain DNS server addresses from the peer (recent versions of pppd only)
# In old config files, this used to be called USEPEERDNS. Changed to
# PEERDNS for better Red Hat compatibility
PEERDNS=yes

DNS1=
DNS2=

# Make the PPPoE connection your default route. Set to
# DEFAULTROUTE=no if you don't want this.
DEFAULTROUTE=yes

### ONLY TOUCH THE FOLLOWING SETTINGS IF YOU'RE AN EXPERT

# How long adsl-start waits for a new PPP interface to appear before
# concluding something went wrong. If you use 0, then adsl-start
# exits immediately with a successful status and does not wait for the
# link to come up. Time is in seconds.
#
# WARNING WARNING WARNING:
#
# If you are using rp-pppoe on a physically-inaccessible host, set
# CONNECT_TIMEOUT to 0. This makes SURE that the machine keeps trying
# to connect forever after adsl-start is called. Otherwise, it will
# give out after CONNECT_TIMEOUT seconds and will not attempt to
# connect again, making it impossible to reach.
CONNECT_TIMEOUT=0

# How often in seconds adsl-start polls to check if link is up
CONNECT_POLL=2

# Specific desired AC Name
ACNAME=hl-pppoe2

# Specific desired service name
SERVICENAME=l71
#SERVICENAME=

# Character to echo at each poll. Use PING="" if you don't want
# anything echoed
PING="."

# File where the adsl-connect script writes its process-ID.
# Three files are actually used:
#  $PIDFILE    contains PID of adsl-connect script
#  $PIDFILE.pppoe contains PID of pppoe process
#  $PIDFILE.pppd contains PID of pppd process
CF_BASE=`basename $CONFIG`
PIDFILE="/var/run/$CF_BASE-adsl.pid"

# Do you want to use synchronous PPP? "yes" or "no". "yes" is much
# easier on CPU usage, but may not work for you. It is safer to use
# "no", but you may want to experiment with "yes". "yes" is generally
# safe on Linux machines with the n_hdlc line discipline; unsafe on others.
SYNCHRONOUS=no

# Do you want to clamp the MSS? Here's how to decide:
# - If you have only a SINGLE computer connected to the ADSL modem, choose
#  "no".
# - If you have a computer acting as a gateway for a LAN, choose "1412".
#  The setting of 1412 is safe for either setup, but uses slightly more
#  CPU power.
CLAMPMSS=1412
#CLAMPMSS=no

# LCP echo interval and failure count.
LCP_INTERVAL=20
LCP_FAILURE=3

# PPPOE_TIMEOUT should be about 4*LCP_INTERVAL
PPPOE_TIMEOUT=80

# Firewalling: One of NONE, STANDALONE or MASQUERADE
FIREWALL=NONE

# Linux kernel-mode plugin for pppd. If you want to try the kernel-mode
# plugin, use LINUX_PLUGIN=/etc/ppp/plugins/rp-pppoe.so
LINUX_PLUGIN=

# Any extra arguments to pass to pppoe. Normally, use a blank string
# like this:
PPPOE_EXTRA=""

# Rumour has it that "Citizen's Communications" with a 3Com
# HomeConnect ADSL Modem DualLink requires these extra options:
# PPPOE_EXTRA="-f 3c12:3c13 -S ISP"

# Any extra arguments to pass to pppd. Normally, use a blank string
# like this:
PPPD_EXTRA=""


########## DON'T CHANGE BELOW UNLESS YOU KNOW WHAT YOU ARE DOING
# If you wish to COMPLETELY overrride the pppd invocation:
# Example:
# OVERRIDE_PPPD_COMMAND="pppd call dsl"

# If you want adsl-connect to exit when connection drops:
# RETRY_ON_FAILURE=no

проблема на скрипта дето идва със рп-пппое е че е написан на ipchains, а аз не знам как да пиша на него. може ли просто да преименувам моя iptables скрипт и да го прехвърля във /etc/ppp, като така се презапише върху техния скрипт?


