Re: Masquerading - что я делаю не так?
On Monday 26 June 2006 12:39, Artem Chuprina wrote: MR Что надо исправить, чтобы на второй машине заработал инет? grep ip_forward /etc/network/options ? Ага, оно и было, спасибо. -- Yours, Mikhail Ramendik -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
В сообщении от 26 Июнь 2006 17:44 Mikhail Ramendik написал(a): Всем привет! Пытаюсь наладить маскарадинг, дабы одна машина смотрела в инет через другую. На обоих sarge, на той что роутер - ядро и iptables из бекпортов. Вроде всё сделал как надо - насколько знаю; а оно не работает. Просьба сообщить, что у меня не так. На роутере: К eth0 подключён Инет, к eth1 вторая машина, инет работает, пинг второй машины работает. /etc/network/interfaces: auto lo eth0 eth1 iface lo inet loopback iface eth0 inet static pre-up /sbin/iptables-restore /etc/iptables.rules address 84.47.176.2 netmask 255.255.255.252 gateway 84.47.176.1 iface eth1 inet static address 192.168.0.2 netmask 255.255.255.0 /etc/iptables.rules: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 192.168.0.5 -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -j DROP -A INPUT -p udp -m udp --dport 1:1024 -j DROP -A INPUT -p udp -m udp --dport 7741 -j DROP COMMIT На второй машине: единственная сетевуха eth0 соединена с роутером, пинг роутера работает, инет не работает /etc/network/interfaces: auto lo eth0 iface lo inet loopback iface eth0 inet static address 192.168.0.5 netmask 255.255.255.0 gateway 192.168.0.2 Что надо исправить, чтобы на второй машине заработал инет? Или всё точно правильно? А то ещё может быть виноват хардварный роутер, поставленный вместо свитча в связи с вышибанием порта WAN грозой. Адрес у него 192.168.0.1, но он в принципе может вести себя некорректно (DLink однако) и перехватывать пакеты в инет, адресованные непосредственно не ему. 1 (пример). -A POSTROUTING -s 172.31.5.51 -o eth0 -j MASQUERADE 2 (). echo 1 /proc/sys/net/ipv4/ip_forward -- Best regards, Dmitry Hodot E-mail: [EMAIL PROTECTED] Jabber: [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Dmitry Nezhevenko wrote: On Wed, Jun 28, 2006 at 07:31:59PM +0400, Artem Chuprina wrote: DN Только что проверил: сделал: DN -A POSTROUTING -o ppp0 -j MASQUERADE DN На машине за этим маскарадом сделал telnet somehost 80. После отпадания DN ppp0, соединение не порвалось. Я так понимаю, что не сразу по пропадании интерфейса, а при первом пакете, прилетевшем в момент, когда соединения нет (и адрес, соответственно, взять неоткуда) - код файрвола же не работает, когда данных нет. Но я это читал в чьем-то изложении, а не в исходниках, так что может быть, и неправда. Правда-правда. Маскарадинг сбрасывает свою таблицу коннекшн трекинга при отваливании интерфейса. в отличие от снат. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Alexander Gerasiov - debian-russian @ Thu, 29 Jun 2006 12:14:27 +0400: DN Только что проверил: сделал: DN -A POSTROUTING -o ppp0 -j MASQUERADE DN На машине за этим маскарадом сделал telnet somehost 80. После отпадания DN ppp0, соединение не порвалось. Я так понимаю, что не сразу по пропадании интерфейса, а при первом пакете, прилетевшем в момент, когда соединения нет (и адрес, соответственно, взять неоткуда) - код файрвола же не работает, когда данных нет. Но я это читал в чьем-то изложении, а не в исходниках, так что может быть, и неправда. AG Правда-правда. Маскарадинг сбрасывает свою таблицу коннекшн трекинга при AG отваливании интерфейса. в отличие от снат. В смысле DN предлагается кивнуть? -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] HTTP тоже не каждый дятел может сделать. Только дятлы об этом обычно не знают. Victor Wagner в [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Artem Chuprina wrote: Alexander Gerasiov - debian-russian @ Thu, 29 Jun 2006 12:14:27 +0400: DN Только что проверил: сделал: DN -A POSTROUTING -o ppp0 -j MASQUERADE DN На машине за этим маскарадом сделал telnet somehost 80. После отпадания DN ppp0, соединение не порвалось. Я так понимаю, что не сразу по пропадании интерфейса, а при первом пакете, прилетевшем в момент, когда соединения нет (и адрес, соответственно, взять неоткуда) - код файрвола же не работает, когда данных нет. Но я это читал в чьем-то изложении, а не в исходниках, так что может быть, и неправда. AG Правда-правда. Маскарадинг сбрасывает свою таблицу коннекшн трекинга при AG отваливании интерфейса. в отличие от снат. В смысле DN предлагается кивнуть? В смысле, что если маскарадинг, по после реконнекта любая посылка пакета приведет к connection terminated, а если снат, то спокойно продолжит работу. В общем, все как ты и написал. У меня собственно из-за этого на Dlink-604 весь нат настраивается вручную вместо вебинтерфейса. Через вебинтерфейс он именно что маскарадинг делает, а так как ip мне выдается почти что статический, я предпочел настроить его руками, чтобы при переинициализации pppoe у меня соединения не прерывались. