Титла: 192.168.0.1 се вижда отвън
Публикувано от: Knopper в Feb 18, 2005, 19:20
Здравейте. Инсталирах един Линукс маршрутизатор под Fedora Core 3, като използвах TTL пача от Patch-o-matic кък ядрото и всичко си заработи както трябва. Но след това администраторът на мрежата се обади и каза, че виждал вътрешната карта 192.168.0.1 и това му правело проблеми. Това беше много изненадващо за мен и сега се чудя къде е причината, поради която този адрес се вижда отвън. Ето конфигурацията:
eth1 - външен интерфейс, получава реален статичен ИП адрес EXT_IP по DHCP
eth0 - вътрешен интерфейс, статичен ИП адрес 192.168.0.1
Използвам три правила, едното от които незадължително:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j MASQUERADE
iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-set 64
iptables -t nat -A PREROUTING -p tcp -d EXT_IP --dport 6112 -j DNAT --to-destination INT_IP:6112
Къде греша?
Предварително благодаря.
eth1 - външен интерфейс, получава реален статичен ИП адрес EXT_IP по DHCP
eth0 - вътрешен интерфейс, статичен ИП адрес 192.168.0.1
Използвам три правила, едното от които незадължително:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth1 -j MASQUERADE
iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-set 64
iptables -t nat -A PREROUTING -p tcp -d EXT_IP --dport 6112 -j DNAT --to-destination INT_IP:6112
Къде греша?
Предварително благодаря.Титла: 192.168.0.1 се вижда отвън
Публикувано от: VladSun в Feb 18, 2005, 20:35
route -n
какво дава?
какво дава?
Титла: 192.168.0.1 се вижда отвън
Публикувано от: Knopper в Feb 18, 2005, 22:04
Дава следното:
[root@nat-router ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
84.238.133.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 84.238.133.1 0.0.0.0 UG 0 0 0 eth1
Това е, когато рутерът е свързан с интернет, вътрешната карта съм я забранил за момента. След като вдигна интерфейс eth0 и рутерът започва да маршрутизира (има достъп от вътрешната мрежа), изходът от route -n е следният:
[root@nat-router etc]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
84.238.133.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
0.0.0.0 84.238.133.1 0.0.0.0 UG 0 0 0 eth1
Между другото проблемите, които това създавало на администратора били свързани с arping-a. При всички случаи не е нормално тази карта да се вижда отвън.
[root@nat-router ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
84.238.133.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 84.238.133.1 0.0.0.0 UG 0 0 0 eth1
Това е, когато рутерът е свързан с интернет, вътрешната карта съм я забранил за момента. След като вдигна интерфейс eth0 и рутерът започва да маршрутизира (има достъп от вътрешната мрежа), изходът от route -n е следният:
[root@nat-router etc]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
84.238.133.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
0.0.0.0 84.238.133.1 0.0.0.0 UG 0 0 0 eth1
Между другото проблемите, които това създавало на администратора били свързани с arping-a. При всички случаи не е нормално тази карта да се вижда отвън.
Титла: 192.168.0.1 се вижда отвън
Публикувано от: VladSun в Feb 19, 2005, 01:50
DELETED
Титла: 192.168.0.1 се вижда отвън
Публикувано от: Knopper в Feb 19, 2005, 02:11
На нула са. Единици са ми само forwarding, send_redirects и accept_redirects.
Титла: 192.168.0.1 се вижда отвън
Публикувано от: VladSun в Feb 19, 2005, 02:44
Почвам да си мисля, че СКК наистина не са били доволни от това, че шерваш интернета ...
Титла: 192.168.0.1 се вижда отвън
Публикувано от: Knopper в Feb 19, 2005, 02:52
По принцип никой не би бил доволен. Обаче фактът, че са се обадили и са казали "скрийте си картата", а не са изключили достъпа е показателен, че хората са наясно, въпросът е да не им преча на работата, общо взето такъв е принципът.
Титла: 192.168.0.1 се вижда отвън
Публикувано от: в Feb 19, 2005, 11:15
TTL-а в СКК се сетва на 1 по подразбиране за всички нови потребители не за да не шерват нета ( което според договора нямат право ) а защото всеки Win гуру който почне да разцъква по-надълбоко задължително успява да спретне loop в лан-а и да срине цялото трасе. Всеки който е поискал да работи зад рутер ( софтуерен или хардуерен ) си получава нета с TLL 2 и си работи нормално.
Титла: 192.168.0.1 се вижда отвън
Публикувано от: в Feb 19, 2005, 14:05
малко инфо за ttl i traceroute i NAT:
http://www.tek-tips.com/faqs.cfm?fid=381
www3.sympatico.ca/howlettfamily/ linux/nat_and_ip_masquerade.pdf
действително NAT-a намалява ТТЛ-а на пакетите излизащи от мрежата зад него с 1, но това не е проблем, а също може и да се модефицират така пакетите че да се получи Stealth NAT. А това дали TTL-a na пакетите идващи от ISP-to към NAT рутера е 1 или 2 няма никакво значение! за ISP router-a, машината на клиента е last hop и няма значение дали тя е рутер или обикновенно PC, вече NAT-a решава какво да прави с пакета - дали да го транслира към интернал лан-а или не - т.нар. translation table и дефакто променя само IP addressa na paketa без да пипа ТTL-a
http://www.tek-tips.com/faqs.cfm?fid=381
www3.sympatico.ca/howlettfamily/ linux/nat_and_ip_masquerade.pdf
действително NAT-a намалява ТТЛ-а на пакетите излизащи от мрежата зад него с 1, но това не е проблем, а също може и да се модефицират така пакетите че да се получи Stealth NAT. А това дали TTL-a na пакетите идващи от ISP-to към NAT рутера е 1 или 2 няма никакво значение! за ISP router-a, машината на клиента е last hop и няма значение дали тя е рутер или обикновенно PC, вече NAT-a решава какво да прави с пакета - дали да го транслира към интернал лан-а или не - т.нар. translation table и дефакто променя само IP addressa na paketa без да пипа ТTL-a