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 07, 2003, 20:54
даже и със техния скрипт нищо не става.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: в Nov 07, 2003, 21:27
Nadiawam se ne si zabrawil da promenish reda
FIREWALL=NONE
na
FIREWALL=MASQUERADE
shtoto w protiwen sluchai firewall-masq ne se gleda
A da ne zabrawia da pitam kak startirash pppoe-to sys:
adsl-start
ili go puskash po drug nachin?
Sled kato pusnesh pppoe-to dai izhoda ot slednite komandi:
iptables -L -n -v
iptables -t nat -L -n -v
ps -auxww

ako imash instaliran iproute2:
ip r
ip a

ako niamash:
route -n
ifconfig

Syshto taka kakwo pishe wyw /var/log/messages
Malko sa mnogo neshtata, ama niama kak inache dase razbere kakyw e problema

Seshtam se za neshto drugo.
W niakoe ot pismata chetoh che ima ping kym peer-a na pppoe. Wij dali ima prawilen resolve na addressite. T.e. dali DNS-ite sa zadadeni. Znachi ako probwai ping kym niakoe IP ot wytreshen komputyr , naprimer:
ping 194.145.63.12
towa e dir.bg, ako znaesh ip na niakoi drug address probwai i s nego.
Ako ima ping znachi problema e w DNS
Twa se seshtam zasega.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: mrvoland в Nov 08, 2003, 08:27
нещо си объркал с NAT-a... направи едно iptables -L -t nat и ми paste какво ти извежда, самият ред за NAT при iptables при мен е
Примерен код
iptables -t nat -A POSTROUTING -o wlan0 -s 192.168.0.2 -j SNAT --to real_out_ip
iptables -t nat -A POSTROUTING -o wlan0 -s 192.168.0.3 -j SNAT --to real_out_ip


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Nov 08, 2003, 22:03
eto oshte malko novini ot men

izglejda che scripta za maskiraneto e rabotel ot samoto nachalo, ili pone do nqkyde.

kogato e vkluchen, vytreshnite komputri mogat da pingnat onzi P-t-P ip address, a kogato ne e vkluchen ne mogat.

i kakvo znachi tova? che kqkak si onazi dalechna mashina blokira vytreshnite mi komputri?


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Nov 09, 2003, 19:55
Цитат (saturn_vk @ Ноември 07 2003,18:02)
всъщност съм на най-далечното място дето изброи, .... люлин :) тъй че едва ли ти се бие път до тука.
пък и говорех за една друга мрежа. след това не съм се занимавал със htb, тъй че и сега не се използва (на мойта мрежа никога не съм го използвал). колкото до старото ми ип, никъде по /етц го няма.

Ejj и ти ли имаш тоя проблем - виж тук !!!

-> http://www.comexgroup.com/forums....ry48425 !!!

Към Хомелан ли си , ако да и аз съм и както си имах всичко работещо и изведнъж неможеше вътрешните пс-та да правят нищо :( е то е 1 де и едно линукс боксче :) ), така че и аз това предположих , единственото логично обяснение, но нямам как ... така де имаш нат и просто няма как !!! ДА СТАНЕ Маа*****муу ууфдсйкнфсйкфс !!!

Ядосан съм ...


Титла: IP-Masquerade отказа да работи :(
Публикувано от: mryn в Nov 10, 2003, 00:52
Problema vi e qsen i toi ne e wyw firewall scriptowete :-)))
ako si pusnete edin tcpdump -v -n -i ppp0
shte vidite za kakwo ide re4 :-)))
posle malko shte po4etete za towa koga se izprashta icmp syobshtenie
"time exceeded in-transit".
posle malko rovi4kane iz iptables-HOWTO i iz patch-o-matic i sigurno shte si
otkriete reshenieto :-)))


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 18, 2003, 20:34
Рових , рових , четях гледах и прави и не ще ...

Да разучих почти всичко за icmp , ttl patch-o-matic ...

Пачнах си ядрото ... ( а докато го пачна :p )

... И се почна .:

iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -t mangle -A INPUT -j TTL --ttl-set 64
iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64
iptables -t mangle -A OUTPUT -j TTL --ttl-set 64

----

#echo "1" > /proc/sys/net/ipv4/ip_forward

#Apply routing ...

----

#pppd pty pppoe ...

#Connecting with ISP

----

( *** iptables -t mangle -A FORWARD -j TTL --ttl-set 64
пробвах и после + това също и много други неща/комбинации , но не и не )

Всичко е настороено на клиента/тите ... GW-to , DNS-ite :)
И не щът ли не щът , връзка има и физически и софтуерно се виждат -> Всичко ОК !