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Dmitry Nezhevenko wrote: On Thu, Jun 29, 2006 at 02:52:07PM +0400, Alexander Gerasiov wrote: В смысле, что если маскарадинг, по после реконнекта любая посылка пакета приведет к connection terminated, а если снат, то спокойно продолжит работу. В общем, все как ты и написал. В этом убедился. После реконнекта - да. Но если реконннекта не было, то соединение вроде не обрывается. Вполне может быть. Значит был не совсем прав. Не при отваливании интерфейса, а при реконнекте сбрасывается коннекшн трекинг. Сути дела это не меняет. Фишка в том, что снат у тебя в этой ситуации ничего плохого не скажет. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Stanislav Maslovski - debian-russian@lists.debian.org @ Wed, 28 Jun 2006 08:24:13 +0400: SM Я бы к этому добавил, что, по сути, MASQUERADE подменяет исходный IP на IP SM того интерфейса, откуда пакет должен покинуть роутер. Последнее определяется SM на шаг раньше, на этапе маршрутизации. Например, возможна такая конфигурация SM роутера: SM eth0 = сеть 10.0.0.0/8 (домонетка) SM ppp0 = сеть 192.168.1.0/24 (pptp на 10.x.y.z - выход в инет) SM ppp1 = сеть 192.168.255.0/24 (dial-in модем) SM (настройку маршрутизации опустим) SM Если теперь захотеть, чтобы по dial-in были доступны как домонетка, так и SM инет, и, плюс к тому, работал бы NAT на eth0 и ppp0, понадобится MASQUERADE. SM Поправьте меня, если я не прав. Ты не прав. Никто не мешает прописать два правила SNAT, различая их по выходному интерфейсу. SM Ну да, так тоже можно. В моем посте следовало бы заменить в предпоследнем SM предложении понадобится на удобно использовать. Кстати, кто-нибудь SM исследовал, насколько велик overhead от использования MASQUERADE? Думаю, что на современном железе разве что на гигабитной сети можно заметить. Второй вариант - если ты пытаешься сделать бесшумный роутер и ставишь туда процессор типа P90 без кулера. Правда, у MASQUERADE по сравнению со SNAT есть вроде бы еще один таракан - при отпадании интерфейса он рвет все соединения. SNAT - нет. Для ситуации типа диалап с постоянным адресом, т.е. потеряли соединение - восстановили с тем же адресом на более-менее регулярной основе это может быть заметной разницей. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] русская народная глупость Кнышев -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
On Tue, 27 Jun 2006 21:49:00 +0400 Stanislav Maslovski [EMAIL PROTECTED] wrote: Я бы к этому добавил, что, по сути, MASQUERADE подменяет исходный IP на IP того интерфейса, откуда пакет должен покинуть роутер. Последнее определяется на шаг раньше, на этапе маршрутизации. Например, возможна такая конфигурация роутера: eth0 = сеть 10.0.0.0/8 (домонетка) ppp0 = сеть 192.168.1.0/24 (pptp на 10.x.y.z - выход в инет) ppp1 = сеть 192.168.255.0/24 (dial-in модем) (настройку маршрутизации опустим) Если теперь захотеть, чтобы по dial-in были доступны как домонетка, так и инет, и, плюс к тому, работал бы NAT на eth0 и ppp0, понадобится MASQUERADE. Поправьте меня, если я не прав. -o eth0 -j SNAT --to IP_на_eth0 -o ppp0 -j SNAT --to IP_на_ppp0 будет быстрее чем -j MASQ btw, для динамических IP-адресов можно прописывать SNAT после поднятия интерфейса, вместо использования MASQ и работать будет быстрее, конечно если это не dial-out на 33.6Kbit :) -- Best regards, Mihail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Если ты можешь восстановить backuр - ты ещё не ошибся. -- Best regards, Mihail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Смерть must die!
Re: Masquerading - что я делаю не так?
Mihail A Antonov wrote: On Tuesday 27 June 2006 10:26 Nick 'TARANTUL' Novikov wrote: О каких ресурсах идет речь? -j MASQ для каждого пакета ищет IP для подмены -j SNAT - IP указан руками - искать ничего не надо. Для роутера на P1 166 на канале 100Мбит разница заметна. Где я могу увидеть конкретные цифры этой разницы? -- TARANTUL 9th node +7 3412 900022 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Dmitry Nezhevenko - debian-russian@lists.debian.org @ Wed, 28 Jun 2006 17:46:48 +0300: DN PS. 2Artem: Sorry, что письмо в приват ушло. Поздно, я уже там на него и ответил. Остальным не повезло. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] /dev/null-транспортировка -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
В сообщении от Среда 28 Июнь 2006 18:33 Artem Chuprina написал(a): Dmitry Nezhevenko - debian-russian@lists.debian.org @ Wed, 28 Jun 2006 17:46:48 +0300: DN PS. 2Artem: Sorry, что письмо в приват ушло. Поздно, я уже там на него и ответил. Остальным не повезло. И здоровых амбиций бывает занапто... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] /dev/null-транспортировка -- Всего доброго, Александр Березовский
Re: Masquerading - что я делаю не так?