НО за интернет става ли въпрос забравете :(

НЕ и не , сякаш , не само tcp протокола следи за ТТЛ , no i самият сървър ( на исп-то ) , така де защо да неможе да следи с програма на по ниско ниво и да отброява ..., все пак един хоп или една секунда и TTL--; ( TTL = TTL - 1 ) ;)

Така че ... моля ти се mryn помагай ...


Титла: IP-Masquerade отказа да работи :(
Публикувано от: в Dec 19, 2003, 12:32
Koi kernel polzwash?

Pusni ping ot niakoi wytreshen komp i
Probwai s:
tcpdump -lnX -s 1500 -i ppp0

Srawni dwa ping-a rabotesht i nerabotesht, wij kwa e razlikata.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 19, 2003, 13:16
kernel -> 2.4.18-bf2.4 patched with Patch-O-Matic

 А това с пинг-а ... ще видя ...

Учудващото е , че на

iptables -L -t nat

...

POSTROUTING ( DROP RX 0 , TX 0 )
нали тук пише , че маскира ppp0

...

какви са тези 0 , защо са ??? 0 , всмисъл , че нищо не е дропвал ли ?


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Dec 19, 2003, 15:42
аз вече от 1 месец съм със squid 2.5STABLE4. Засега не намирам друг начин да си пускам интернета към други компютри докато съм със хомелан, те филтрират всички пакети които са маскирани. доколкото разбрах, тези пакети имат някаква информация вътре във тях, която казва дали са маскирани или не, и хомелан хващат всички който са. Може и да има начин да се направи пълно маскиране, но аз не знам как да го направя. Дано някой да знае, че да го каже тук.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 19, 2003, 16:50
Абе и на мен ми е ясно , че със прокси ще стане ( вече доста хора ми го казаха ), но идеята е да е с НАТ !

А няма сами пакет по какво да се познае , че е маскиран

ПАКЕТ.:

Глава  - източник , получател , други

ТЯЛО - информация

Глупост

При НАТ източника и получателя се заменят и САМО МАРШРУТИЗАТОРА , КОЙТО ГИ Е МАСКИРАЛ знае , че те са такива сравнявай ки ги в базата си данни с такива , така че няма по какво да се познават !!!  ;)  :)

ГАДНО ми е само , че така ни преебава* , защото връзката ми не е бърза пък и моето е само за опит , 1 сървър и 1 клиент , хе , че какво толкова :(


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Dec 19, 2003, 17:12
на мен много хора са ми казвали че може да се познава дали един пакет е маскиран, точно по header-а на пакета. въпреки че аз самият не съм запознат със пакетите, съм склонен да вярвам в това, след като хомелан успява да блокира само маскираните пакети, но не и пакетите идващи от главния компютър. (плюс това маскираните пакети стигат само да gateway-а на хомелан, а не умират при локалния сървър)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: в Dec 19, 2003, 17:20
Pri masquerading se smeniat w header-a na IP protocola samo source IP address TTL i checksum-ata. Edinstwenia nachin po koito biha mogli da razberat che sa maskirani paketite mojebi e po port-a. MASQUERADE po princip polzwa portowe s po golemi nomera. W comandite na iptables slojete neshto takowa
-j MASQUERADE --to-ports 1024-32768

No mai shte triabwa w komandite da se ukaje i protokola
-p udp
-p tcp


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 19, 2003, 19:57
Е как така, всмисъл порт 80 е за УЕБ, ако ползва 81 , Уеб сървъра отсреща няма да му отговори ... Е благодаря все пак ще пробвам , само това ,което си написъл не разбирам много какво трябва да постигна с нещо ...  :0  :)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: в Dec 19, 2003, 21:00
MASQUERADE promenia source address e ne destination address. Taka che porta kym koito prawish connect naprimer 80 se zapazwa. Ako wytreshnata mashina prawi connect ot port 32768 kym 80 sled masquerade stawa naprimer 60980 kym 80. Gateway-a na provider-a ti wijda imenno tozi port 60980 a ne 32768.

Kolkoto do iptables imah predwid komandata da e neshto takowa:

iptables -t nat -A POSTROUTING -p udp -o ppp0 -j MASQUERADE --to-ports 1024-32768
iptables -t nat -A POSTROUTING -p tcp -o ppp0 -j MASQUERADE --to-ports 1024-32768
iptables -t nat -A POSTROUTING -p icmp -o ppp0 -j MASQUERADE


Moje da naprawish i towa:
echo "1025 32768" > /proc/sys/net/ipv4/ip_local_port_range


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 20, 2003, 13:53
Ето го лога ( пренасочен изход на tcpdump -i ppp0 ;) :) )  , така както аз го гледам май нищо не съм направил с ттл-а :(

Примерен код

####
13:45:20.980213 195.149.254.38 > 217.9.231.130: icmp: echo request

13:45:20.982685 217.9.231.130 > 195.149.254.38: icmp: echo reply [tos 0x8] [ttl 1]

13:45:20.982835 195.149.254.38 > 217.9.231.130: icmp: time exceeded in-transit [tos 0xc8]
####
13:45:26.358127 195.149.254.38 > 217.9.231.130: icmp: echo request

13:45:26.361970 217.9.231.130 > 195.149.254.38: icmp: echo reply [tos 0x8] [ttl 1]

13:45:26.362100 195.149.254.38 > 217.9.231.130: icmp: time exceeded in-transit [tos 0xc8]
#####
13:45:31.364753 195.149.254.38 > 217.9.231.130: icmp: echo request

13:45:31.367401 217.9.231.130 > 195.149.254.38: icmp: echo reply [tos 0x8] [ttl 1]

13:45:31.367526 195.149.254.38 > 217.9.231.130: icmp: time exceeded in-transit [tos 0xc8]
####
13:45:36.371373 195.149.254.38 > 217.9.231.130: icmp: echo request

13:45:36.375169 217.9.231.130 > 195.149.254.38: icmp: echo reply [tos 0x8] [ttl 1]

13:45:36.375297 195.149.254.38 > 217.9.231.130: icmp: time exceeded in-transit [tos 0xc8]
####


Това е резултата от пинг от Уин ХП клиент ! Както добре си и личи де 4-те опита ... :( , но неуспешни , това беше iptables < докато течеше опита > .:

Примерен код


#!/bin/sh

iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -t nat -A POSTROUTING -p udp -o ppp0 -j MASQUERADE --to-ports 1024-32768
iptables -t nat -A POSTROUTING -p tcp -o ppp0 -j MASQUERADE --to-ports 1024-32768
iptables -t nat -A POSTROUTING -p icmp -o ppp0 -j MASQUERADE

iptables -t mangle -A INPUT -j TTL --ttl-set 128
iptables -t mangle -A OUTPUT -j TTL --ttl-set 128
iptables -t mangle -A FORWARD -j TTL --ttl-set 128
iptables -t mangle -A POSTROUTING -j TTL --ttl-set 128



Еми това е , приложих всичко , което се сетих ... :)

Значи както виждаш само в това в прок не съм го записъл , сега ще пробвам и с него и ще ти кажа ;) :)

А дано ... има успех ... Въпреки ,че така като гледам лог-а си е баш ттл-а проблема ...


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 20, 2003, 14:14
Наложително беше да постнаа два отговора , защото са за две различни части от темата ...

Когато разбрах за ТТЛ пача бях много учуден кога има време да смени стойност-а му и да излъже едва ли не ТЦП/ип протокола !!! Защото май , така като гледам този патч може само да променя идващите от теб дейтаграми с какъв ттл-да са , т.е някой праща пинг до теб ( дейтаграма с ТТЛ 128 ) , само че ти му връщаш с 1 ...  

Въпреки че , вдействителност има резлутат нали като пингвам си личи , че вече не идва до мен с 1 , ами 128 ... или пробвах с --ttl-inc ( инкрементирах / т.е. увеличих / ) 128 = 129 и се влиае ... Еми незнам какво мислиш , какво казва лог-а ?!.

МАЙ няма спасение  ,освен проксито , мама мия ... :(

Моля ти се Добрев помагай ... :(


Титла: IP-Masquerade отказа да работи :(
Публикувано от: в Dec 20, 2003, 16:27
Iawno provider-a ti prashta paketite s TTL 1 koeto oznachawa che ne mogat da preminat prez twoia gateway poneje ttl-a triabwa da se namali s 1 pri forward. A kato stane 0 ne moje da se naprawi FORWARD.
Ne znam zashto ne se promenia ttl-a s komandite na iptables. Kompiliral li si kernel-a s opciite za TTL sled kato si go pachnal s p-o-m i polzwash li tozi kernel ?
Pusni tcpdump-a po slednia nachin
tcpdump -vvv -i ppp0
Shte pokaje poweche neshta taka. Shte widish dali paketite koito izlizat ot twoia box sa s jelania ttl. Taka pone shte widish dali --ttl-set raboti.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 20, 2003, 23:44
ДА пачнат е , да модулите са инсталирани ( и модинст имам предвид) , да ползвам това ядро ... ДА - точно това ,казвам и аз , сякаш ТТЛ пача не си върши работата !!! Но иначе като пингвам към дата.бг ми даваше ТТЛ=1 , сега си ми дава 128 , на колко съм го нагласил , ще пробвам това за tcpdump , айде прятел прати ми мейл да се вържа с теб , да ти дам ицю -то ... ;) :) Или искаш тук да продължим , всмисъл полсе ще напиша какво сме правили .. :) Май по-добре тук да си бъде разговора ...