Nicholas wrote: Artem Chuprina wrote: MR iface eth0 inet static Umho Masquerading нужен для динамического ip. Для статики таже самое делает Nat (и используя меньше ресурсов). О каких ресурсах идет речь? -- TARANTUL 9th node +7 3412 900022 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
On Tuesday 27 June 2006 10:26 Nick 'TARANTUL' Novikov wrote: О каких ресурсах идет речь? -j MASQ для каждого пакета ищет IP для подмены -j SNAT - IP указан руками - искать ничего не надо. Для роутера на P1 166 на канале 100Мбит разница заметна. -- Best regards, Mihail Bart-mdv- @ SolarNet IRC: irc.solarnet.ru WWW: http://www.solarnet.ru/ -- Если ты можешь восстановить backuр - ты ещё не ошибся.
Re: Masquerading - что я делаю не так?
Nick 'TARANTUL' Novikov wrote: Nicholas wrote: Artem Chuprina wrote: MR iface eth0 inet static Umho Masquerading нужен для динамического ip. Для статики таже самое делает Nat (и используя меньше ресурсов). О каких ресурсах идет речь? О системных :) Masquerading нужен что бы обработать изменение ip. При статике этого делать не надо. Iptables Tutorial 1.1.19 (3 mb) http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#MASQUERADETARGET 6.5.6. Действие MASQUERADE Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT. -- Best regards, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Stanislav Maslovski - debian-russian@lists.debian.org @ Tue, 27 Jun 2006 21:49:00 +0400: Masquerading нужен что бы обработать изменение ip. При статике этого делать не надо. Iptables Tutorial 1.1.19 (3 mb) http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#MASQUERADETARGET 6.5.6. Действие MASQUERADE Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT. SM Я бы к этому добавил, что, по сути, MASQUERADE подменяет исходный IP на IP SM того интерфейса, откуда пакет должен покинуть роутер. Последнее определяется SM на шаг раньше, на этапе маршрутизации. Например, возможна такая конфигурация SM роутера: SM eth0 = сеть 10.0.0.0/8 (домонетка) SM ppp0 = сеть 192.168.1.0/24 (pptp на 10.x.y.z - выход в инет) SM ppp1 = сеть 192.168.255.0/24 (dial-in модем) SM (настройку маршрутизации опустим) SM Если теперь захотеть, чтобы по dial-in были доступны как домонетка, так и SM инет, и, плюс к тому, работал бы NAT на eth0 и ppp0, понадобится MASQUERADE. SM Поправьте меня, если я не прав. Ты не прав. Никто не мешает прописать два правила SNAT, различая их по выходному интерфейсу. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] женщина, всерьёз алчущая завтрака, способна вполне прилично наточить мясорубку. (с) Руна -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Masquerading - что я делаю не так?
Всем привет! Пытаюсь наладить маскарадинг, дабы одна машина смотрела в инет через другую. На обоих sarge, на той что роутер - ядро и iptables из бекпортов. Вроде всё сделал как надо - насколько знаю; а оно не работает. Просьба сообщить, что у меня не так. На роутере: К eth0 подключён Инет, к eth1 вторая машина, инет работает, пинг второй машины работает. /etc/network/interfaces: auto lo eth0 eth1 iface lo inet loopback iface eth0 inet static pre-up /sbin/iptables-restore /etc/iptables.rules address 84.47.176.2 netmask 255.255.255.252 gateway 84.47.176.1 iface eth1 inet static address 192.168.0.2 netmask 255.255.255.0 /etc/iptables.rules: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 192.168.0.5 -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -j DROP -A INPUT -p udp -m udp --dport 1:1024 -j DROP -A INPUT -p udp -m udp --dport 7741 -j DROP COMMIT На второй машине: единственная сетевуха eth0 соединена с роутером, пинг роутера работает, инет не работает /etc/network/interfaces: auto lo eth0 iface lo inet loopback iface eth0 inet static address 192.168.0.5 netmask 255.255.255.0 gateway 192.168.0.2 Что надо исправить, чтобы на второй машине заработал инет? Или всё точно правильно? А то ещё может быть виноват хардварный роутер, поставленный вместо свитча в связи с вышибанием порта WAN грозой. Адрес у него 192.168.0.1, но он в принципе может вести себя некорректно (DLink однако) и перехватывать пакеты в инет, адресованные непосредственно не ему. -- Yours, Mikhail Ramendik -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Masquerading - что я делаю не так?
Artem Chuprina wrote: MR iface eth0 inet static Umho Masquerading нужен для динамического ip. Для статики таже самое делает Nat (и используя меньше ресурсов). -- Best regards, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]