Еми ще пробвам ;) :) Но утре , че сега е късно ... имам си друга работа :)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 21, 2003, 13:10
Направих ГО !!!

РАДОООООООООСТТТТТТТТТ :)))))

Както винаги нямаше особена логика сега почвам да чета за ВЕРИГАTA PREROUTING !!! ЗАЩО ли !!!

еми вече се чудех какво е и мислех и се сетих , че наскоро имаше един проблем в един друг форум за маскирането , беше друго не за ТТЛ , но добави същия ред като ПОСТРОУТИНГ в ПРЕ и аз съ милсех така и така да пробвам , да направя навсякъде , а досега навсякъде в -t mangle , освен PREROUTING бях -j TTL -нал , така да се кажа , РАДДОООООСТ !!! :))))

Та значи първо ми дойде идеята да направя навсякъде ТТЛ инкрементиране / увеличаване и после като се сетих за това ми дойде съвсем надежда и така го направих , е преди това изпробвах tcp -v -i ppp0 значи аз пращах ТТЛ=255 , а идваше ТТЛ=1 и умираше , сега почвам да чета за PREROUTING и да видя дали само то трябва да е -j TTL ;) :) Ili wsi4ki , абе има някаква логика , много ми е кеф :)

... :))))

ети конф. файлове :) :p

SOON ...

Примерен код


# MY FIREWALL / NETFILTER CONF
# MASQUERADEING and TTL prefuck*** XAXAXA
#!/bin/sh

iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t mangle -A INPUT -j TTL --ttl-inc 128
iptables -t mangle -A OUTPUT -j TTL --ttl-inc 128
iptables -t mangle -A FORWARD -j TTL --ttl-inc 128
iptables -t mangle -A POSTROUTING -j TTL --ttl-inc 128
iptables -t mangle -A PREROUTING -j TTL --ttl-inc 128

echo "1" > /proc/sys/net/ipv4/ip_forward

#От тук нататък Вие трябва да си изградите самия
# FIREWALL !!! :) :P


:)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Dec 22, 2003, 00:32
да, наистина е било от живота на пакетите.

иначе за да могат пакетите да доживеят до вътрешните ти компютри, ти трябва само:

iptables -t mangle -A PREROUTING -j TTL --ttl-inc 128

а не всичките пет реда.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 22, 2003, 11:11
ДА усетих , значи снощи го установих , а днес ми го обясниха :) Че не INPUT , а PREROUTING е веригата , която първа поема пакета и затова , а аз няма да инкрементирам , а ще си сетвам :)

... -j TTL --ttl-set 128 :) :p

Айде упсех , сега вече не ти трябва прокси , въпреки ,че  е по-добрия вариант :) Е успех , идеята е да не се отказваш и да се бориш :)


Титла: IP-Masquerade отказа да работи :(
Публикувано от: saturn_vk в Dec 22, 2003, 20:43
доколкото знам (тия неща съм се опитал сам да си ги разбера, затова може и да не са вярни), INPUT е за пакетите които отиват само към сървъра, OUTPUT е за пакетите които напускат само сървъра, а FORWARD, PRE и POST са за другите вътрешни компютри. Също така PREROUTING е правилната таблица, защото всичките неща в нея се извършват преди пакетите да бъдат препратени.

разбира се, всичко това може да е грешно, а тея неща не се обясняват много добре във manual-a на iptables.


Титла: IP-Masquerade отказа да работи :(
Публикувано от: the_real_maniac в Dec 22, 2003, 22:55
Мдаа прави си ... за мануал-а / хоуто-то по-точно , само обясненията ти за веригите не ми харесаха много , но може и така ;) :) Еми браво на мен и на нас .. :D  :)  :p